1

Privacy in zorgproeftuinen Griet Verhenneman Gent, 25 oktober 2013

INT

EU

Vl

BE

Verklaringen, verdragen en mensenrechten Verdragen, verordeningen en richtlijnen Wetten en KB’s + deontologische codes Decreten en uitvoeringsbesluiten

Gegevens bescherming

Klinische proeven

Medische hulp-

middelen

Biologisch materiaal

Patiënten rechten

Gegevens bescherming

Klinische proeven

Medische hulpmiddelen

Biologisch materiaal

Patiëntenrechten

Outline

1.  Gegevens-bescherming – “theorie”

§  Bescherming van persoonsgegevens

§  Rolverdeling verantwoordelijke voor verwerking - verwerker

2.  De Privacywet in 4 stappen

§  Legitieme grondslag §  Doel §  Proportionaliteit §  Transparantie

30/10/13 6

Wet Verwerking Persoonsgegevens

8 december 1992, zoals aangepast op 11 december 1998

Europese basis “under review”

Privacywet

algemeen basis beschermingsniveau

voor iedere verwerking van gegevens

betreffende natuurlijke personen

bescherming is het vertrekpunt

30/10/13 9

gewone persoonsgegevens

gevoelige persoonsgegevens

Bescherming van persoonsgegevens

§  Gegevens betreffende een natuurlijke persoon, rechtspersonen niet beschermd

§  geïdentificeerde of identificeerbare persoon

30/10/13 11

Geanonimiseerde gegevens vallen buiten de wet

Maar opgelet: §  anonimisatie is steeds one way! §  ≠ pseudonimisatie of codering §  ≠ encryptie

Extra op letten in gezondheidszorg

§  zeldzame aandoeningen

§  genetische gegevens §  terugkoppeling

resultaten wenselijk

Extra op letten in onderzoek

§  (te) kleine onderzoekspopulatie

§  accumulatie van gegevens of databanken

30/10/13 13

⇒ Anonimisatie is moeilijk en staat onder druk! vaak pseudonimisatie, wat wel onder de wet valt.

Bescherming van gevoelige gegevens waaronder “gegevens betreffende de gezondheid”:

§  fysieke of mentale gezondheid

§  over het verlenen van gezondheidszorg

Inclusief genetische en biometrische gegevens of stalen

Rolverdeling

betrokkene

verant-woorde-

lijke

ver-werker derde

30/10/13 15

Betrokkene

§  Natuurlijke persoon §  Van wie gegevens verwerkt worden

30/10/13 16

Verantwoordelijke voor de verwerking

§  Bepaalt doel en middelen van de verwerking §  Natuurlijke persoon, rechtspersoon, vereniging

of openbaar bestuur §  Alleen of samen

30/10/13 17

Verwerker

§  Werkt in opdracht van de verantwoordelijke §  Maar niet onder rechtstreeks gezag §  Natuurlijke persoon, rechtspersoon, vereniging

of openbaar bestuur

30/10/13 18

Derde

§  Een andere dan de betrokkene, verantwoordelijke of verwerker

§  Aan wie gegevens verstrekt worden §  of van wie gegevens verkregen worden §  Natuurlijk persoon, rechtspersoon, vereniging of

openbaar bestuur

30/10/13 19

Verantwoordelijke

§  Zorgt voor informatie aan betrokkene en aan overheid

§  Zorgt voor respect rechten van de betrokkene

§  Waarborgt samenwerking met “gezonde verwerker”

§  Maakt contract op met gekozen verwerker

§  Waarborgt “gezonde” verwerking van gegevens

⇒ kijkt toe op en zorgt voor naleving van de wet

Verwerker

§  Verwerkt enkel gegevens in opdracht van en zoals overeengekomen met verantwoordelijke

§  Voorziet gepaste technische en organisatorische maatregelen ter beveiliging van de door hem verwerkte gegevens

§  Zorgt voor beschikbaarheid van verwerkte gegevens

⇒ verwerkt gegevens volgens afspraken

30/10/13 20

Privacywet in 4 stappen

Zorg voor een legitieme grondslag

Bepaal het doel van de verwerking

Check de proportionaliteit

Aandacht voor transparantie

30/10/13 21

gewone persoons-gegevens

gevoelige persoons-gegevens

Zorg voor een legitieme grondslag

De verwerking van gevoelige gegevens is

verboden

tenzij... uitzondering!

a)  Schriftelijke toestemming b)  Specifieke verplichtingen in het arbeidsrecht c)  Noodzakelijk voor de sociale zekerheid d)  Noodzakelijk voor de volksgezondheid e)  Wettelijke verplichting f)  Noodzakelijk ter bescherming van vitale

belangen g)  Noodzakelijk ter voorkoming van een gevaar of

strafrechtelijke inbreuk h)  Duidelijk door de betrokkene openbaar

gemaakte gegevens i)  Noodzakelijk voor het verstrekken van zorg j)  Noodzakelijk voor wetenschappelijk onderzoek ! Of een andere wettelijke toelating

Schriftelijke toestemming

30/10/13 26

5 voorwaarden: 1.  Geïnformeerd 2.  Vrij 3.  Specifiek 4.  Op voorhand 5.  Schriftelijk

30/10/13 28

30/10/13 29

30/10/13 30

30/10/13 31

•  expliciete toestemming voor gegevens die de gezondheid niet betreffen

bv. administratieve niet-medische gegevens

•  schriftelijke toestemming voor gezondheidsgegevens

(onder huidige Belgische wetgeving)

ECHTER

voor iedere verwerking van gezondheidsgegevens is toestemming van de betrokkene nodig

= mythe

30/10/13 33

Beste voorbeeld:

§  preventieve geneeskunde §  medische diagnose

§  verstrekken van zorg of behandelingen §  beheer van de gezondheidsdiensten

voor zover in het belang van de betrokkene en onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg

Maar ook wetenschappelijk onderzoek met:

§  geanonimiseerde gegevens §  resten van stalen

§  … in opdracht van wetgever

voor zover voldaan aan voorwaarden KB of Wet

30/10/13 35

Later hergebruik van gegevens voor onderzoek

§  geanonimiseerde gegevens §  gepseudonimiseerde gegevens

voor zover voldaan aan voorwaarden van KB tot uitvoering van Privacywet van 13 februari 2001

30/10/13 36

Ook de verwerking van “gewone” persoonsgegevens enkel toegelaten in de

door de wet bepaalde gevallen

30/10/13 37

a)  Ondubbelzinnige toestemming b)  Uitvoering van een overeenkomst met betrokkene c)  Noodzakelijk voor wettelijke verplichtingen van de

betrokkene d)  Vrijwaring van een vitaal belang van de betrokkene e)  Noodzakelijk voor een taak van openbaar belang f)  Noodzakelijk voor behartiging van het gerechtvaardigd

belang van de verantwoordelijke of een derde mits de fundamentele rechten en vrijheden niet zwaarder doorwegen

30/10/13 38

30/10/13 39

Bepaal het doel van de verwerking

doelgebonden verwerking gegevens mogen enkel verwerkt worden voor “een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel”

nooit verder gebruik dat niet binnen redelijke verwachtingen van betrokkene valt

beperkt in de tijd

gegevens wissen indien niet langer vereist om dit doel te bereiken

Bij latere verwerking voor onderzoek ook wel “secundair gebruik” genoemd

§  historisch, statistisch of wetenschappelijk

onderzoek

§  waterval-systeem en aantonen waarom

§  geen pogingen tot her-identificatie

§  publicatie van resultaten enkel anoniem tenzij uitdrukkelijke toestemming betrokkene

30/10/13 41

Onderzoek met gepseudonimiseerde gegevens: §  Geen toestemming vereist,

in principe wél kennisgeving

§  Codering door verantwoordelijke van de verwerking, verwerker of intermediaire organisatie

§  Voldoende beveiligen om her-identificatie tegen te gaan

30/10/13 42

toereikend

terzake dienend

niet overmatig 30/10/13 43

Check de proportionaliteit

“Need to know, not nice to know”

30/10/13 45

Aandacht voor transparantie

Informatie §  naar betrokkene toe

§  toestemmingsformulier §  kennisgevingsformulier §  informatiebrochure §  contactpersoon voor verdere vragen

§  naar overheid §  machtiging sectoraal comité voor gezondheidszorg §  aangifte privacycommissie

30/10/13 46

30/10/13 47

Informatie naar overheid

machtiging en aangifte

§  Machtiging = strengere procedure, de uitzondering

§  Aangifte = standaard

Machtiging §  Sectoraal comité §  Geen standaard formulier §  Per post §  Voor start onderzoek §  Positief antwoord

afwachten §  Bij mededeling van

gezondheidsgegevens

Aangifte §  Privacy-commissie §  Standaard formulier §  Online §  Voor start onderzoek §  Enkel bij negatief advies

bericht §  Bij verwerking van alle

persoonsgegevens

30/10/13 49

Wanneer “verwerking”?

30/10/13 50

Wanneer “mededeling”?

§  Gegevens werden verzameld met een bepaald doel

§  Een instelling (al dan niet overheidsinstelling) geeft deze gegevens door

§  Aan een derde partij

§  Voor gebruik voor een nieuw doel

30/10/13 51

Valt NIET onder “mededeling” §  Uitwisseling van gegevens tussen de

verantwoordelijke voor de verwerking en verwerker §  Uitwisseling van gegevens tussen de

verantwoordelijke voor de verwerking en de betrokkene

§  Uitwisseling van gegevens tussen beroepsbeoefenaars in de gezondheidszorg gebonden door beroepsgeheim en persoonlijk betrokken bij de uitvoering van diagnostische, preventieve of zorgverlenende handelingen ten opzichte van de patiënt

30/10/13 52

30/10/13 53

terugkoppeling

verder onderzoek

codering

30/10/13 54

Nakijken op fouten, analyse en rapportering

over gecodeerde

gegevens

30/10/13 55

Verder gebruik voor

terugkoppeling kraamafdelingen

en wetenschappelijke

studies

Te onthouden:

§  Geldt niet enkel voor overheidsinstellingen maar voor alle instanties

§  Verplichting tot machtiging wordt gekoppeld aan oorspronkelijk doel waarvoor gegevens werden verzameld

§  Toestemming van de betrokkene doet niets af aan verplichting tot machtiging

30/10/13 56

Wat is belangrijk voor privacy-commissie en sectoraal comité?

§  Legitieme grondslag voor verwerking §  Informed consent

§  Akkoord tussen verwerkende partijen §  Overeenkomst verantwoordelijke en verwerker

§  Veiligheid §  Cf. referentiemaatregelen inzake informatieveiligheid

30/10/13 57

Bedankt. Griet Verhenneman – Researcher ICRI – KULeuven - iMinds

30/10/13 58