PRIVACY EN INFORMATIEBEVEILIGING WAAROM WAT IS ER NIEUW

PRIVACY EN INFORMATIEBEVEILIGING WAAROM? WAT IS ER NIEUW? WAT MAG, EN WAT NIET? Wendeline Sjouwerman wsjouwer@xs 4 all. nl 1 Copyright W. Sjouwerman 19 -3 -2018

Beveiliging nog niet op het noodzakelijk niveau Risicobewustzijn van medewerkers is laag Noodzaak om binnen korte tijd weer “in de lucht” te zijn 2 Copyright W. Sjouwerman 19 -3 -2018

3 Copyright W. Sjouwerman 19 -3 -2018

Naam, geboortedatum, woonadres en BSN: $ 1 Creditcardinformatie en bankgegevens: $ 25 Scan/kopie van paspoort, rijbewijs, bankrekening: $ 10 -35 Geen fantasie maar werkelijkheid 4 Copyright W. Sjouwerman 19 -3 -2018

Huidige relevante wetgeving Wet BIG WGBO JURIDISCH KADER EN BEROEPSCODE DIËTISTEN Wet Bescherming Persoonsgegevens Wet meldplicht datalekken Nieuw Europese Algemene verordening Gegevensbescherming (AVG) Wet kwaliteit, klachten en geschillen zorg (Wkkgz) Kwaliteitsnorm Geregistreerde diëtisten onderschrijven de Beroepscode NVD 5 Copyright W. Sjouwerman 19 -3 -2018

Goed voorbeeld 6 Copyright W. Sjouwerman 19 -3 -2018

Privacy beschermt tegen vooroordelen, willekeur, discriminatie, maar ook bijvoorbeeld tegen risico-selectie door verzekeraars of werkgevers. Op medisch gebied ligt het zelfs extra gevoelig. De regels zijn bewust lastig: ze zijn bedoeld een drempel te werpen op te gemakkelijk gebruik van persoonsgegevens Proportioneel (niet meer dan nodig) Subsidiariteit (kan het vervangen worden voor iets anders minder belastend) Geen onnodige inbreuk OMGANG MET PRIVACY Privacy geeft ons de mogelijkheid tot ontwikkeling en groei zonder noodzakelijk geconfronteerd te worden met keuzes uit het verleden. 7 Copyright W. Sjouwerman 19 -3 -2018

Zijn dit persoonsgegevens? Emailadres IP-adres Pasfoto Geluidsopname van je stem Etnische beschrijving PERSOONSGEGEVENS Buisje met bloed 8 Copyright W. Sjouwerman 19 -3 -2018

Zijn dit persoonsgegevens? Emailadres IP-adres Pasfoto Etnische beschrijving 1. Directe herleidbare persoonsgegevens Geluidsopname van je stem PERSOONSGEGEVENS Buisje met bloed 2. Indirect herleidbare persoonsgegevens 3. Mogelijkheid tot herleiding 4. Bijzondere persoonsgegevens 9 Copyright W. Sjouwerman 19 -3 -2018

VERSCHIL PERSOONSGEGEVENS VS PRIVACY GEVOELIGE GEGEVENS Welke van deze gegevens is privacy gevoelig? 1. De heer Jaap de Boer bereikbaar via www. jdeboer. nl 2. De heer J. de B, te W. Geb datum 23 -1 -1965 3. De heer J. de B, Visacard 2365 2478 10 Copyright W. Sjouwerman 19 -3 -2018

VRAAG UZELF AF… Ben ik geautoriseerd deze informatie te delen? Is de ontvanger geautoriseerd de informatie te ontvangen? Is de identiteit van zowel verzender als ontvanger bekend? Wat is de grondslag voor het delen van deze informatie? Met welk doel deel ik deze informatie? 11 Copyright W. Sjouwerman 19 -3 -2018

WANNEER MAG HET? Wettelijke grondslagen Ø Toestemming (doelgebonden) Ø Uitvoering van een overeenkomst Ø Nakoming wettelijke verplichting Ø Vitaal belang (dingende medische hulp) Ø Publiekrechtelijke taak Ø Gerechtvaardigd belang Doelbinding 12 Copyright: Wendeline Sjouwerman 8/3/2017

