Ook zorgsector moet zich op privacywet AVG voorbereiden

ma 5 februari 2018 - 12:05
Z-Cert
Security
Nieuws

De verwerking van medische en patiënt/cliëntgegevens wordt steeds strenger gereguleerd. In 2017 kwam na jaren van gesteggel de vernieuwde Wet cliëntenrechten bij elektronische verwerking van gegevens tot stand, met over enkele jaren een geplande uitbreiding ervan. Nu gaat de privacy-wet AVG vanaf mei 2018 ook op privacy-gebied veel ge- en verbieden. De Autoriteit Persoonsgegevens houdt toezicht op handhaving van de AVG.

Vanaf mei geldt in Nederland niet langer de Wet bescherming persoonsgegevens (Wbp) maar de vanuit EU-verband ingevoerde privacywet AVG (Algemene verordening Persoonsgegevens). Op het gebied van privacy betekent dit meer bescherming van burgers en meer plichten voor organisaties die gegevens van – in de zorgsector – patiënten en cliënten bezitten. Overigens bevat de AVG voor de zorgsector wel een aantal mogelijkheden om in nationale wetgeving afwijkende regels te maken. Voor Nederland blijft bijvoorbeeld zorgspecifieke wetgeving zoals de Wgbo gelden.

Uitbreiding taken AP door privacywet

Laura Ghirlanda vertelde namens de AP op de ICT&health conferentie eind januari in Utrecht wat deze omwenteling betekent voor de relatie tussen de privacytoezichthouder en partijen in de zorg – van technologie-ontwikkelaar tot huisartsenpraktijk en van verzekeraar tot apotheek. De taken van de toezichthouder worden fors uitgebreid. Onder meer met voorlichting aan het publiek en aan organisaties/bedrijven, met internationale samenwerking, met steviger boetebevoegdheden (20 mln euro of 4% jaaromzet maximaal).

Van Meldplicht Datalekken tot AVG

De afgelopen twee jaar was er al de Meldplicht datalekken, met veel meldingen - bijna 30 procent van het totaal - uit zorg en welzijn. Tot nu toe werd er vooral voorgelicht en gewaarschuwd.  Vanaf mei 2018 komt er handhaving en boetes bij voor niet goed omgaan met datalekken. Verder heeft de zorgsector de afgelopen jaren al een en ander voor de kiezen gehad, zoals :
  • Extra strenge regels bijzondere persoonsgegevens zoals medische gegevens staan al in de WBP, onder meer op het gebied van beveiliging.
  • De wet clientenrechten bij elektronische gegevensverwerking geldt sinds 2017 in aanvulling op de WBP en straks de AVG (zoals het toestemming vragen om gegevens te mogen verstrekken).

Systeemtoezicht vanuit AP

Er staan veel zogenoemde accountabilityverplichtingen in de AVG. Organisaties moeten actief aantonen dat zij voldoen aan de privacywetgeving. De AP zal haar toezicht anders inrichten door bijvoorbeeld naast controlerende onderzoeken ook systeemtoezicht toe te passen. Laura Ghirlanda verwacht voor de zorgsector veel van systeemtoezicht: “De zorgsector is over het algemeen heel bereid tot naleving van de wet.”

Medisch beroepsgeheim

De AP houdt ook toezicht op het medisch beroepsgeheim. Het medisch beroepsgeheim kan ook bij e-healthtoepassingen een rol spelen. Bijvoorbeeld bij een app die door een huisarts bij een patiënt wordt gebruikt in het kader van een behandeling. In de AVG zijn voor de zorgsector best wat uitzonderingen opgenomen, waarbij nationale regels toegestaan zijn, dit in tegenstelling tot de grotendeels gelijkgetrokken regulering EU-wijd. Laura Ghirlanda: “Nieuw in AVG is onder meer het recht op dataportabiliteit. Dit betekent dat je aan verantwoordelijke organisaties kunt vragen om jouw gegevens machineleesbaar aan jou of aan andere verantwoordelijke te geven. Dat kan zo simpel zijn als de overdracht van gegevens van de ene fitness-app naar de ander. Maar dit geldt tot op zekere hoogte ook voor ziekenhuizen.”

Recht op vergeten worden

De AVG geeft burgers verder ook het recht op recht vergeten worden. “Mensen mogen dus vragen om gegevensverwijdering als zij vinden dat de betrokken gegevens niet meer nodig zijn (zoals al enkele jaren geldt bij zoekresultaten). Voor bijvoorbeeld e-health geldt dat je dus goed moeten nadenken over technologie die je wilt gebruiken. Ghirlanda hamert er dan ook op dat privacy by design (het meenemen van minimale privacy-impact, maximale bescherming) vanaf het begin van het ontwerp van een digitale toepassing, EPD, slimme tandenborstel et cetera noodzakelijk is. Verder geldt het concept ‘privacy by default: de standaardinstellingen moeten standaard het meest privacy-vriendelijk zijn.

Van belang voor zorgsector

Vier elementen die volgens Laura Ghirlanda van belang zijn voor de zorgsector:
  • Je hebt de verwerkingsverantwoordelijke (zeggenschap over verwerking) en de verwerker (verwerkt gegevens ten behoeve van de verwerkingsverantwoordelijke). Deze partijen dienen altijd een verwerkingsovereenkomst te sluiten. Een voorbeeld: gegevens tijdens thuisdialyse via de cloud geleverd aan een arts. De arts of het ziekenhuis zijn dan verwerkingsverantwoordelijke en de leverancier van het thuisdialyse-apparaat of een bijbehorende clouddienst is verwerker. De verwerkingsverantwoordelijke is het eerste aanspreekpunt als de wet wordt overtreden.
  • Organisaties mogen alleen gegevens verwerken die noodzakelijk zijn. Dus niet om andere gegevens vragen als dat niet nodig is voor het betreffende doel. Bijvoorbeeld bij een digitale toepassing: geen locatiegegevens opslaan als dat niet nodig is. of andere functies monitoren dan bloeddruk als je alleen de bloeddrukgegevens nodig hebt.
  • Doelbinding: gegevens uit een bepaalde behandeling mogen niet zomaar voor een ander doel gebruikt worden. Men mag bijvoorbeeld persoonsgegevens niet doorverkopen of doorleveren aan levensverzekeraar (tenzij de patiënt dit wil en er expliciet toestemming voor geeft).
  • Beveiliging: organisatorische en technische maatregelen om gegevens te beveiligen. Dit is bewust open geformuleerd vanwege de snelle ontwikkeling van technologie. HTTPS is nu afdoende voor beveiliging website, wellicht over paar jaar niet meer. “Er is een aantal NEN-normen die bepalen wat passende maatregelen inhouden. NEN-7510 is voor ons de standaard waar zorg aan moet voldoen.”