Heel veel privacy-verplichtingen golden voor verwerkers van persoonsgegevens al onder de Wet bescherming persoonsgegevens (Wbp), stelt Ron Roozendaal, directeur
Informatiebeleid / CIO VWS. Wat wel verandert, zijn de rechten voor betrokkenen: mensen (dus ook patiënten, medewerkers en professionals) krijgen meer rechten. Zoals het recht op vergetelheid, de mogelijkheid om digitale data die over hen gaan op te halen en naar een ander te brengen (dataportabiliteit).
Meer rechten, meer werk door AVG
De verantwoordelijke toezichthouder (Autoriteit Persoonsgegevens) krijgt er ook meer ‘rechten bij’ voor handhaving en het opleggen van sancties. Daarnaast geeft de AVG op een aantal punten ook extra werk. Denk aan het updaten van bewerkersovereenkomsten naar een AVG-proof verwerkersovereenkomst, de inhoud van het verwerkingsregister, de privacyverklaring en het in veel gevallen moeten aanstellen van een Functionaris voor Gegevensbescherming.
E-mailen is volgens Roozendaal relatief onveilig als het gaat om medische gegevens, het fenomeen is te vergelijken met een ansichtkaart die eenvoudig gelezen of aangepast kan worden. Toch kan veilig mailen wel. Zo kiezen vel zorgorganisaties voor het gebruik van een beveiligde mailomgeving. Nadeel is wel dat er nog geen landelijke standaard of oplossing is voor de diverse omgevingen. Bij gewoon e-mailen moet het uitgangspunt zijn dat het beter is dit alleen in te zetten wanneer er geen privacygevoelige informatie verstuurd wordt.
PGO op smartphone controleren
Nog zo'n hype op social media: als de politie je aanhoudt in je auto en op je smartphone kijkt of je die hebt gebruikt tijdens het rijden, kan er ook naar medische gegevens in je PGO gekeken worden. Niet veel mensen hebben nu al zo'n PGO-app, maar de komende jaren moet dit veranderen dankzij ontsluiting van medische gegevens via MedMij.
Minister Bruins (Medische Zorg) bracht de mediahype aan het rollen door de mededeling dat PGO’s via een ‘nieuw systeem’ (MedMij) met één spreekwoordelijke druk op de knop inzichtelijk gemaakt kunnen worden via smartphone of tablet. Maar als je bij een ongeluk betrokken bent, kan de politie ter plekke dus gewoon grasduinen in je PGO, zo was de vrees.
Onzin, stelt
Rianne Blacquière, programmamanager AVG bij het ministerie van VWS. ‘Een agent mag kijken of je hebt gebeld of gewhatsappt. Dat betekent niet dat hij zomaar in het apparaat mag gaan grasduinen of kennis mag nemen van de inhoud van de al dan niet openstaande apps. Het ter plekke bekijken van jouw medische dossier omdat dit toevallig open stond tijdens het ongeval is dus uit den boze.’
Smartphone-arrest Hoge Raad
Het smartphone-arrest van de Hoge Raad geeft wat verduidelijking over wat wel of niet mag. Daaruit blijkt onder meer dat er eerst toestemming van een Officier van Justitie nodig is voordat een agent verder mag gaan dan controleren of iemand recent gebeld of geappt heeft. Dit is het geval wanneer er een min of meer compleet beeld verkregen wordt van bepaalde aspecten van het persoonlijk leven van de gebruiker van de gegevensdrager. Dus bijvoorbeeld diens medische conditie.
‘Daarbij is en blijft het onverantwoord (en strafbaar) om achter het stuur niet-handsfree te bellen, appen en mailen - laat staan door je medisch dossier te scrollen op het knooppunt Prins Clausplein,’ benadrukt Blacquière.
Helpdesk voor AVG
Om het zorgveld verder te ondersteunen bij het vinden van de juiste informatie nodig om de AVG te begrijpen of er aan te voldoen, is er een AVG helpdesk Zorg in de maak. VWS heeft deze helpdesk begin dit jaar toegezegd in het Informatieberaad Zorg. Een aantal branche- en koepelorganisaties helpt mee.
De in te richten AVG-Helpdesk voor de Zorg maakt geen onderscheid tussen eerste- of tweedelijnszorg en voorkomt daarmee het buiten de boot vallen van beroepsgroepen. Uitgangspunt van de helpdesk is ‘no wrong door’. Zorgverleners met een AVG-vraag nemen contact op met hun koepel maar kunnen ook bellen met het centrale nummer van de helpdesk. Daarnaast komt er een website met gezamenlijke Q&A’s, aangevuld met informatie (best practices en handreikingen) die vragers op weg helpt.
ICT&health editie nr. 2, 2018, verschijnt op 17 april, met een reeks bijdragen over privacy en de regulering ervan. Wilt u deze lezen, neem dan een abonnement. Tijdens de ICT&health World Conference op 22 juni kunt ook een aantal diepgaande sessies rondom dit onderwerp bijwonen.