TOESTEMMING Pas na toestemming betrokkene historie zichtbaar maken voor derden Beperking persoonsgegevens communicatie via de mail maar in DAS Mogelijkheden onderzocht voor emailnotificatie bij nieuw bericht op cliëntenkaart 2 -weg authenticatie 13 Copyright W. Sjouwerman 19 -3 -2018

Organisaties zijn wettelijk verplicht een registratie van gegevensverzamelingen bij te houden ivm privacy rechten betrokkene. Ze hebben recht op: Correctie Verplaatsing/meenemen of 25 mei 2016 van kracht en te implementeren in 2 jaar tijd. Inzage EUROPESE ALGEMENE VERORDENING GEGEVENSBESCHERMING Indien toegestaan, verwijdering van hun gegevens Handhavende instantie: Autoriteit persoonsgegevens 14 Copyright W. Sjouwerman 19 -3 -2018

Verantwoordingsplicht Verantwoordelijke moet aantonen dat gegevensverwerking: 1. Rechtmatig, behoorlijk, transparant 2. Doelgebonden 3. Minimaal 4. Juist 5. Passend beveiligd tegen verlies/ onrechtmatige verwerking BELANGRIJKSTE VERANDERINGEN Register van verwerkingsactiviteiten > 250 werknemers: Verantwoordelijke en verwerker registratieplicht < 250 werknemers: niet, tenzij risico voor betrokkenen bij stelselmatige verwerking bijzondere persoonsgegevens (medische gegevens) Copyright W. Sjouwerman 15 19 -3 -2018

Oud Nieuw Gegevensverwerking aanmelden bij Meldingenregister Autoriteit Persoonsgegevens (voorheen CBP) Bij aanstelling Functionaris Gegevensbescherming kan aanmelding naar keuze: of bij FG of bij Meldingenregister AP (>250 medewerkers) Voorafgaand aan gegevensverwerking aanmelding bij AP Voorafgaand aan gegevensverwerking een Privacy Impact Assessment (PIA) uitvoeren (Gegevensbeschermingseffectbeoordeling) Bij complexe verwerkingen vooraf toestemming vragen Indien resultaat PIA hoog risico is en er worden geen maatregelen genomen, dan oezichthouder raadplegen (dus alsnog voorafgaand onderzoek) Onderscheid publiek en private sector Onderscheid tussen de publieke en private sector vervallen Weinig aandacht voor beperking toegankelijkheid van gegevens in relatie tot functie Privacy by default: gegevens zo weinig mogelijk toegankelijk maken voor anderen en alleen gebruiken voor het aangegeven doel of functie Scrabble? 16 Copyright W. Sjouwerman 19 -3 -2018

Minimale eisen: Welke gegevens er worden vastgelegd Of en welke gegevens er met derden worden gedeeld Zo ja, met wie Met welk doel Is toestemming noodzakelijk van de betrokkene? Toestemmingsverklaring (op datum, want toestemming kan worden ingetrokken) Wat is de wettelijke grondslag GEGEVENSBOEKHOUDING Veelal WGBO 17 Copyright W. Sjouwerman 19 -3 -2018

Iedere cliënt een eigen dossier met alle gegevens die betrekking hebben op de behandeling Inzage zo spoedig mogelijk Cliënt heeft recht op kopieën van alleen zijn eigen gegevens in het dossier (binnen 3 mnd) INZAGERECHT CLIËNT/ PATIËNT Cliënt mag vragen het dossier te wijzigen of zijn visie toevoegen aan het dossier 18 Copyright W. Sjouwerman 19 -3 -2018

DIËTISTEN Maatregelen treffen die privacy van cliënt, veiligheid en betrouwbaarheid van de gegevensuitwisseling en opslag waarborgen Eisen online hetzelfde als analoog Zonder toestemming cliënt geen gegevensuitwisseling Digitale gegevensverstrekking vastgelegd in dossier Pro-actieve informatieverstrekking over gebruik online communicatiemiddelen Altijd up-do-date software, virusscanner of firewall E-mails cliënten niet in email programma bewaren ter voorkoming dat computervirussen vat krijgen op vertrouwelijke gegevens Toegang tot computer en/of screensaver beveiliging met wachtwoorden en locken bij verlaten werkplek Professioneel gebruik (social) media Beroepscode NVD met betrekking tot digitaal handelen of elektronische gegevensuitwisseling 19 Copyright W. Sjouwerman 19 -3 -2018

Voor iedere behandeling is toestemming/instemming nodig Patiënt beslist uiteindelijk of er wel of niet behandeld wordt Patiënt heeft recht een behandeling of onderzoek te weigeren en de gegeven toestemming weer in te trekken Bij ingrijpende onderzoeken of behandelingen wordt uitdrukkelijk toestemming van de patiënt gevraagd TOESTEMMING VAN DE PATIËNT IS VEREIST Sluit af met de vraag: Dus u vindt het wel/niet goed dat ik…. en deze vastleggen op datum. 20 Copyright W. Sjouwerman 19 -3 -2018

De wet stelt geen eisen aan de vorm van toestemming. Ook mondeling gegeven toestemming is geldig, maar moet dan zijn vastgelegd op datum in het cliëntdossier/kaart * Zoals: Iedere uitwisseling van gegevens tijdens het traject Gebruik van papier is hulpmiddel en voorkomt problemen achteraf TOESTEMMINGSVERKLARING Te algemeen gestelde doelen* zijn ongeldig. Maak specifiek waarom bepaalde informatie of gegevens noodzakelijk zijn. 21 Copyright W. Sjouwerman 19 -3 -2018

Er is of kon nog geen contact worden gelegd (zorgmijders, juridisch onderzoek of veiligheid is in geding) INFORMATIEVERSTREKKING ZONDER TOESTEMMING Indien veiligheid van gezins(-leden) of beroepskracht in gevaar is mag wel informatie gedeeld worden. (=beroep doen op conflict van plichten) Betrokkene wordt achteraf geïnformeerd en wordt in staat gesteld tot inzage en bezwaar Leg vast in dossier op grond van welke argumenten voor deze handelswijze is gekozen! 22 Copyright W. Sjouwerman 19 -3 -2018

De mogelijkheden: Indien toestemming wordt geweigerd en wettelijke grondslag ontbreekt GEEN OF INGETROKKEN TOESTEMMING Wijs betrokkene altijd op de consequenties Dan niet gebruiken Dienstverlening stopt omdat het niet mogelijk is verdere diensten te verlenen Dienstverlening blijft beperkt Onvrijwillige dienstverlening (dwang en drang) 23 Copyright W. Sjouwerman 19 -3 -2018

INFORMATIEBEVEILIGING Zakelijk en privé 24 Copyright W. Sjouwerman 19 -3 -2018

Zo help je het slagen van een ransomware-aanval voorkomen: VOORKOM EN BEPERK 1. Creëer een "gezond wantrouwen" onder werknemers jegens o. a. mails van onbekenden 2. Gebruik goede antivirussoftware 3. Houd alle software up-to-date 4. Laat de zoekmachine standaard het url-adres van websites vooraf controleren (save search) 5. Sluit pop-ups in uw browser af met Alt+F 4 (niet door op het X-je te klikken!) Hoe beperk je de kans op een toekomstige ransomwareaanval: Maak back-ups (bij voorkeur één on- en één offline) Pas netwerksegmentatie toe Log en monitor alle toegang tot gegevens Copyright W. Sjouwerman 25 19 -3 -2018

1. Open deur, geef je wachtwoord nooit aan een ander en verander het regelmatig 2. Gebruik verschillende wachtwoorden per site of programma: 1. Kies een methode bv de kleur van het logo, gevolgd door de 1 e, 3 e en 5 e letter van de naam, gevolgd door willekeurige leestekens 2. TIPS Gebruik een zin bv ik ga morgen stoppen met roken/afvallen/fietsen (Igmsmr 11 -2015) 3. Dek je BSN nummer af bij kopie ID of gebruik de app 4. Geen woorden uit het woordenboek/ namen (staan allemaal in database) 5. Gebruik geen openbare Wifi als je de oorsprong niet met zekerheid kunt vaststellen 26 Copyright W. Sjouwerman 19 -3 -2018

Geef/vraag alleen kopie ID als dat volgens de wet verplicht is. Anders altijd BSN afdekken. 27 Copyright W. Sjouwerman 19 -3 -2018

28 Copyright W. Sjouwerman 19 -3 -2018

29 Copyright W. Sjouwerman 19 -3 -2018