Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Nee. Je zorgverlener is wel verplicht om je identiteit vast te stellen aan de hand van uw BSN nummer (zie ook deze vraag), maar kan dan volstaan met het overnemen van het nummer van het identiteitsbewijs zoals het nummer van je paspoort. In tegenstelling tot wat veel mensen denken, zijn er maar een paar organisaties die die wel verplicht zijn om een kopie van uw identiteitsbewijs te maken. Met het oog op risico’s is het sterk af te raden om je paspoort of rijbewijs zomaar af te geven om een kopietje te laten maken! Als je zelf een kopie maakt en het BSN afdekt of goed doorstreept of de KopieID app gebruikt kun je de risico’s op identiteitsfraude verkleinen. Zie ook dit filmpje en de informatie op deze pagina.

In een brief van de AP aan de NVZ stelt de AP op 7 oktober 2016, dat “bij de patiënt-authenticatie voor communicatie met en onder verantwoordelijkheid van de zorgaanbieder in beginsel dient te worden uitgegaan van een ‘hoog betrouwbaarheidsniveau’ en dat in gevallen waar het gaat om gegevens waarop het medisch beroepsgeheim van de zorgverlener rust het ‘hoogste betrouwbaarheidsniveau’ vereist is.”

In de brief van de Autoriteit Persoonsgegevens aan de voorzitter van het Informatieberaad Zorg van 4 oktober 2018 wordt herhaald dat, “door het ontbreken van een brede beschikbaarheid van middelen die toezien op het vaststellen van betrouwbaarheidsniveau “substantieel” dan wel het voor de zorg vereiste “hoog”, de elektronische uitwisseling van gegevens over de gezondheid tussen zorgaanbieders en patiënten in beginsel niet kan plaatsvinden omdat de bescherming van persoonsgegevens, waaronder gegevens over gezondheid, dan onvoldoende is gewaarborgd ” In de brief wordt gesteld dat “brede beschikbaarheid van betrouwbaarheidsniveaus “substantieel” en “hoog” voor alle patiënten  nog enige tijd in beslag zal nemen.

In de brief wordt niet gesproken over de uitwisseling tussen zorgverleners. Voor zover ik weet beschikken die ook niet over de middelen om een passend betrouwbaarheidsniveau toe te passen. Is dat dan volgens de AP wel toegestaan?  

Hoewel de focus in de brieven waaraan u refereert lijkt te liggen op het raadplegen (de toegang tot gegevens – ook wel pull genoemd), heeft u me in een gesprek duidelijk gemaakt dat uw vraag ook betrekking heeft op versleuteling van de inhoud van berichten op een zodanige wijze dat zekerheid bestaat over de verzender en dat alleen de ontvanger kennis kan nemen van die inhoud (end-to-end encryptie). Die middelen zijn inderdaad nu nog niet breed beschikbaar. En ja, op dit moment is sprake is van uitwisseling van berichten zonder dat de vereiste zekerheid bestaat over verzender. En ja, het is niet uit te sluiten dat naast de beoogd ontvanger ook anderen van de inhoud van het bericht over u kennis nemen.  

Omdat het in de gezondheidszorg geen optie is om niet uit te wisselen, zullen verwerkingsverantwoordelijken dus moeten roeien met de riemen die men op dit moment heeft, waarbij ieder risico van onbevoegde kennisname zoveel mogelijk wordt uitgesloten. Of in AVG termen.. daartoe “passende technische en organisatorische maatregelen” moeten nemen. Met dat begrip passend wordt dus ook rekening gehouden met het ontbreken van die “breed beschikbare middelen” op dit moment.  

Zie voor aanvullende informatie ook deze pagina.

Ja, maar wel op een veilige manier. Pas nadat gecontroleerd is of u degene bent die hoort bij het BSN mag het BSN in de administratie worden opgenomen. De zorgverlener controleert dit aan de hand van uw identiteitsbewijs. Als een behandelingsovereenkomst tot stand is gekomen, is iedere zorgaanbieder sinds 1 juni 2009 wettelijk verplicht om het Burgerservicenummer (BSN) in zijn administratie op te nemen en te gebruiken bij de uitwisseling van gegevens. Dit is geregeld in de Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg (WABVPZ).

De wetgever stelt wel voorwaarden aan het gebruik van het BSN. Via het Besluit elektronische gegevensverwerking door zorgaanbieders worden nadere regels gesteld over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders. Zorgaanbieders zijn verplicht om te voldoen aan de NEN normen voor informatiebeveiliging  (NEN 7510, 7511 en 7512).

Als verwerkingsverantwoordelijke heb je de wettelijke plicht om persoonsgegevens te beveiligen. Nadat je de verwerkingen in kaart hebt gebracht (zie 2e sheet op deze pagina)  is de volgende stap om vast te stellen aan welke eventuele risico’s de gegevens worden blootgesteld (of zouden kunnen worden blootgesteld) en welke beveiligingsmaatregelen genomen moeten worden om ze tegen die risico’s te beschermen. Een PIA (Privacy Impact Assessment) of ook wel Data Protection Impact Assessment genoemd brengt die risico’s op een gestructureerde wijze in kaart. De norm voor informatiebeveiliging NEN7510 (die sinds juni 2009 verplicht is) helpt je daarbij.  Aanvullende informatie tref je op de site van de Autoriteit Persoonsgegevens

Vooral voor organisaties die nog moeten starten is het veel. Waar te beginnen. Uiteraard met het verwerkingsregister. Maar ook het  op orde hebben van de informatiebeveiliging. Voorwaarde voor het (verplicht) gebruik van BSN in de zorg is (al enige jaren) de implementatie van de norm voor informatiebeveiliging NEN7510 (zie dit bericht).

Het van kracht worden van de AVG op 25-05-2018 en het besef dat implementatie van de NEN7510 een vereiste is  zorgt hier en daar voor paniek. Vooral bij de confrontatie met uitgebreide risicoanalyses en de omvang van deel 2 (Beheersmaatregelen) van de NEN7510.

Het is misschien goed om te weten dat er nog veel moet gebeuren voordat alle zorgorganisaties aantoonbaar aan de AVG zullen voldoen. Dat neemt niet weg dat je moet beseffen dat als geen acties worden ondernomen, je niet moet rekenen op begrip van de toezichthouder en betrokkenen.

  • Als eerste stap is het goed om op een zo kort mogelijke termijn te streven naar minimaal level 2 van de Privacy Maturity Index.
  • De inhoud (en uitgebreidheid) van een risicoanalyse is afhankelijk van vele (eigen organisatie specifieke) variabelen. Hanteer het principe SMART (Specifiek Meetbaar Acceptabel Realistisch en Tijdgebonden) bij het bepalen van de scope voordat je met die risicoanalyse aan de slag gaat
  • Documenteer alles wat je onderneemt
  • Dat SMART principe is ook van belang bij het documenteren van de maatregelen je graag wilt nemen maar niet kunt nemen door gebrek aan capaciteit, financiën of invloed.

 

De NEN Norm voor Informatiebeveiliging voor de Zorg (NEN7510) zou je als zodanig kunnen beschouwen. Zie ook de recentelijke publicatie (november 2017) in de Staatscourant. Je kunt die norm (sinds 2014 gratis) downloaden via de NEN normshop.

Kernwoord(en): Artikel 24, NEN7510, NEN7512, NEN7513

Dat er geen (in dit geval bijzondere) persoonsgegevens worden uitgewisseld doet niets af aan het feit dat je deze in beheer hebt. Ik zou me goed kunnen voorstellen dat in jouw situatie de maatregelen om de risico’s te minimaliseren van beperkte omvang kunnen zijn, maar het antwoord is JA. Je hebt inderdaad de plicht om de passende technische en organisatorische maatregelen te nemen die van jou als verwerkingsverantwoordelijke verwacht worden om te kunnen waarborgen (en aantonen) dat aan de AVG wordt voldaan. Iets anders geformuleerd klinkt het misschien iets vriendelijker: je voormalig patiënten moeten er op kunnen vertrouwen dat hun (bijzondere) persoonsgegevens nog steeds veilig bij je zijn.

Impact van de AVG is dat inzichten veranderen. Processen die zich tot dusver als min of meer vanzelfsprekend voltrokken worden nu tegen het licht gehouden. Dat is feitelijk wat de verordening beoogt: het waarom. Betrokkenen hebben recht op transparantie (Artikel 12 AVG). Maak duidelijk dat je alle (tot dusver gangbare) processen waarmee (bijzondere) persoonsgegevens zijn gemoeid tegen het licht houdt en dat je behoefte hebt aan meer garanties voor jezelf als verwerkingsverantwoordelijke, voor betrokkenen die hun persoonsgegevens aan je hebben verstrekt en de toezichthouder. Maak daarbij gebruik van de informatie die aangereikt is tijdens de webinars, op deze site en die van overheidsinstanties. Leg je acties (en reacties!) vast als onderdeel van het tot stand brengen van je ISMS  Zie ook deze vraag en antwoord

Ik weet niet van wie je die informatie hebt, maar die is onjuist. Het staat je uiteraard vrij om dat te doen maar certificeren voor NEN7510 is niet verplicht (en zeker niet goedkoop).

Kernwoord(en): Certificering, NEN7510

Dank voor het signaal! De pagina met links naar de NEN normen is aangepast

Kernwoord(en): NEN7510, NEN7512

Nee dat kan een koepel niet. Als je je verplaatst in de rol van betrokkene (patiënt, werknemer of lid van een vereniging) begrijp je misschien dat ook jouw belangen worden behartigd met deze verordening. Wat zorgkoepels kunnen doen is hun leden informeren en hen er van  te overtuigen dat ze er verstandig aan doen op dit punt snel hun verantwoordelijkheid te nemen. Het helpt misschien als je je realiseert dat dat feitelijk al veel eerder had moeten gebeuren.

Dat er heel veel verplichtingen zijn waar je als zorgaanbieder moet voldoen is bekend. Er wordt gesproken over oplossingen voor de doorgeschoten administratieve verplichtingen. Het realiseren van oplossingen, waarbij ICT efficiënter en veilig wordt ingezet (en gegevens kunnen worden hergebruikt) kosten meer tijd dan wenselijk is. Maar over de vraag, of je als zorgverlener wel iets beter te doen hebt, dan je bezig te houden met de verplichtingen die voortvloeien uit de AVG verschillen we echt van mening. Zeker als je je realiseert dat patiënten dagelijks hun vertrouwen geven in de impliciete veronderstelling (en verwachting) dat hun gegevens in veilige handen zijn. Het op orde hebben van je informatiebeveiliging is een kwaliteitsaspect. Het niet op orde hebben van je informatiebeveiliging kan voor een patiënt dramatische gevolgen hebben.

Medewerkers hebben uiteraard hun eigen verantwoordelijkheid om de privacy van betrokkenen te borgen, maar het management van de organisatie waar men werkzaam is, heeft de rol van verwerkingsverantwoordelijke. In hoofdstuk 7  van de NEN7510 (deel II Beheersmaatregelen) in een maatregel (7.2.2) opgenomen om medewerkers passende bewustzijnsopleiding en training te geven. In het kader van de AVG en voor een betrokkene of toezichthouder dient echter helder te zijn wie de eindverantwoordelijke is. Die wordt ook genoemd in de privacyverklaring.

Als je doelt op leveranciers die een rol vervullen bij de verwerking van persoonsgegevens is het antwoord JA. Die overeenkomst is nodig om je in staat te stellen aantoonbaar te voldoen aan de AVG. De AVG gaat in artikel 28.4 zelfs expliciet in op de inhoud van de overeen te komen afspraken.

De NEN 75* normen (van belang voor artikel 32 van de AVG) kun je gratis downloaden via de NEN normshop.

Die vraag wordt heel vaak gesteld en heeft van doen met de uitgebreidheid en detaillering van de NEN7510. Dat roept soms weerstanden op en een gevoel door de bomen het bos niet meer te zien. Die detaillering van de NEN7510 is er echter niet voor niets.

Iedere organisatie is uniek. Om een metafoor te gebruiken: Wat voor de ene organisatie een open deur is, is voor de andere een blinde muur. Een eenvoudig afvinklijstje betekent elementen weglaten. Bij dat weglaten moeten keuzes worden gemaakt. Keuzes die juist bij specifieke situaties kunnen opbreken en tot zeer vervelende gevolgen kunnen leiden.

De NEN 7510 bevat veel hoofdstukken en kan voor iedere organisatie (van solist  tot zeer grote instelling) worden gebruikt. Een mogelijke prioritering tref je op deze pagina.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport