AVG Bewust

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362 of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Als ik een antwoord wil afstemmen met relevante stakeholders (collega FG’s, AP, leden van een Expert Community), kan daar mogelijk iets langer overheen gaan. Incidenteel tref je een zelfde vraag (en antwoord) onder VerantwoordingsplichtKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn rechten als betrokkene 

 of

Rechten

Als alternatief inlogmiddel naast DigiD is tot 31-12-2018 een pilot gedraaid met Idensys. Naast een aantal gemeenten en verzekeraars heeft een aantal zorgpartijen aan deze pilot deelgenomen. De ervaringen opgedaan tijdens deze pilot zijn van belang voor het programma Impuls eID dat moet voorzien in de brede uitrol van authenticatiemiddelen van voldoende hoog betrouwbaarheidsniveau door BZK. Zie deze pagina voor een uitgebreidere toelichting of direct naar de brief aan de 2e Kamer van Staatssecretaris Knops van BZK van 29-02-2019 over de voortgang en aanpak

Geen. Met zekerheidsniveau en betrouwbaarheidsniveau wordt hetzelfde bedoeld.

Tweefactor-authenticatie (2FA) is een extra beveiliging voor toegang tot gegevens via een netwerk. Zie deze pagina voor meer informatie.

Om meer zekerheid te krijgen over de identiteit van iemand die fysiek toegang zoekt tot een computer, laptop of tablet wordt doorgaans gebruik gemaakt van specifieke fysieke kenmerken: biometrische gegevens. Denk daarbij aan een irisscan of je vingerafdruk.

Op de site van de Autoriteit Persoonsgegevens tref je naast extra informatie ook antwoorden op vragen over biometrie.

Nee dat mag inderdaad niet. Gegevens over gezondheid zijn “bijzondere” persoonsgegevens. Staan die gegevens online dan moet diegene die toegang zoekt moet iets extra’s doen om meer zekerheid te hebben over degene die de gegevens benadert. Bijvoorbeeld door een QR code te scannen, of een code invoeren die via SMS is toegestuurd naar een bekend mobiel nummer. We spreken dan over een ander zekerheidsniveau. In dit geval door middel van 2 factor authenticatie of 2FA. Ga hierover in overleg met uw zorgverlener. Voor meer informatie over zekerheidsniveaus kun je terecht op deze pagina of dit document.

Tenzij extra maatregelen worden genomen zoals end-to-end encryptie kunnen onbevoegden kennis nemen van de inhoud van een bericht. Daarnaast is op mailservers zonder moeite na te gaan wie met wie communiceert. Om dit te voorkomen dient voor een verantwoorde en veilige uitwisseling gebruik te worden gemaakt van een omgeving die specifiek is ingericht voor veilige overdracht van vertrouwelijke gegevens. Binnen MedMij worden daarvoor de randvoorwaarden in kaart gebracht en wordt getest in proefomgevingen die voldoen aan de in de AVG gestelde randvoorwaarden. Ook heeft het Informatieberaad zorg het onderwerp ‘Veilige mail‘ geadresseerd en tenslotte is het Ministerie van BZK bezig het het vinden van een alternatief voor DIGID als digitaal paspoort.

De term zekerheidsniveau heeft te maken met de zekerheid over iemands identiteit. Ook wordt wel de term betrouwbaarheidsniveau gehanteerd. Als iemand via een netwerk toegang wordt gegeven tot persoonsgegevens is het van belang om zeker te stellen dat alleen diegene toegang heeft die daartoe bevoegd is. Technologische ontwikkelingen, toenemende risico’s en de toenemende gevolgschade, zorgen voor een evolutie, waardoor de eenvoudige combinatie van een gebruikersnaam en wachtwoord (niveau 1. basis) is vervangen door het scannen van een QR-code en invoer van een pincode (bij gebruik van een app) of met een sms bericht naar een geverifieerde mobiele telefoon (niveau 2. midden) wat ook wel 2 factor authenticatie of 2FA wordt genoemd.

Dat was voldoende voor de toegang tot medische gegevens, maar inmiddels volstaat ook dat niet meer en wordt feitelijk het hoogste niveau, niveau 4. hoog verlangd. Klik hier voor een overzicht met voorbeelden van vereiste betrouwbaarheidsniveau’s bij een aantal verschillende diensten.

Omdat de daarvoor noodzakelijke middelen nog niet grootschalig en gebruiksvriendelijk voor handen zijn – en er bovendien een ander systeem (Idensys) is ontwikkeld – volstaat voorlopig nog niveau 2 (dus 2 FA) voor de toegang tot bijzondere persoonsgegevens zoals gegevens over gezondheid. Zie deze pagina voor meer informatie.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport