Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Sinds het van kracht worden van de AVG is er wel wat veranderd. Van belang is wie de informatie opvraagt en hoe (via welk medium) men de informatie wenst. Je kunt op de site van de LHV terecht voor uitvoerige informatie. Nog uitgebreidere informatie tref je in het document Omgaan met medische gegevens van de KNMG

Nee. Je zorgverlener is wel verplicht om je identiteit vast te stellen aan de hand van uw BSN nummer (zie ook deze vraag), maar kan dan volstaan met het overnemen van het nummer van het identiteitsbewijs zoals het nummer van je paspoort. In tegenstelling tot wat veel mensen denken, zijn er maar een paar organisaties die die wel verplicht zijn om een kopie van uw identiteitsbewijs te maken. Met het oog op risico’s is het sterk af te raden om je paspoort of rijbewijs zomaar af te geven om een kopietje te laten maken! Als je zelf een kopie maakt en het BSN afdekt of goed doorstreept of de KopieID app gebruikt kun je de risico’s op identiteitsfraude verkleinen. Zie ook dit filmpje en de informatie op deze pagina.

Ik heb ergens gehoord/gelezen dat het beleid van het plaatsen van foto’s op FaceBook zou zijn versoepeld zolang er maar geen namen worden vermeld. Klopt dat?

Ik ben uiteraard benieuwd naar de bron, maar ga er maar van uit dat die informatie niet juist is. Op de site van de AVG Helpdesk Zorg, Welzijn & Sport tref je informatie over wanneer je toestemming moet vragen om foto’s te gebruiken en wanneer je ze mag doorsturen.

Overigens voltrekken de ontwikkelingen op het gebied van gezichtsherkenning zich zo snel en zijn de databases van een aantal partijen inmiddels zo rijk gevuld, dat het vermelden van een naam tegenwoordig niet eens meer nodig is. Zie de informatie en een bijzonder informerend filmpje op deze themapagina.

Jazeker heeft dat consequenties. Zowel voor jullie als voor de verwerker waarmee je een overeenkomst hebt. De vraag is ook gesteld aan de Autoriteit Persoonsgegevens. De AP heeft toegezegd begin 2019 meer duidelijkheid te zullen verschaffen. Op de site van de AVG Helpdesk Zorg Welzijn & Sport zijn een aantal vragen en antwoorden toegevoegd. https://www.avghelpdeskzorg.nl/onderwerpen/brexit

Als alternatief inlogmiddel naast DigiD is tot 31-12-2018 een pilot gedraaid met Idensys. Naast een aantal gemeenten en verzekeraars heeft een aantal zorgpartijen aan deze pilot deelgenomen. De ervaringen opgedaan tijdens deze pilot zijn van belang voor het programma Impuls eID dat moet voorzien in de brede uitrol van authenticatiemiddelen van voldoende hoog betrouwbaarheidsniveau door BZK. Zie deze pagina voor een uitgebreidere toelichting of direct naar de brief aan de 2e Kamer van Staatssecretaris Knops van BZK van 29-02-2019 over de voortgang en aanpak

Geen. Met zekerheidsniveau en betrouwbaarheidsniveau wordt hetzelfde bedoeld.

In een brief van de AP aan de NVZ stelt de AP op 7 oktober 2016, dat “bij de patiënt-authenticatie voor communicatie met en onder verantwoordelijkheid van de zorgaanbieder in beginsel dient te worden uitgegaan van een ‘hoog betrouwbaarheidsniveau’ en dat in gevallen waar het gaat om gegevens waarop het medisch beroepsgeheim van de zorgverlener rust het ‘hoogste betrouwbaarheidsniveau’ vereist is.”

In de brief van de Autoriteit Persoonsgegevens aan de voorzitter van het Informatieberaad Zorg van 4 oktober 2018 wordt herhaald dat, “door het ontbreken van een brede beschikbaarheid van middelen die toezien op het vaststellen van betrouwbaarheidsniveau “substantieel” dan wel het voor de zorg vereiste “hoog”, de elektronische uitwisseling van gegevens over de gezondheid tussen zorgaanbieders en patiënten in beginsel niet kan plaatsvinden omdat de bescherming van persoonsgegevens, waaronder gegevens over gezondheid, dan onvoldoende is gewaarborgd ” In de brief wordt gesteld dat “brede beschikbaarheid van betrouwbaarheidsniveaus “substantieel” en “hoog” voor alle patiënten  nog enige tijd in beslag zal nemen.

In de brief wordt niet gesproken over de uitwisseling tussen zorgverleners. Voor zover ik weet beschikken die ook niet over de middelen om een passend betrouwbaarheidsniveau toe te passen. Is dat dan volgens de AP wel toegestaan?  

Hoewel de focus in de brieven waaraan u refereert lijkt te liggen op het raadplegen (de toegang tot gegevens – ook wel pull genoemd), heeft u me in een gesprek duidelijk gemaakt dat uw vraag ook betrekking heeft op versleuteling van de inhoud van berichten op een zodanige wijze dat zekerheid bestaat over de verzender en dat alleen de ontvanger kennis kan nemen van die inhoud (end-to-end encryptie). Die middelen zijn inderdaad nu nog niet breed beschikbaar. En ja, op dit moment is sprake is van uitwisseling van berichten zonder dat de vereiste zekerheid bestaat over verzender. En ja, het is niet uit te sluiten dat naast de beoogd ontvanger ook anderen van de inhoud van het bericht over u kennis nemen.  

Omdat het in de gezondheidszorg geen optie is om niet uit te wisselen, zullen verwerkingsverantwoordelijken dus moeten roeien met de riemen die men op dit moment heeft, waarbij ieder risico van onbevoegde kennisname zoveel mogelijk wordt uitgesloten. Of in AVG termen.. daartoe “passende technische en organisatorische maatregelen” moeten nemen. Met dat begrip passend wordt dus ook rekening gehouden met het ontbreken van die “breed beschikbare middelen” op dit moment.  

Zie voor aanvullende informatie ook deze pagina.

Hoe lang blijft een eerder door mij gegeven toestemming geldig? Is voorzien in een herijking? 

In de tekst van een document op de site van de Autoriteit Persoonsgegevens staat: “De AVG verschaft geen specifieke termijn voor  hoe lang  toestemming geldig blijft.  Hoe lang toestemming  geldig  blijft,  hangt af  van de context,  de werkingssfeer van de oorspronkelijke toestemming en de verwachtingen van de betrokkene.  Wanneer de  verwerkingsactiviteiten veranderen of  in aanzienlijke mate  transformeren, is de oorspronkelijke toestemming niet meer geldig. Indien dit het geval is, moet opnieuw toestemming worden verkregen.

Geadviseerd wordt om toestemming “met passende tussenpozen” te  vernieuwen. Ook  hier helpt het verstrekken van alle informatie om  ervoor te  zorgen dat de betrokkene goed geïnformeerd blijft over hoe zijn of haar gegevens worden gebruikt, en hoe zijn of haar rechten kunnen worden uitgeoefend.

Kernwoord(en): Artikel 7, Toestemming

Ja dat kan. Als je twijfels hebt of vermoedt dat risico’s onvoldoende zijn afgedekt ben je dat zelfs verplicht. Je bent dan immers niet in staat om de vereiste adequate technische en organisatorische beveiligingsmaatregelen te treffen. Overeenkomstig Artikel 36 van de AVG ben je dan verplicht om een voorafgaande raadpleging aan te vragen bij de AP. Een FG kan je hierin adviseren. De wettelijk vastgestelde behandeltermijn voor een voorafgaande raadpleging is maximaal 14 weken. Tijdens deze procedure mag nog niet worden begonnen met de verwerking! Op de site van de AP tref je een pagina met aanvullende informatie, vragen en antwoorden en het formulier waarmee je om de voorafgaande raadpleging verzoekt. Na invulling dient dat te worden gericht aan:

Autoriteit Persoonsgegevens
Verzoek voorafgaande raadpleging
Postbus 93374
2509 AJ DEN HAAG

Artikel 28.3 (2e afbeelding op deze pagina) schrijft voor wat er in de bewerkersovereenkomst dient te zijn opgenomen. Het hebben van een goede verwerkersovereenkomst maakt onderdeel uit van de door de verwerkingsverantwoordelijke te treffen organisatorische maatregelen. Komt er geen verwerkersovereenkomst tot stand die voldoet aan de eisen die de AVG daaraan stelt, dan voldoe je niet aan de AVG en ben je strafbaar als je de persoonsgegevens verwerkt. 

Kun je je, als verwerkingsverantwoordelijke niet vinden in de inhoud van een verwerkersovereenkomst die je door een verwerker wordt aangeboden, ga dan niet akkoord. De AVG verwacht van een verwerkingsverantwoordelijke dat die de regie neemt. Dat kan door zelf het initiatief te nemen en gebruik te maken van de inmiddels zorg breed geaccepteerde modelovereenkomst. Als de beoogd verwerker zich niet kan vinden in de inhoud, is het zaak om de, met de verwerker gevoerde correspondentie goed vast te leggen (zie ook deze FAQ). Misschien is het ook goed om je te realiseren dat bij iedere verwerking sprake dient te zijn van rechtmatigheid en een verwerkingsverantwoordelijke die doel en middelen van de verwerking bepaalt. Dit ook in relatie tot de ruimte c.q. bewegingsvrijheid van een verwerker. De verantwoordelijke geeft antwoord op de vragen: welke gegevens worden verwerkt, hoe die worden verwerkt; wie er toegang tot die gegevens heeft en hoe lang ze worden bewaard (c.q. wanneer ze worden verwijderd). Als je zelf op al die vragen geen antwoord kunt geven of geen bepalende rol hebt, kun je de rol van verwerkingsverantwoordelijke niet vervullen en ligt die bij een ander. Zie ook deze FAQ op de site AVG helpdesk voor de Zorg

Geanonimiseerde gegevens zijn geen persoonsgegevens. Voor het verstrekken van anonieme gegevens hoeft uw zorgverlener dan ook geen toestemming te vragen. Als dat wel gebeurt, is dat dus met elkaar in tegenspraak. Er zijn echter onderzoeken bekend die met het verstrekken van anonieme gegevens zijn gestart, maar die, door het uitvragen van meer persoonsgegevens inmiddels wel tot een persoon herleidbaar zijn. Daarmee zijn het persoonsgegevens en is wel expliciete toestemming vereist.

De AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. Zie dit document op de site van de KNMG. Zie in dit verband ook deze vraag

Ja, maar wel op een veilige manier. Pas nadat gecontroleerd is of u degene bent die hoort bij het BSN mag het BSN in de administratie worden opgenomen. De zorgverlener controleert dit aan de hand van uw identiteitsbewijs. Als een behandelingsovereenkomst tot stand is gekomen, is iedere zorgaanbieder sinds 1 juni 2009 wettelijk verplicht om het Burgerservicenummer (BSN) in zijn administratie op te nemen en te gebruiken bij de uitwisseling van gegevens. Dit is geregeld in de Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg (WABVPZ).

De wetgever stelt wel voorwaarden aan het gebruik van het BSN. Via het Besluit elektronische gegevensverwerking door zorgaanbieders worden nadere regels gesteld over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders. Zorgaanbieders zijn verplicht om te voldoen aan de NEN normen voor informatiebeveiliging  (NEN 7510, 7511 en 7512).

De behoefte aan eenduidigheid en eenvoud is begrijpelijk, maar nee, dat zou strijdig zijn met artikel 7 van de AVG. Voor het verkrijgen (en registreren) van toestemming gelden strikte regels waaraan moet worden voldaan om de kwalificatie “rechtsgeldig” te verdienen. In verband met de vereiste specificiteit en ondubbelzinnigheid dienen toestemmingen dus afzonderlijk te worden verkregen en gedocumenteerd.

Nee natuurlijk niet. Als er maar in staat wat er in staan moet. En als bijzondere persoonsgegevens, zoals gegevens over de gezondheid en een BSN worden geregistreerd is dat meer dan als dat niet het geval is. Maar een privacyverklaring heeft echt niet formeel te zijn. Als je eens op zoek gaat tref je soms zeer toegankelijke en inspirerende verklaringen. Zoals deze van een theatergezelschap die me onlangs werd toegespeeld door een collega en waarnaar ik ter inspiratie graag verwijs.

Kernwoord(en): Privacyverklaring

Zorgverleners moeten kunnen aantonen dat aan de identificatieplicht is voldaan. Om dat te doen wordt het het type en het nummer van het identiteitsbewijs in de administratie vastgelegd. Kopie of scan maken  (waarbij alle persoonsgegevens zichtbaar zijn) is niet toegestaan.  Zie ook de site van de Autoriteit Persoonsgegevens.

Als verwerkingsverantwoordelijke heb je de wettelijke plicht om persoonsgegevens te beveiligen. Nadat je de verwerkingen in kaart hebt gebracht (zie 2e sheet op deze pagina)  is de volgende stap om vast te stellen aan welke eventuele risico’s de gegevens worden blootgesteld (of zouden kunnen worden blootgesteld) en welke beveiligingsmaatregelen genomen moeten worden om ze tegen die risico’s te beschermen. Een PIA (Privacy Impact Assessment) of ook wel Data Protection Impact Assessment genoemd brengt die risico’s op een gestructureerde wijze in kaart. De norm voor informatiebeveiliging NEN7510 (die sinds juni 2009 verplicht is) helpt je daarbij.  Aanvullende informatie tref je op de site van de Autoriteit Persoonsgegevens

11-12-2018 Update
In aanvulling op het bericht van 31-05-2018 heeft de Autoriteit een aanvullend bericht gepubliceerd over het begrip grootschaligheid.

Op 31-05-2018 heeft de Autoriteit Persoonsgegevens een nadere duiding gegeven aan het abstracte begrip ‘grootschaligheid’. (Zie berichtgeving). Het is verstandig om bij het vaststellen van het aantal personen waarvan je (bijzondere) persoonsgegevens verwerkt ook rekening te houden met persoonsgegevens in je archieven.

Er worden veel vragen gesteld die beginnen met het werkwoord “mogen” of “moeten“. Dus: Mogen … moeten wij, nu de AVG van kracht is, dit of dat (nog) doen? Misschien goed om je te realiseren dat  je veelal niet echt iemand anders nodig hebt om antwoord op vragen te krijgen als je jezelf consequent de volgende vragen voorlegt:

  1. Is sprake van een rechtmatige verwerking?
  2. Beschik ik over de expliciete toestemming van betrokkene(n) als dat wordt verlangd?  
  3. Bestaan (of ontstaan) voor een betrokkene (patiënt, medewerker of lid) vermijdbare risico’s bij deze handeling of verwerking?
  4. Heb ik voldoende inzicht in de eventuele gevolgen voor de betrokkene(n) en mijn organisatie?
  5. Als het antwoord op vraag 3 JA luidt, kan/wil ik (ook ethisch gezien!) de betrokkene(n) en mijn organisatie aan die risico’s blootstellen?
  6. Ben ik ook bereid om de daaruit eventueel voortvloeiende consequenties (boetes, reputatie- of imagoschade) te aanvaarden?

De Wet Geneeskundige Behandelingsovereenkomst (WGBO) is de wettelijke basis om (bijzondere) persoonsgegevens vast te leggen. De vorm is vrij. Hij hoeft dus niet schriftelijk te worden aangegaan. De WGBO verlangt dossiervoering en daarvoor is geen toestemming vereist. Samenvattend: de AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. De bijzondere omstandigheden die gelden voor minderjarigen en wilsonbekwame personen golden reeds voordat de AVG van toepassing werd en gelden dus nog steeds.

Zie voor details de huidige WGBO (Wet Geneeskundige Behandelingsovereenkomst)

De Wet Geneeskundige Behandelingsovereenkomst (WGBO) is de wettelijke basis om (bijzondere) persoonsgegevens vast te leggen. De vorm is vrij. Hij hoeft dus niet schriftelijk te worden aangegaan. De WGBO verlangt dossiervoering en daarvoor is geen toestemming vereist. Samenvattend: de AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. De bijzondere omstandigheden die gelden voor minderjarigenen wilsonbekwame personen golden reeds voordat de AVG van toepassing werd en gelden dus nog steeds.

Zie voor details de huidige WGBO (Wet Geneeskundige Behandelingsovereenkomst)

Deze vraag is al eerder gesteld. De AVG verlangt dat je uitsluitend een beroep doet op verwerkers die afdoende garanties bieden en dat de verwerking geregeld wordt in een overeenkomst waarin een aantal waarborgen zijn opgenomen. Die waarborgen zullen ook de basis zijn waarop betrokkenen hun toestemming hebben gegeven. Zonder die waarborgen kun je dus niet voldoen aan de AVG en verliest de verkregen toestemming  zijn geldigheid. Onder die condities is het aanbieden van data niet verantwoord. Een organisatie kan jou contractueel niet verplichten om de wet te overtreden.

Personeelsgegevens vallen onder de fiscale bewaarplicht en die is 7 jaar. Als onverhoopt overgestapt wordt op een ander computerprogramma en de gegevens kunnen niet eenvoudig worden overgezet is het verstandig om afspraken te maken met de belastingdienst. Zie ook deze pagina.

Kernwoord(en): (Beheers)maatregelen

Onderdeel van de verantwoordingsplicht is dat men moet kunnen aantonen dat een betrokkene zijn of haar toestemming heeft gegeven. Met het begrip toestemming wordt bedoeld op: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de hem/haar betreffende verwerking van persoonsgegevens aanvaardt. Om een geldige toestemming aan te tonen kan dus niet worden volstaan met het zelf plaatsen van een vinkje. De woorden specifiek, geïnformeerd, en ondubbelzinnig spelen een cruciale rol bij de aantoonbaarheid. Volstrekt helder moet zijn op basis van welke informatie de betrokkene zijn/haar toestemming heeft gegeven. Bijvoorbeeld door deze te koppelen aan een kopie van de informatie die de betrokkene heeft ontvangen voorafgaand aan de gegeven toestemming. Artikel 7 regelt dat het intrekken van een toestemming even eenvoudig is als het geven daarvan.

Nee. Zie ook het antwoord op de vraag over het inzagerecht (artikel 15).

Persoonlijke werkaantekeningen ook wel geheugensteuntjes genoemd zijn niet bedoeld voor andere ogen dan de de zorgverlener zelf. Ze maken dus geen deel uit van het medisch dossier en vallen dus buiten het inzagerecht van de patiënt.  Medische diagnoses (denk ook aan de authenticiteit – de bron) en conclusies van de zorgverlener op basis van eigen bevindingen maken wel deel uit van het dossier en daarvoor geldt dus wel het inzagerecht.

De AVG verandert niets aan de bestaande regels van de WGBO (Wet Geneeskundige Behandelingsovereenkomst). Bestaande regels voor minderjarigen blijven dus gewoon van toepassing.

Je doelt waarschijnlijk op het juridisch advies in dit bericht. Dat is inderdaad een verrassende stellingname. Verrassend omdat in het eerste deel van de tekst de focus wordt gelegd op een externe begrenzing. Daarmee wordt, wellicht onbedoeld, een belangentegenstelling gecreëerd. Afbeelding: Anders Vasthouden van Wouter Hart
In het licht van de bedoeling van de AVG is dat niet verstandig.

Gelukkig wordt die belangentegenstelling in het laatste deel van de tekst genuanceerd door te benadrukken dat het belangrijk is dat iedere huisarts zelf zijn eigen professionele afweging dient te maken. Waarbij een appèl wordt gedaan op de eigen verantwoordelijkheid van de professional die er toe moet leiden dat niet het systeem maar de bedoeling leidend is. Dat heet Anders vasthouden.

Afbeelding uit Anders Vasthouden van Wouter Hart

 

Kernwoord(en): Artikel 37, FG, Grootschaligheid

Als verwerkingsverantwoordelijke heb je vastgesteld op welke wijze je persoonsgegevens wilt verwerken. Voor dat doel heb je een overeenkomst gesloten met de EPD leverancier gesloten om die verwerking vorm te geven. Anders gesteld: de EPD leverancier stelt je in staat om persoonsgegevens te verwerken. Op de leverancier rusten dus de verplichtingen als verwerker. 

Als werkgever ben je wettelijk verplicht om persoonsgegevens te verwerken. Daarmee is die verwerking rechtmatig (Artikel 6) en is geen aparte toestemmingsverklaring nodig. 

De nieuwe aanmeldprocedure voor de Functionaris voor de Gegevensbescherming via de site van de Autoriteit Persoonsgegevens die op 4 april is geïntroduceerd (zie deze vraag) functioneert nog niet helemaal volgens verwachting. Tijdens een overleg met de AP op 18-04 j.l. is door de Autoriteit gemeld dat alle aanmeldingen nog deze maand zullen worden bevestigd. 

Nee. Het is niet nodig om een verwerkersovereenkomst met een zorgverzekeraar te sluiten. Het wettelijk kader dat toeziet op de interacties met een zorgverzekeraar is de Zorgverzekeringswet.

Kernwoord(en): Verwerkersovereenkomst

Als de zorgen van “allerlei wegen” op feiten zijn gebaseerd kan hiervan melding worden gemaakt aan de Autoriteit Persoonsgegevens via de daartoe speciaal ingerichte pagina. Het is misschien ook goed dat “allerlei wegen” zich realiseert, dat niet anonieme gegevens alleen door Organisatie X kunnen worden doorgespeeld als die met- dan wel  zonder – medeweten door een verwerkingsverantwoordelijke zijn verstrekt. Zie in dat verband ook de reactie op deze vraag

Dat hangt af van de opdracht. Maar daar zal de accountant je ook over kunnen informeren. Als hij de salarisadministratie verzorgt, vervult hij die rol als verwerker en moet je dus inderdaad een verwerkersovereenkomst te sluiten.  Meer informatie tref je op de site van de Koninklijke Nederlandse Beroepsorganisatie van Accountants

Vooral voor organisaties die nog moeten starten is het veel. Waar te beginnen. Uiteraard met het verwerkingsregister. Maar ook het  op orde hebben van de informatiebeveiliging. Voorwaarde voor het (verplicht) gebruik van BSN in de zorg is (al enige jaren) de implementatie van de norm voor informatiebeveiliging NEN7510 (zie dit bericht).

Het van kracht worden van de AVG op 25-05-2018 en het besef dat implementatie van de NEN7510 een vereiste is  zorgt hier en daar voor paniek. Vooral bij de confrontatie met uitgebreide risicoanalyses en de omvang van deel 2 (Beheersmaatregelen) van de NEN7510.

Het is misschien goed om te weten dat er nog veel moet gebeuren voordat alle zorgorganisaties aantoonbaar aan de AVG zullen voldoen. Dat neemt niet weg dat je moet beseffen dat als geen acties worden ondernomen, je niet moet rekenen op begrip van de toezichthouder en betrokkenen.

  • Als eerste stap is het goed om op een zo kort mogelijke termijn te streven naar minimaal level 2 van de Privacy Maturity Index.
  • De inhoud (en uitgebreidheid) van een risicoanalyse is afhankelijk van vele (eigen organisatie specifieke) variabelen. Hanteer het principe SMART (Specifiek Meetbaar Acceptabel Realistisch en Tijdgebonden) bij het bepalen van de scope voordat je met die risicoanalyse aan de slag gaat
  • Documenteer alles wat je onderneemt
  • Dat SMART principe is ook van belang bij het documenteren van de maatregelen je graag wilt nemen maar niet kunt nemen door gebrek aan capaciteit, financiën of invloed.

 

De NEN Norm voor Informatiebeveiliging voor de Zorg (NEN7510) zou je als zodanig kunnen beschouwen. Zie ook de recentelijke publicatie (november 2017) in de Staatscourant. Je kunt die norm (sinds 2014 gratis) downloaden via de NEN normshop.

Kernwoord(en): Artikel 24, NEN7510, NEN7512, NEN7513

Tweefactor-authenticatie (2FA) is een extra beveiliging voor toegang tot gegevens via een netwerk. Zie deze pagina voor meer informatie.

Om meer zekerheid te krijgen over de identiteit van iemand die fysiek toegang zoekt tot een computer, laptop of tablet wordt doorgaans gebruik gemaakt van specifieke fysieke kenmerken: biometrische gegevens. Denk daarbij aan een irisscan of je vingerafdruk.

Op de site van de Autoriteit Persoonsgegevens tref je naast extra informatie ook antwoorden op vragen over biometrie.

Tot voor kort kon je daarvoor een speciaal aanmeldformulier gebruiken. Vanaf 04-04-2018 moet dat via een daartoe ingerichte pagina op de site van de AP. Tegelijkertijd wordt het huidige FG register opgeschoond. In verband met de AVG wil de AP nu bijvoorbeeld ook weten of het aanstellen van de FG op vrijwillige basis geschied of dat sprake is van een verplichting tot aanmelding. Alle FG’s moeten daarom opnieuw worden aangemeld bij de AP (Art. 37 lid 7)

Ook het te raadplegen register op de site van de AP verdwijnt. Op grond van de AVG zijn verantwoordelijken en verwerkers dan namelijk verplicht om zelf de contactgegevens van hun FG te publiceren.

Aanmelden is mogelijk via het aanmeldingsformulier functionaris voor de gegevensbescherming (FG). Let op: alle FG-aanmeldingen (ook die recentelijk zijn gedaan), komen dus per 25 mei 2018 te vervallen!

Als de sheets niet goed worden weergegeven maak je waarschijnlijk gebruik van de nieuwe browser Edge van MicroSoft.  Je zult zien dat als je de pagina’s benadert met Internet Explorer van MicroSoft, Safari, Firefox of Chrome dat de plaatjes dan prima zichtbaar zijn.

Verwijzend naar deze sheets gaat het bij “categorieën van betrokkenen”  bijvoorbeeld over “(personeels)leden” of “patiënten”. Bij “categorieën van gegevens” over bijvoorbeeld: “naw gegevens (naam, adres, woonplaats)”, “gegevens over de gezondheid”, “gegevens benodigd voor personeelsadministratie” etc. Resultaat van de gegevens inventarisatie kan worden gebruikt voor het privacy/informatiebeveiligingsbeleid.

Nee. Een verwerkersovereenkomst sluit je met een persoon of organisatie die ten behoeve van jou (als de verwerkingsverantwoordelijke) persoonsgegevens verwerkt. Daarvan is geen sprake. De WGBO (Wet Geneeskundige Behandelingsovereenkomst) ziet toe op de samenwerking met iedere professional die een behandelrelatie heeft met de betreffende patiënt. De AVG verandert daar niets aan.

Dat er geen (in dit geval bijzondere) persoonsgegevens worden uitgewisseld doet niets af aan het feit dat je deze in beheer hebt. Ik zou me goed kunnen voorstellen dat in jouw situatie de maatregelen om de risico’s te minimaliseren van beperkte omvang kunnen zijn, maar het antwoord is JA. Je hebt inderdaad de plicht om de passende technische en organisatorische maatregelen te nemen die van jou als verwerkingsverantwoordelijke verwacht worden om te kunnen waarborgen (en aantonen) dat aan de AVG wordt voldaan. Iets anders geformuleerd klinkt het misschien iets vriendelijker: je voormalig patiënten moeten er op kunnen vertrouwen dat hun (bijzondere) persoonsgegevens nog steeds veilig bij je zijn.

Op de site van de AVG Helpdesk Zorg, Welzijn en Sport wordt uitvoerig op het onderwerp toestemming ingegaan.

Kernwoord(en): Opt-in, Toestemming

Hoewel artikel 17 van de AVG stelt dat een betrokkene dat van een verwerkingsverantwoordelijke mag verlangen (en dat de laatste daartoe verplicht is), geldt die verplichting niet onder alle omstandigheden. Artikel 17 lid 3 beschrijft dat het “recht op vergetelheid” niet van toepassing is als sprake is van een algemeen belang op het gebied van de volksgezondheid.

Dat algemeen belang wordt onder meer beschreven in Artikel 9 lid 2h: “de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg

Op de site van de Autoriteit Persoonsgegevens wordt vermeld wanneer en hoe u een organisatie kunt vragen om uw persoonsgegevens te wissen en wanneer u dat recht niet kunt uitoefenen.

Zie in dit verband ook artikel 455 van de WGBO (Wet Geneeskundige Behandelingsovereenkomst)

Nee dat mag inderdaad niet. Gegevens over gezondheid zijn “bijzondere” persoonsgegevens. Staan die gegevens online dan moet diegene die toegang zoekt moet iets extra’s doen om meer zekerheid te hebben over degene die de gegevens benadert. Bijvoorbeeld door een QR code te scannen, of een code invoeren die via SMS is toegestuurd naar een bekend mobiel nummer. We spreken dan over een ander zekerheidsniveau. In dit geval door middel van 2 factor authenticatie of 2FA. Ga hierover in overleg met uw zorgverlener. Voor meer informatie over zekerheidsniveaus kun je terecht op deze pagina of dit document.

In artikel 30 van de AVG staat wat er in het “Register van de verwerkingsactiviteiten” moet staan. Als de toezichthouder (Autoriteit Persoonsgegevens) daarom verzoekt dient die te worden overlegd. Veel van de inhoud kun je overigens gebruiken voor de privacyverklaring.

 

Op de site van de Autoriteit Persoonsgegevens wordt aangegeven wat de competenties (dienen te) zijn van een Functionaris voor de Gegevensbescherming, onder welke condities deze zijn werkzaamheden moet kunnen vervullen en wordt de onafhankelijke rol van een FG benadrukt.

Op het moment dat u om toestemming is/wordt gevraagd moet voor u glashelder zijn waarvoor u die toestemming geeft. Uw zorgverlener zal u dus precies moeten kunnen zeggen welke gegevens van u de deur uit gaan. Kan hij dat niet dan rest u niets anders dan uw teleurstelling – misnoegen te laten blijken en uw toestemming onmiddellijk weer in te trekken. Er is immers geen sprake van een informed consent … de basis van een opt-in. Uw zorgverlener dient zich te realiseren dat ook de opt-in’s voor alle overige patiënten die aan hetzelfde onderzoek deelnemen niet rechtsgeldig zijn. Uw zorgverlener kan alleen verantwoordelijkheid nemen voor zaken die hem bekend zijn. Zijn verwerker moet hem in staat stellen zicht te hebben op de geëxporteerde data die klaar staan om te worden verzonden. De verwerker dient een verwerkingsverantwoordelijke in staat te stellen een export voor verzending te autoriseren of af te wijzen.

Er wordt niet voldaan aan Artikel 25 (Privacy by Design/Default). Als je dat zelf in de beheersinstellingen van je EPD kunt wijzigen: direct doen! Als je dat niet kunt direct je leverancier er op aanspreken. Maar ook als blijkt dat je dat zelf in de beheersinstellingen kunt regelen. Standaard moet dat vinkje echt op UIT staan!

Ja dat is de Wet Cliëntenrechten bij elektronische verwerking van gegevens in de zorg. In die wet worden de rechten van de patiënt en de plichten van de zorgverlener genoemd. (zie dit document en in het bijzonder de matrices). De in het document aangegeven termijn waarop de patiënt kan beschikken over een elektronische versie van zijn gegevens (2020) strookt niet met artikel 20 van de AVG die op 25-05-2018 van kracht wordt. Omdat in geval de verordening boven de wet gaat is snel duidelijkheid gewenst en aanleiding voor overleg op diverse niveau’s.

De wet Cliëntenrechten bij elektronische verwerking van gegevens van gegevens treedt op 1 juli 2017 in werking. Enkele wettelijke bepalingen zijn daarvan uitgezonderd: de bepalingen die patiënten het recht geven op elektronische inzage en elektronisch afschrift en het recht gespeci ceerd toestemming te geven. Deze wettelijke bepalingen treden op 1 juli 2020 in werking. Zorgverleners krijgen dus nog even de tijd om aan die specifieke wettelijke bepalingen te voldoen. zie voor een verdere toelichting rijksoverheid.nl

Impact van de AVG is dat inzichten veranderen. Processen die zich tot dusver als min of meer vanzelfsprekend voltrokken worden nu tegen het licht gehouden. Dat is feitelijk wat de verordening beoogt: het waarom. Betrokkenen hebben recht op transparantie (Artikel 12 AVG). Maak duidelijk dat je alle (tot dusver gangbare) processen waarmee (bijzondere) persoonsgegevens zijn gemoeid tegen het licht houdt en dat je behoefte hebt aan meer garanties voor jezelf als verwerkingsverantwoordelijke, voor betrokkenen die hun persoonsgegevens aan je hebben verstrekt en de toezichthouder. Maak daarbij gebruik van de informatie die aangereikt is tijdens de webinars, op deze site en die van overheidsinstanties. Leg je acties (en reacties!) vast als onderdeel van het tot stand brengen van je ISMS  Zie ook deze vraag en antwoord

Stel vast wie de verwerkingsverantwoordelijke is (dus de opdrachtgever voor de verwerker). Als je dat zelf bent dien je te beschikken over een overeenkomst. De AVG stelt voorwaarden aan de inhoud van een dergelijke overeenkomst. Als die overeenkomst ontbreekt en/of sprake is van een min of meer gedwongen opdrachtgeverschap ga dan na hoe die tot stand gekomen is. Leg alles (dus ook de communicatie met betrokken instanties) zo zorgvuldig mogelijk vast in het kader van artikel 30 van de AVG (verwerkingen in kaart brengen) en het tot stand brengen van het ISMS. Zonder het door jou gewenste inzicht ben je niet in staat / kan niet van je worden verlangd om de verantwoordelijkheid te nemen die je cliënten/patiënten van je (moeten kunnen) verwachten.

Theoretisch kan dat. Praktisch gezien heeft dat wel een aantal consequenties. Uiteraard dient de FG te beschikken over de nodige competenties. Op de site van de Autoriteit Persoonsgegevens wordt aangegeven wat een FG moet weten en kunnen.  Een FG dient in staat te zijn/te worden gesteld om zijn rol als onafhankelijk toezichthouder en adviseur uit te voeren. Ook zijn positie binnen een organisatie dient onmiskenbaar aantoonbaar onafhankelijk te zijn.  Door de  toezichthouder worden ook een aantal voorwaarden genoemd waaraan moet worden voldaan om die onafhankelijkheid te borgen.

  • De FG mag geen instructies krijgen hoe hij zijn taken als FG moet uitvoeren.
  • De FG mag niet worden ontslagen of worden gestraft als gevolg van de uitoefening van zijn FG-taken.
  • Er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere taken of functies van de FG.

Om die belangenverstrengeling te voorkomen, mag de FG binnen de organisatie niet ook een functie hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt. Dit kan bijvoorbeeld zo zijn als de FG een managementpositie vervult, zoals hoofd financiën, strategie, marketing, IT of HRM.

De praktijk leert, dat meer dan eens de signalen of adviezen van een FG  worden genegeerd of ondergeschikt worden gemaakt aan andere prioriteiten. Dat leidt soms tot spanningen en conflicten tussen een FG en het management van een organisatie. Daar moet het management mee om kunnen gaan, maar ook een FG.

Net als WhatsApp maakt ook Siilo gebruik van end-to-end-encryptie. Er zijn wel wat verschillen. Siilo is ontwikkeld voor een veilige overdracht tussen zorgaanbieders. Het is dus niet mogelijk om met patiënten te communiceren. Siilo biedt een aantal extra maatregelen om gegevens te beveiligen. Bijvoorbeeld door een aparte map voor afbeeldingen, alle correspondentie versleuteld op te slaan en correspondentie na 30 dagen automatisch te wissen tenzij je daar zelf een stokje voor steekt. Volgens recente mededelingen (mei 2018) maken nu rond 70.000 zorgverleners van Siilo gebruik.  (Klik hier voor meer info over de beveiliging)

Ik weet niet van wie je die informatie hebt, maar die is onjuist. Het staat je uiteraard vrij om dat te doen maar certificeren voor NEN7510 is niet verplicht (en zeker niet goedkoop).

Kernwoord(en): Certificering, NEN7510

Dat kan samenhangen met het type certificaat. Als je constateert dat je praktijknaam zichtbaar is, is het certificaat duurder dan wanneer je de praktijknaam niet ziet. Als het hetzelfde type certificaat is, zou ik die vraag in ieder geval aan de partij stellen die de site host.  Zie voor meer uitleg over de verschillen deze pagina van TransIP

Kernwoord(en): SSL, SSL certificaat

Dank voor het signaal! De pagina met links naar de NEN normen is aangepast

Kernwoord(en): NEN7510, NEN7512

Ben je in de zorg werkzaam en wil je kennis en ervaringen delen met collega’s die voor dezelfde uitdagingen staan en zo mogelijk al iets verder zijn met het implementeren van de NEN7510, dan kun je wellicht je voordeel doen via een Siilo forum. Dit forum vervangt een eerder daarvoor ingericht LinkedIn forum. Ook jou meld ik daar graag voor aan. Heb je Siilo geïnstalleerd maar kun je mij of de groep zo snel niet vinden? https://app.siilo.com/qr/b6ffda6d

Kernwoord(en): Ervaringen, Siilo forum

Is nog een uitdaging. Er zijn weliswaar een aantal oplossingen maar die hebben als nadeel dat ze “leveranciersgebonden” zijn. In het verlengde van een project “Veilige mail” onder auspiciën van het Informatieberaad Zorg heeft in december 2018 een groot aantal partijen een intentieverklaring ondertekend om te komen tot een veilige en gebruiksvriendelijke en leveranciersonafhankelijke berichtuitwisseling.

Twee factor authenticatie, ook wel 2FA genoemd is een manier om meer zekerheid te krijgen over de identiteit van iemand die toegang zoekt tot een omgeving met vertrouwelijke gegevens. Het is een uitbreiding van het gebruik van gebruikersnaam en wachtwoord. Er zijn verschillende oplossingen (zekerheidsniveau’s) om de mate waarin die zekerheid is gewenst (over iemands elektronische identiteit) te borgen. Op deze pagina tref je aanvullende informatie.

Als je gewend bent om in te loggen met gebruikersnaam en wachtwoord dan is twee factor authenticatie inderdaad een extra handeling. Die is er echter niet voor niets.  De wettelijke verplichting tot het gebruik van 2 FA werd reeds enige tijd geleden onderstreept door een publicatie van het College Persoonsgegevens (nu Autoriteit Persoonsgegevens) in 2013 waarbij huisartsen zich gedwongen zagen deze in te voeren. Al dan niet onder druk van hun klanten bieden sommige EPD leveranciers de mogelijkheid om 2FA uit te schakelen. Niet goed dus. Beter zou zijn dat de EPD leverancier zijn klanten duidelijk maakt dat 2 FA wettelijk verplicht is.

Wellicht biedt dit lijstje met verwijzingen uitkomst?

Zo niet … laat het me dan gerust even weten.

Dat is inderdaad een bekend gegeven. Hoewel dit door sommige leveranciers stelselmatig wordt ontkend, zorgt dit voor een ‘vendor lock-in’. Het is dus zaak om bij het aangaan van een overeenkomst met een verwerker ook goede ‘exit’ afspraken te maken, dan wel bestaande afspraken op dit punt tijdig te herzien.  Daarbij kan het wellicht helpen door te verwijzen naar  Artikel 20 van de AVG (bedoeld om betrokkenen “drempelloos” over te kunnen laten stappen naar een andere dienstverlener)

Tenzij extra maatregelen worden genomen om te voorkomen dat onbevoegden kennis nemen van vertrouwelijke gegevens is het niet verstandig. Probeer uw patiënt daarvan te overtuigen en wijs op de risico’s. Bijvoorbeeld door te wijzen op dit animatiefilmpje over identiteitsfraude .

Eén van de manieren die wel wordt toegepast is de vertrouwelijke gegevens in een apart versleuteld document op te nemen en de patiënt via een ander medium (dus bijvoorbeeld SMS) te voorzien van de sleutel.

Op termijn beoogt het afsprakenstelsel van MedMij een veilige overdracht tussen zorgverlener en patiënt mogelijk te maken.

Nee, tenzij extra maatregelen genomen worden (zoals end-to-end encryptie) is het uitwisselen van vertrouwelijke gegevens via e-mail niet veilig. Organisaties die op deze wijze hun uitwisselingsprocessen hebben ingericht doen er verstandig aan om daar direct mee te stoppen en in gezamenlijkheid maatregelen te nemen om de samenhangende risico’s het hoofd te bieden en naar alternatieven te zoeken voor een veilige uitwisseling van gevoelige gegevens. Als initiatieven van communicatiepartners uitblijven neem dan in het belang van je patiënten zelf het initiatief om dit aan de orde te stellen.

Nee dat kan een koepel niet. Als je je verplaatst in de rol van betrokkene (patiënt, werknemer of lid van een vereniging) begrijp je misschien dat ook jouw belangen worden behartigd met deze verordening. Wat zorgkoepels kunnen doen is hun leden informeren en hen er van  te overtuigen dat ze er verstandig aan doen op dit punt snel hun verantwoordelijkheid te nemen. Het helpt misschien als je je realiseert dat dat feitelijk al veel eerder had moeten gebeuren.

Dat er heel veel verplichtingen zijn waar je als zorgaanbieder moet voldoen is bekend. Er wordt gesproken over oplossingen voor de doorgeschoten administratieve verplichtingen. Het realiseren van oplossingen, waarbij ICT efficiënter en veilig wordt ingezet (en gegevens kunnen worden hergebruikt) kosten meer tijd dan wenselijk is. Maar over de vraag, of je als zorgverlener wel iets beter te doen hebt, dan je bezig te houden met de verplichtingen die voortvloeien uit de AVG verschillen we echt van mening. Zeker als je je realiseert dat patiënten dagelijks hun vertrouwen geven in de impliciete veronderstelling (en verwachting) dat hun gegevens in veilige handen zijn. Het op orde hebben van je informatiebeveiliging is een kwaliteitsaspect. Het niet op orde hebben van je informatiebeveiliging kan voor een patiënt dramatische gevolgen hebben.

Vraag 3 van de Regelhulp AVG   luidt:

3. Heeft u een functionaris gegevensbescherming nodig?

Onder de AVG kunt u verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen uw organisatie toezicht houdt op de toepassing en naleving van de AVG. Als u één of meerdere van onderstaande vragen met ‘ja’ beantwoordt, bent u in elk geval verplicht om een FG aan te stellen.

Verwerkt u bijzondere en/of strafrechtelijke persoonsgegevens op grote schaal en is dit een kernactiviteit van uw organisatie?

Als zorgverlener verwerkt u bijzondere persoonsgegevens. Echter is onduidelijk wat met “op grote schaal” wordt bedoeld. Verwijzend naar een andere vraag moet ik het antwoord (nog) schuldig blijven.

Update: zie de meest recente berichtgeving over het begrip ‘grootschaligheid’ van de Autoriteit Persoonsgegevens.

Als die wens tot aanpassing het gevolg is van je risicoanalyse en de door jou als noodzakelijk gekwalificeerde maatregelen om aantoonbaar aan de AVG te voldoen, maakt dan schriftelijk (of via een bericht) aan de leverancier duidelijk waarom je wilt dat de overeenkomst wordt aangepast. Het kan geen kwaad om te verwijzen naar artikel 28  van de AVG. Verlang van de verwerker ook een schriftelijke reactie waarin hij uiteenzet waarom hij niet wil of kan voldoen aan je verzoek. Als je in de reactie aanleiding ziet tot nadere stappen, leg dat dan in je documentatie die onderdeel is van je informatiebeveiligingsplan vast. Leg in relatie tot artikel 28.3 ook vast welke vervolgstappen je overweegt.

Medewerkers hebben uiteraard hun eigen verantwoordelijkheid om de privacy van betrokkenen te borgen, maar het management van de organisatie waar men werkzaam is, heeft de rol van verwerkingsverantwoordelijke. In hoofdstuk 7  van de NEN7510 (deel II Beheersmaatregelen) in een maatregel (7.2.2) opgenomen om medewerkers passende bewustzijnsopleiding en training te geven. In het kader van de AVG en voor een betrokkene of toezichthouder dient echter helder te zijn wie de eindverantwoordelijke is. Die wordt ook genoemd in de privacyverklaring.

Ja die is er. Actiz, GGZ Nederland, NFU, NVZ en VGN verenigd in de Brancheorganisaties Zorg (BoZ) hebben een standaard modelverwerkersovereenkomst ontwikkeld.

Als je doelt op leveranciers die een rol vervullen bij de verwerking van persoonsgegevens is het antwoord JA. Die overeenkomst is nodig om je in staat te stellen aantoonbaar te voldoen aan de AVG. De AVG gaat in artikel 28.4 zelfs expliciet in op de inhoud van de overeen te komen afspraken.

Tenzij extra maatregelen worden genomen zoals end-to-end encryptie kunnen onbevoegden kennis nemen van de inhoud van een bericht. Daarnaast is op mailservers zonder moeite na te gaan wie met wie communiceert. Om dit te voorkomen dient voor een verantwoorde en veilige uitwisseling gebruik te worden gemaakt van een omgeving die specifiek is ingericht voor veilige overdracht van vertrouwelijke gegevens. Binnen MedMij worden daarvoor de randvoorwaarden in kaart gebracht en wordt getest in proefomgevingen die voldoen aan de in de AVG gestelde randvoorwaarden. Ook heeft het Informatieberaad zorg het onderwerp ‘Veilige mail‘ geadresseerd en tenslotte is het Ministerie van BZK bezig het het vinden van een alternatief voor DIGID als digitaal paspoort.

De NEN 75* normen (van belang voor artikel 32 van de AVG) kun je gratis downloaden via de NEN normshop.

Voor een eenmalig startbedrag en/of een klein maandelijks bedrag zorgen wij er voor dat u AVG proof bent”. Partijen die dat beweren maken dankbaar gebruik van de matige affiniteit met ICT in bepaalde sectoren en misbruik van de angst voor een boete of imagobeschadiging. De rol van een verwerkingsverantwoordelijke is helder. Die verantwoordelijkheid kan niet door een andere partij worden overgenomen!

Kernwoord(en): Artikel 24, AVGproof, ISMS

Die vraag wordt heel vaak gesteld en heeft van doen met de uitgebreidheid en detaillering van de NEN7510. Dat roept soms weerstanden op en een gevoel door de bomen het bos niet meer te zien. Die detaillering van de NEN7510 is er echter niet voor niets.

Iedere organisatie is uniek. Om een metafoor te gebruiken: Wat voor de ene organisatie een open deur is, is voor de andere een blinde muur. Een eenvoudig afvinklijstje betekent elementen weglaten. Bij dat weglaten moeten keuzes worden gemaakt. Keuzes die juist bij specifieke situaties kunnen opbreken en tot zeer vervelende gevolgen kunnen leiden.

De NEN 7510 bevat veel hoofdstukken en kan voor iedere organisatie (van solist  tot zeer grote instelling) worden gebruikt. Een mogelijke prioritering tref je op deze pagina.

In Artikel 13 van de AVG wordt aangegeven wat in een privacyverklaring dient te zijn opgenomen.  Zie het overzicht op deze pagina. Die verklaring bevat veel elementen uit het verwerkingsregister (Artikel 30). Er is een gratis tool beschikbaar om deze samen te stellen.

Ja. Alle relaties waarvan u reeds persoonsgegevens hebt geregistreerd dient u te informeren. Dat kan door hen te verwijzen naar een privacyverklaring op de site. Om onduidelijkheid of problemen achteraf te voorkomen is het verstandig om vast te leggen dat men

  • is geïnformeerd
  • de inhoud van de verklaring heeft begrepen
  • en daarmee akkoord is gegaan

Sinds WhatsApp is overgestapt op het gebruik van end-to-end-encryptie (april 2016) is veel van de aanvankelijke bezwaren (over inzicht in de inhoud van berichten) weggenomen. End-to-end encryptie werkt als volgt. Door WhatsApp wordt  automatisch een publieke en geheime sleutel aan een account gekoppeld. Die publieke sleutel wordt naar de centrale server gestuurd. Als A een bericht naar B wil sturen wordt het bericht bij A versleuteld met de combinatie van de geheime sleutel van A en de publieke sleutel van B die op de server staat. Via de server gaat het bericht naar B . Het bericht is alleen te ontsleutelen met de geheime sleutel van B die zich dus alleen bij B bevindt. Bij end-to-end-encryptie is een berichtje dus van het ene eindpunt tot het andere – oftewel van zender tot ontvanger – versleuteld. Vandaar de term ‘end-to-end’. Is WA daarmee veilig? Hoewel de inhoud van de berichten is versleuteld, is het nog steeds mogelijk om op de centrale server te zien wie met wie communiceert en vanaf welk IP-adres. De leverancier van WhatsApp kan die informatie gebruiken om een profiel van A en B bij te houden. Van WhatsApp is bekend dat veel metadata van gebruikers wordt opgeslagen. Ook biedt WhatsApp de mogelijkheid om een backup van je (ontsleutelde) berichten te bewaren op Google Drive of iCloud van Apple. Langs die weg kunnen berichten ook in verkeerde handen vallen. Je bent voor de beveiliging van deze backups volledig overgeleverd aan Google of Apple. Meer over de end-to-end encryptie van WhatsApp lees je hier.

Als je cliënten via je site in staat stelt te communiceren liggen risico’s op de loer. Dus om die reden had de persoon of organisatie die je website beheert al maatregelen moeten nemen of te adviseren om een SSL certificaat (een “slotje”) te installeren. Maar het zijn niet alleen risico’s.

  • De meeste browsers waarschuwen gebruikers als men een site benadert die niet van een slotje is voorzien. Dat is niet goed voor het vertrouwen in een organisatie.
  • Om bezoekers te beschermen toont Google in de eerste pagina’s van een zoekresultaat uitsluitend sites met een SSL certificaat.

Kortom .. argumenten genoeg om die relatief eenvoudige en zeker niet kostbare maatregel te nemen.

Jazeker. Voor een verwerker gelden dezelfde plichten als voor een verwerkingsverantwoordelijke.

Vrijwel ieder risico is te verzekeren. Verzekeringsproducten die worden aangeprezen om de risico’s te dekken nemen snel in omvang toe. De premies zijn doorgaans hoog en een grondige bestudering van de  voorwaarden leert vaak dat de hoogte van een eventuele uitkering bij een incident sterk afhankelijk is van de maatregelen die de verwerkingsverantwoordelijke zelf heeft genomen maar met name verzuimd heeft te nemen.

In tegenstelling van wat commerciële bedrijven beweren kan de (bestuurlijke) eindverantwoordelijkheid nooit worden overgedragen.

 

Kernwoord(en): Artikel 24

De term zekerheidsniveau heeft te maken met de zekerheid over iemands identiteit. Ook wordt wel de term betrouwbaarheidsniveau gehanteerd. Als iemand via een netwerk toegang wordt gegeven tot persoonsgegevens is het van belang om zeker te stellen dat alleen diegene toegang heeft die daartoe bevoegd is. Technologische ontwikkelingen, toenemende risico’s en de toenemende gevolgschade, zorgen voor een evolutie, waardoor de eenvoudige combinatie van een gebruikersnaam en wachtwoord (niveau 1. basis) is vervangen door het scannen van een QR-code en invoer van een pincode (bij gebruik van een app) of met een sms bericht naar een geverifieerde mobiele telefoon (niveau 2. midden) wat ook wel 2 factor authenticatie of 2FA wordt genoemd.

Dat was voldoende voor de toegang tot medische gegevens, maar inmiddels volstaat ook dat niet meer en wordt feitelijk het hoogste niveau, niveau 4. hoog verlangd. Klik hier voor een overzicht met voorbeelden van vereiste betrouwbaarheidsniveau’s bij een aantal verschillende diensten.

Omdat de daarvoor noodzakelijke middelen nog niet grootschalig en gebruiksvriendelijk voor handen zijn – en er bovendien een ander systeem (Idensys) is ontwikkeld – volstaat voorlopig nog niveau 2 (dus 2 FA) voor de toegang tot bijzondere persoonsgegevens zoals gegevens over gezondheid. Zie deze pagina voor meer informatie.

Om achteraf onduidelijkheid te voorkomen, kan er voor worden gekozen om de cliënt schriftelijk te laten verklaren dat kennis is genomen van de privacyverklaring, dat de inhoud daarvan duidelijk is en dat men daarmee akkoord gaat. Feitelijk dus een bevestiging dat sprake is van informed consent. Het ondertekenen van een dergelijke verklaring is echter niet verplicht.

11-12-2018 Update
In aanvulling op het bericht van 31-05-2018 heeft de Autoriteit een aanvullend bericht gepubliceerd over het begrip grootschaligheid.

Op 31-05-2018 heeft de Autoriteit Persoonsgegevens een nadere duiding gegeven aan het abstracte begrip ‘grootschaligheid’. (Zie berichtgeving). Het is verstandig om bij het vaststellen van het aantal personen waarvan je (bijzondere) persoonsgegevens verwerkt ook rekening te houden met persoonsgegevens in je archieven.

De tekst van de AVG is op dit punt op dit moment (nog) niet geheel duidelijk. Aangegeven wordt dat een ziekenhuis wel verplicht is om een FG aan te stellen, maar een individuele huisarts niet. Over samenwerkingsverbanden van meerdere zorgprofessionals worden echter geen uitspraken gedaan. Een aantal criteria zijn van belang bij de toets of je als organisatie verplicht bent of niet. De aard van de gegevens (gegevens over gezondheid zijn bijzonder gevoelige gegevens), is de verwerking een kernactiviteit en vindt verwerking plaats op grote schaal. Een Europese richtlijn moet helderheid verschaffen maar doet dat niet echt. Via een speciale pagina van de Autoriteit Persoonsgegevens wordt iedereen geïnformeerd over de ontwikkelingen.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport