Slides van Peter Kits (ICT-advocaat Holland Van Gijzen). Relevante nieuwe ontwikkelingen in wet- en regelgeving rond privacy en security. Gepresenteerd tijdens Privacy, Identity & Security (PIDS) seminar van Almere DataCapital, zie www.almeredatacapital.nl.

1. Ontwikkelingen Privacy en
Security Wet en Regelgeving
20 september 2012
Peter Kits, advocaat IE/ICT/Privacy

2. Agenda
► Kader
► Privacy
► Zorg
► Security
► Compliance
26 september 2012 Pagina 2

3. ‘Zorgen’, voor de dag van
morgen!’
26 september 2012 Pagina 3

4. Kader – Data / Informatie
Informatie/Data
Niet
Tastbaar tast
baar
Elektronisch
Kennis in ons
E-
E-ongestructureerd gestruct
ureerd
Papier
hoofd
Docume
nten
Andere
E-mail
media
WWW
ucturee
ongestr
Datab
ases
rd
26 september 2012 Pagina 4

5. Kader – Data / Regelgeving
Betrokkenen Verdragen Nationale Branche en/of Zelfregulering
-EU wetgeving sectorale
-Internationaal regelgeving/norm
en/ richtlijnen
• EU Data protection • Wet bescherming • ISO code - Protocollen
Directive persoonsgegevens Informatiebeveiliging - Gedrag
• EVRM • Arbeidsrecht 27001 - ICT
• Soc. Zekerheidsrecht • NEN 7510/11 e.v. - Beveiliging
• WGBO • ZekeRe Zorg 3 - Privacy
• Wet BIG • CBP zelfaudit
• Wet CZ • AV23
• Zorgbrede
governance code
Personeel Sollicitanten Werknemers Zieke werknemers Ex
werknemers
Cliënten Toekomstige cliënten Bijz. cliënten Ex cliënten
cliënten
Toeleveranciers ICT ZZP’ers Adviseurs Arbo
26 september 2012 Pagina 5

6. Kader
► IGZ: Informatiebeveiliging in de zorg is vooral ‘subset’ van
‘patiëntveiligheid’ en ‘verantwoorde zorg’ (art. 2 en 3 Kz)
► Patiënt = > cliënt
► Zorgaanbieder = zorg(hulp)verlener
26 september 2012 Pagina 6

7. Tendensen en ontwikkelingen
► Uitbesteding/gebruik cloud toepassingen
► Veldinitiatieven tot concretisering en uitwerking open normen uit
wet- en regelgeving (technisch en organisatorisch)
► Versterking rechten van cliënt. Cliënt wil meer (weten en bepalen)
► Data groei zorg neemt (te) explosief toe
► Focus op meer handhaving door toezichthouders IGZ, Cbp en
NZA
► Data uitwisseling tussen zorgaanbieders is niet ‘eng’ meer,
integendeel.
26 september 2012 Pagina 7

8. Privacy - Wbp 9 februari 2012
► Wijziging 9 februari 2012
► Geen voorafgaand onderzoek CBP meer nodig bij deelname aan
bestaande zwarte lijst
► Geen vergunningplicht bij gebruikmaking EU Model clauses
► Geen verplichting jaarverslag FG meer
► Verhoging strafrechtelijke boetes
► Recht van verzet betrokkene bij gebruik direct marketing, welke
maatregelen om gebruik gegevens te beëindigen?
26 september 2012 Pagina 8

9. Privacy - Wbp 3 juli 2012
► Drie Wbp gerelateerde besluiten aangepast:
► Besluit kostenvergoeding rechten betrokkene
► Expliciete regeling voor vergoeding afdrukken röntgenfoto’s
► Meldingsbesluit Wbp
► Vrijstellingsbesluit Wbp
► Doel: administratieve lasten en nalevingskosten
verminderen
26 september 2012 Pagina 9

10. Privacy Wbp - Wetsvoorstel gebruik camerabeelden en
meldplicht data ekken (medio 2013)
► Aanbieders van informatiediensten verplicht om diefstal,
verlies of misbruik van persoonsgegevens te melden.
► Dat zijn dus meer dienstverleners dan de aanbieders van
elektronische communicatienetwerken en -diensten voor
wie op grond van de Telecommunicatiewet een meldplicht
geldt om de persoonsgegevens van abonnee of gebruiker
beter te beschermen.
► Boete: maximaal EUR 450.000,=
► Moet nog naar Tweede Kamer
► Oproep tot uitstel ICT ~ Office
26 september 2012 Pagina 10

11. Privacy - EU Verordening (medio 2013/2014)
► Vervangt Dataprotection directive (94/46/EG)
► Pan Europese regeling met directe werking
► Verplichte aanstelling ‘Data Protection Officer’
► (vanaf 250 fte)
► ‘Privacy by Design’ principe invoeren;
► ‘Privacy Impact Assessments’ verplicht;
► Introductie van boetes tot 2% van de jaarlijkse
wereldwijde omzet van een onderneming;
► (BCR: van nice to have naar must have? EU Comm
Reding)
26 september 2012 Pagina 11

12. Privacy - EUV - Privacy by design
► EU Verordening eist invoering PbD principe:
► Rethink
► Redesign
► Revive
‘’ Legacy systems to improve privacy protection will help
organizations not only to meet compliance objectives, but also to
achieve cost savings and improve business performance ‘’
(PbRD Ms. Cavouvikian, Privacy by ReDesign: Building a better legacy).
26 september 2012 Pagina 12

13. Privacy - EUV - Privacy Impact Assessment
(1/2)
► Definitie: Een PIA is een proces waarbij op doordachte en
systematische wijze de effecten op het gebied van de bescherming
van persoonlijke levenssfeer en persoonsgegevens van een project,
programma, wet- of regelgeving, dienst, product of een ander initiatief
worden beoordeeld en aan de hand van die beoordeling maatregelen
worden voorgesteld en genomen die noodzakelijk zijn om negatieve
effecten op de persoonlijke levenssfeer te voorkomen of te beperken.
► Een PIA heeft derhalve ten doel (de verantwoordelijke te helpen) om
privacyrisico’s te identificeren, problemen ten aanzien van privacy te
voorkomen en om oplossingen naar voren te brengen.
► Voor: “verantwoordelijken”
26 september 2012 Pagina 13

14. Privacy - EUV - Privacy Impact Assessment
(2/2)
► Binnen de EU is in het VK door de Information Commissioners Office
een Privacy Assessment Handboek opgesteld.
► Europese Commissie heeft een aanbeveling gedaan over de
tenuitvoerlegging van de beginselen inzake de bescherming van de
persoonlijke levenssfeer en persoonsgegevens in RFID-
toepassingen. Dit kader is getoetst en goedgekeurd door de Artikel
29 Werkgroep.
► Op 21 september 2011 is een Privacy Impact Assessment
Framework gepubliceerd ten behoeve van het directoraat generaal
van de Europese Commissie.
26 september 2012 Pagina 14

15. Privacy - EUV - Accountability principe
► Verplichting van organisaties (verantwoordelijken) om aan
te tonen dat zij compliant zijn, door het incorporeren van
interne protocollen en mechanismes die compliance
garanderen
26 september 2012 Pagina 15

16. Privacy - Data breach notification - Wbp
► “Er is sprake van een datalek als technische en
organisatorische maatregelen niet hebben gefunctioneerd
en de persoonsgegevens blootgesteld zijn aan een
aanmerkelijk risico van verlies of onrechtmatige
verwerking.”
► Hierbij kan worden gedacht aan omstandigheden waardoor
persoonsgegevens worden blootgesteld aan het risico van verlies of
onrechtmatige verwerking, zoals:
► hackers die technisch geavanceerde beveiligingsmaatregelen teniet
doen of omzeilen;
► een slordig omgaan met het beheer van wachtwoorden;
► een inbraak of waterschade in het gebouw waarin de verantwoordelijke
gevestigd.
26 september 2012 Pagina 16

17. Privacy - Data breach notification - EU
► “A breach should be considered as adversely
affecting the personal data or privacy of a data
subject where it could result in, for example,
identity theft or fraud, physical harm, significant
humiliation or damage to reputation.”
(Verordening, overweging 67)
26 september 2012 Pagina 17

18. Data breach notification
► Preventie
► principe van “minimal disclosure” en “minimal storage period”
► Monitoring
► Informatiebeveiligingsincidenten (ook van derde partijen!!)
► Van buiten naar binnen én van binnen naar buiten?
► Correctie
► schade beperken en lek dichten
► Communicatie en melding
► informeren betrokkenen en melden bij CBP
► Interne opvolging en rapportage
26 september 2012 Pagina 18

19. Zorg - Wet Cliëntenrechten Zorg
(controversieel)
► Doel: rechtspositie cliënten versterken en verduidelijken
► Door: regels uit bestaande wetten (Wgbo, Wet BIG, Wet Gebruik
BSN) samen te voegen tot 1 nieuwe wet.
► Wat:
► Cliënt kan makkelijker kiezen voor een zorgaanbieder die het beste bij zorgvraag
past. Wie niet tevreden is, kan daarover eenvoudiger en effectiever een klacht
indienen.
► Regelt ook de verantwoordelijkheden van zorgaanbieders voor de kwaliteit van
zorg.
► Geldt voor alle handelingen voor individuele gezondheidszorg, dus bijvoorbeeld
ook voor zorg in privéklinieken of zorghotels De rechten uit de wet gelden voor
iedereen die voor informatie, onderzoek, advies, behandeling, verpleging of
verzorging bij een zorgaanbieder terecht komt.
26 september 2012 Pagina 19

20. Zorg - Wetsvoorstel cliëntenrechten bij
elektronische verwerking van gegevens
► Wanneer: Op “korte termijn” naar RvS en daarna naar TK
► “Geen aanvullende wettelijke regelgeving of wijziging nodig; er
worden algemene regels gesteld voor elektronische gegevens
uitwisseling in de zorg, niet voor een bepaald systeem”.
► “De regelgeving is daarmee toereikend voor verschillende wijzen van
elektronische gegevensuitwisseling”
► (Bron: brief Min VWS aan EK d.d. 23 mei 2012)
26 september 2012 Pagina 20

21. Cloud Computing – ‘regelgeving’
► “Een dienstverlening die op afstand via elektronische
wijze door de Leverancier ter beschikking wordt gesteld,
inhoudende het gebruik van Software of een Platform dat
op de Infrastructuur van de Leverancier draait, een en
ander inclusief de Installatie en Onderhoud van de
Software en het Platform en de Opslag van Data van
Afnemer”
► Zienswijzen Art 29Werkgroep en CBP
► Geen directe werking, maar toch …
26 september 2012 Pagina 21

22. Standaarden (1/2)
► Volgens Min VWS is het aan de Ver. voor Zorgaanbieders en Zorg
communicatie (VZVZ) hier verder invulling aan te geven.
► CCR/CCD (Nictiz)
► CCR/CCD biedt de mogelijkheid om op een flexibele manier de
meest belangrijke en actuele patiëntinformatie elektronisch samen
te stellen.
► CCR/CCD geeft structuur aan zorgverleners om afspraken te
maken over de gegevens die worden uitgewisseld bij de
overdracht van patiënten in de zorgketen.
► Het biedt zorgverleners, die de patiënt behandelen, de mogelijkheid
de gegevens in samenhang te zien.
► In de Verenigde Staten heeft HITSP (Health Information Technology
Standards Panel, een overheidsinitiatief) de C32 standaard ontwikkeld
voor de uitwisseling van een samenvatting van de medische status
van een patiënt.
26 september 2012 Pagina 22

23. Standaarden (2/2)
► Het Europese epSOS (Smart Open Services for European
Patients) project heeft als voornaamste doel de kwaliteit
en veiligheid van de gezondheidszorg voor burgers, die
tijdelijk in een ander Europees land verblijven, te
verbeteren.
► Om dit te bereiken is onder meer voor de overdracht van
de meest relevante patiënt gegevens een ‘Patient
Summary’ gedefinieerd. Dit overdrachtdocument is een
verdere uitwerking van het IHE Medical Summary profiel
op grond van de epSOS eisen voor de Europese use
case.
26 september 2012 Pagina 23

24. Security
► Beveiliging of veiligheid ?
► De actie of de situatie?
26 september 2012 Pagina 24

25. Toetsbare normen
Er zijn een aantal normen die kunnen helpen bij het invullen van de
open (beveiligings-)norm en toetsen van de situatie:
► ISO Code voor informatiebeveiliging (27001)
► AV23 (risico klassen)
► CBP
► AV Werken in netwerken
► CBP
► Raamwerk Privacy Audit
► CBP
► NEN7510/Zekere Zorg 3 (toetsingskader NEN7510, W&R + Uitbesteding)
► NEN, NIAZ/NOREA
► HKZ normen
► Handreiking risico analyse
► NVZ
► General Accepted Privacy Principles (GAPP)
26 september 2012 Pagina 25

26. Uitbesteding
► PON Modelcontract outsourcing
► Norea/PviB: Normen voor de beheersing van uitbestede
ICT-Beheerprocessen
► Art 29 Werkgroep zienswijze
26 september 2012 Pagina 26

27. Studierapport ENISA
► “The principle of minimal disclosure (when collecting personal data)
and the principle of minimal storage period (when storing data) is
operationalized”
► Verzamel alleen
noodzakelijke data – niet
meer dan je nodig hebt.
► Alleen data opslaan zolang
dit noodzakelijkwijs nodig is
(met inachtneming data
retention verplichtingen)
26 september 2012 Pagina 27

28. Compliance - definitie
Compliance is een term die de afgelopen jaren met name in het bank en
verzekeringswezen wordt gebruikt en in de (van DNB afkomstige)
Regeling organisatie en beheersing (Rob) wordt gedefinieerd als: de
naleving van wet- en regelgeving, alsmede het werken volgens de
normen en regels die een instelling zelf heeft opgesteld.
26 september 2012 Pagina 28

29. Uitdaging
Hoe vul je de eisen uit privacy én toezichtwet- en regelgeving
concreet, efficiënt en in doorlopende overeenstemming daarmee in?
► Kernissues:
► Bewaren
► Wbp: vernietigen na bereiken doel
≠
► Toezicht: wettelijke bewaartermijnen in achtnemen
► Geheimhouden
► Wbp: technische en organisatorisch maatregelen om te beschermen
en geheimhouden, maar ook (≠) transparant zijn
≠
► Toezicht: monitoren voor en/of verstrekken gegevens op verzoek van
toezichthouders
26 september 2012 Pagina 29

30. To do
► Geïntegreerde aanpak:
26 september 2012 Pagina 30

31. Contact
Peter Kits
E: peter.kits @hollandlaw.nl
M: 06 21252338
26 september 2012 Pagina 31

32. Holland Van Gijzen Advocaten
en Notarissen LLP
Holland Van Gijzen Advocaten en Notarissen LLP is een limited liability partnership gevestigd in Engeland en Wales met
registratienummer OC335658. In relatie tot Holland Van Gijzen Advocaten en Notarissen LLP wordt de term partner
gebruikt voor een (vertegenwoordiger van een) vennoot van Holland Van Gijzen Advocaten en Notarissen LLP. Holland
Van Gijzen Advocaten en Notarissen LLP is statutair gevestigd te Lambeth Palace Road 1, London SE1 7EU, Verenigd
Koninkrijk, heeft haar hoofdvestiging aan Boompjes 258, 3011 XZ Rotterdam, Nederland en is geregistreerd bij de Kamer
van Koophandel Rotterdam onder nummer 24433164. Holland Van Gijzen Advocaten en Notarissen LLP heeft een
strategische alliantie met Ernst & Young Belastingadviseurs LLP. Op onze werkzaamheden zijn algemene voorwaarden
van toepassing, waarin is opgenomen dat iedere aansprakelijkheid is beperkt tot het bedrag dat in het desbetreffende
geval onder onze beroepsaansprakelijkheidsverzekering wordt uitbetaald. De algemene voorwaarden zijn gedeponeerd bij
de Kamer van Koophandel Rotterdam en zijn in te zien op www.hollandlaw.nl.