1 / 26

Informatieveiligheid en privacybescherming bij e-Health

Informatieveiligheid en privacybescherming bij e-Health. Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid Strategisch adviseur FEDICT Sint-Pieterssteenweg 375 B-1040 Brussels E-mail: Frank.Robben@ksz.fgov.be Website: http://www.law.kuleuven.ac.be/icri/frobben.

amity
Download Presentation

Informatieveiligheid en privacybescherming bij e-Health

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Informatieveiligheid en privacybescherming bij e-Health Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid Strategisch adviseur FEDICT Sint-Pieterssteenweg 375 B-1040 Brussels E-mail: Frank.Robben@ksz.fgov.be Website: http://www.law.kuleuven.ac.be/icri/frobben Kruispuntbank Sociale Zekerheid FEDICT

  2. Structuur van de uiteenzetting • een visie op informatieveiligheid en privacy-bescherming • definities • enkele basisprincipes • wettelijk kader • regelgeving ivm verwerking van persoonsgegevens • regelgeving ivm rechten van de patiënt • concrete vormgeving informatieveiligheidsbeleid • enkele opportuniteiten

  3. Wat ? • informatieveiligheid • vermijden van schade aan informatie en informatiesystemen, en alle betrokkenen (gebruikers, informatiesubjecten, …) • verschillende aspecten: • juistheid en integriteit • beschikbaarheid • vertrouwelijkheid • niet-weerlegbaarheid • authenticiteit • auditeerbaarheid • privacybescherming • vermijden van onrechtmatige inbreuken op de persoonlijke levenssfeer en respecteren van een minimaal recht op informationele zelfbestemming van elke persoon • deels overlappend, deels aanvullend

  4. Enkele basisprincipes • nood aan voortdurend zoeken naar evenwicht tussen inspelen op opportuniteiten en vermijden van risico’s: het streven naar absolute veiligheid is geen streefdoel want smoort vernieuwing en efficiëntie onterecht in de kiem • nood aan klemtoon op preventie • primaire preventie: schade vermijden door het tijdig opmerken en wegnemen van bedreigingen • secundaire preventie: bij schade deze zo goed en zo snel mogelijk herstellen • tertiaire preventie: bij opgelopen schade vermijden dat de schade nog toeneemt

  5. Enkele basisprincipes • nood aan homogeen geheel van maatregelen over alle betrokken instanties heen: de zwakste schakel bepaalt de graad van veiligheid • structureel: beveiligende effecten voortvloeiend uit het concept • organisatorisch • qua personeel • juridisch • technisch • fysisch • informatieveiligheid en privacybescherming zou moeten worden opgenomen in het waardenkader van elke informatie-verwerkende instantie en dus een dagdagelijkse bekommernis zijn van elkeen bij elke taakuitvoering, en vanaf de ontwerpfase in informatiesystemen worden ingebouwd

  6. Enkele basisprincipes • veiligheid kan de efficiëntie en de gebruiksvriende-lijkheid belemmeren en kost geld; bovendien vernietigt goede preventie de bewijzen van haar efficiëntie => belang van een volgehouden motivatie en sensibilisering • nood aan regelmatige interne en externe audits • nood aan communicatie tav de publieke opinie over het beleid en de maatregelen inzake informatieveiligheid en privacybescherming om het vertrouwen te verdienen en te behouden

  7. Wettelijk kader • bronnen • Europese richtlijn van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens • wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, grondig gewijzigd door de wet van 11 december 1998 (WVP) • koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 (KBVP) • Wet van 22 augustus 2002 betreffende de rechten van de patiënt (WRP)

  8. Wettelijk kader: verwerking persoonsgegevens • toepassingsgebied • geautomatiseerde verwerkingen van persoonsgegevens • niet-geautomatiseerde verwerkingen van persoonsgegevens opgenomen in een bestand of bestemd om te worden opgenomen in een bestand • bestand: gestructureerd geheel van persoonsgegevens toegankelijk volgens bepaalde criteria (vb. naam, rijksregisternummer, …) • verwerking: (geheel van) bewerking(en) van persoonsgegevens, al dan niet met behulp van geautomatiseerde procédés (oa verzamelen, opslaan, raadplegen, wijzigen, meedelen, …) • persoonsgegeven: iedere informatie mbt een geïdentificeerd of rechtstreeks of onrechtstreeks identificeerbaar natuurlijk persoon

  9. Wettelijk kader: verwerking persoonsgegevens • verplichtingen bij de verwerking van persoons-gegevens (art. 4 & 5 WVP) • verwerking van persoonsgegevens is enkel toegelaten indien • ondubbelzinnige toestemming van betrokkene of • noodzakelijk voor de uitvoering van een overeenkomst of • noodzakelijk om een wettelijke verplichting na te komen of • noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene of • noodzakelijk voor de vervulling van een taak van openbaar belang of uitoefening van het openbaar gezag of • noodzakelijk voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke voor de verwerking of een derde (belangenafweging !) • eerlijke en rechtmatige verwerking • doelbinding (finaliteitsbeginsel) • verwerking voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden • zowel bij verwerving van de gegevens als bij verdere verwerking (verenigbaarheid met initieel doeleinde)

  10. Wettelijk kader: verwerking persoonsgegevens • verplichtingen bij de verwerking van persoons-gegevens (art. 4 & 5 WVP) • evenredigheid (proportionaliteitsbeginsel): gegevens moeten, in functie van doeleinde van verwerking, toereikend, ter zake dienend en niet overmatig zijn • nauwkeurigheid: bijwerken, verbeteren, verwijderen, … (art. 16, § 2, 1°, WVP) • redelijke bewaarduur: gegevens mogen niet langer bewaard worden dan nodig voor de verwezenlijking van het doeleinde van verwerking • informatieverstrekking (art. 9 WVP) • bij inzameling van gegevens bij de betrokkene (art. 9, § 1, WVP) • bij registratie/mededeling van gegevens (art. 9, § 2, WVP)

  11. Wettelijk kader: verwerking persoonsgegevens • verplichtingen bij de verwerking van persoons-gegevens • mededeling betwist karakter van gegeven (art. 15 WVP) • aansprakelijkheid voor schade (art. 15bis WVP) • controle op verwerkers (art. 16, § 1, WVP) • een verwerker kiezen die voldoende waarborgen biedt op het vlak van de informatieveiligheid • in het contract met de verwerker opnemen • de uitgewerkte beveiligingsmaatregelen • de aansprakelijkheid van de verwerker • de beperkte bevoegdheid van de verwerker • de verwerker handelt slechts in opdracht van de verantwoordelijke • de verwerker heeft dezelfde verplichtingen als de verantwoordelijke • toezien op de naleving van de uitgewerkte beveiligingsmaatregelen

  12. Wettelijk kader: verwerking persoonsgegevens • verplichtingen bij de verwerking van persoonsgegevens • tav de medewerkers • toegangs- en bevoegdheidsbeperking (art. 16, § 2, 2°, WVP) • verstrekking van informatie m.b.t. de gegevensbeschermende bepalingen (art. 16, § 2, 3°, WVP) • controle computerprogramma’s (art. 16, § 2, 4°, WVP) • conformiteit met de aangifte aan de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (CBPL) • rechtmatig gebruik • gepaste technische en organisatorische veiligheidsmaatregelen nemen (art. 16, § 4, WVP) • voorkomen van vernietiging, verlies, wijziging,... • passend beveiligingsniveau vergt afweging • stand van de techniek en kosten van de maatregelen • aard van de gegevens en potentiële risico’s • aangifte aan de CBPL (art. 17 WVP), tenzij niet-geautomatiseerde verwerking (art. 19 WVP) of van aangifte vrijgestelde verwerking (art. 51-62 KBVP)

  13. Wettelijk kader: verwerking persoonsgegevens • verplichtingen bij de verwerking van persoonsgegevens mbt de gezondheid (geen definitie in WVP) (art. 7 WVP en art. 25-27 KBVP) • verwerking van persoonsgegevens mbt de gezondheid is enkel toegestaan indien • schriftelijke toestemming van de betrokkene of • noodzakelijk voor uitvoering van verplichtingen en rechten inzake arbeidsrecht of • noodzakelijk voor het verwezenlijken van doelstellingen inzake sociale zekerheid • noodzakelijk voor het bevorderen en het beschermen van de volksgezondheid indien wettelijk/reglementair verplicht om redenen van zwaarwegend algemeen belang of • noodzakelijk voor het verdedigen van vitale belangen van de betrokkene of een andere persoon en de betrokkene niet in staat is om zijn toestemming te geven of • noodzakelijk voor het voorkomen van een concreet gevaar of het beteugelen van een inbreuk of • gezondheidsgegevens duidelijk door de betrokkene openbaar zijn gemaakt of • noodzakelijk voor het vaststellen, uitoefenen of verdedigen van een recht in rechte of • noodzakelijk voor de preventieve geneeskunde, de medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of aan een verwant, of het beheer van gezondheidsdiensten handelend in het belang van de betrokkene of • noodzakelijk voor het wetenschappelijk onderzoek

  14. Wettelijk kader: verwerking persoonsgegevens • verplichtingen bij de verwerking van persoonsgegevens mbt de gezondheid (geen definitie in WVP) (art. 7 WVP en art. 25-27 KBVP) • inzameling moet bij de betrokkene zelf, tenzij • indien noodzakelijk voor de doeleinden van de verwerking • indien de betrokkene niet in staat is de gegevens te bezorgen • verwerking onder de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg, tenzij • na schriftelijke toestemming van de betrokkene • verwerking noodzakelijk is voor het voorkomen van een dringend gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk • geheimhoudingsplicht • aanwijzen van de categorieën van personen die de gezondheidsgegevens kunnen raadplegen, met vermelding van hun hoedanigheid en de lijst van aangewezen categorieën van personen ter beschikking houden van de CBPL • ervoor zorgen dat de aangewezen personen ertoe gehouden zijn het vertrouwelijk karakter van de gezondheidsgegevens in acht te nemen • melding maken van de wet/verordening op grond waarvan de verwerking van gezondheidsgegevens is toegestaan • bij het verstrekken van informatie aan de betrokkene • in de aangifte aan de CBPL

  15. Wettelijk kader: verwerking persoonsgegevens • verplichtingen bij de verwerking van persoonsgegevens mbt de gezondheid (geen definitie in WVP) (art. 7 WVP en art. 25-27 KBVP) • indien de verwerking van gezondheidsgegevens uitsluitend gebaseerd is op de schriftelijke toestemming van de betrokkene • vooraf aan de betrokkene meedelen • de redenen van de verwerking • de lijst van de categorieën van personen die de gezondheidsgegevens kunnen raadplegen • verboden in bepaalde omstanigheden • indien de verantwoordelijke voor de verwerking de huidige of potentiële werkgever van de betrokkene is • indien de betrokkene zich tav de verantwoordelijke voor de verwerking in een afhankelijke positie bevindt, die hem belet vrij zijn toestemming te verlenen • verbod geldt niet indien de verwerking erop gericht is de betrokkene een voordeel te verstrekken

  16. Wettelijk kader: verwerking persoonsgegevens • rechten van de persoon waarover persoonsgegevens worden verwerkt • recht op bescherming persoonlijke levenssfeer (art. 2 WVP) • recht op informatie • bij inzameling van gegevens bij de betrokkene (art. 9, § 1, WVP) • bij registratie/mededeling van gegevens (art. 9, § 2, WVP) • recht op kennisname/mededeling (art. 10 WVP) • rechtstreeks • voor gezondheidsgegevens via een beroepsbeoefenaar in de gezondheidszorg • indien de betrokkene of de verantwoordelijke hierom verzoeken • de beroepsbeoefenaar wordt dan gekozen door betrokkene • recht op verbetering (art. 12, § 1, 1ste lid, WVP) • recht op verzet (art. 12, § 1, 2de, 3de en 4de lid, WVP) • recht op verwijdering of niet-gebruik (art. 12, § 1, 5de lid, WVP)

  17. Wettelijk kader: verwerking persoonsgegevens • rechten van de persoon waarover persoonsgegevens worden verwerkt • recht om niet onderworpen te worden aan bepaalde geautomatiseerde besluiten (art. 12bis WVP) • recht op verhaal • bij de rechter • voorzitter van de rechtbank van eerste aanleg (art. 14 WVP) • strafrechter (strafbepalingen in art. 37-43 WVP) • bij de CBPL (art. 31 WVP) • recht op inzage van het CBPL-register (art. 18 WVP) • bevat informatie uit de CBPL-aangiften (art. 17 WVP)

  18. Wettelijk kader: rechten van de patiënt • regeling van de rechtsverhoudingen inzake gezondheidszorg verstrekt door een beroepsbeoefenaar aan een patiënt • diverse rechten • recht op kwaliteitsvolle dienstverstrekking (art. 5) • recht op vrije keuze van de beroepsbeoefenaar (art. 6) • recht op informatie (art. 7) • recht op informed consent bij behandeling (art. 8) • recht op patiëntendossier (art. 9) • recht op bescherming van de persoonlijke levenssfeer (art. 10) • recht op intimiteit (art. 10) • recht op verhaal bij ombudsdienst (art. 11)

  19. Wettelijk kader: rechten van de patiënt • recht op informatie • alle informatie nodig voor inzicht in de gezondheidstoestand • communicatie gebeurt in een duidelijke taal • patiënt kan tussenkomst van een vertrouwenspersoon vragen • schriftelijk verzoek vereist • verzoek + identiteit vertrouwenspersoon worden opgenomen in dossier • patiënt kan vragen dat informatie niet aan hemzelf wordt verstrekt • verzoek wordt opgenomen in dossier • geldt niet bij risico op ernstig nadeel voor de gezondheid van de patiënt of derden • de beroepsbeoefenaar raadpleegt vooraf een collega • de beroepsbeoefenaar raadpleegt vooraf de vertrouwenspersoon • beroepsbeoefenaar mag mededeling uitzonderlijk weigeren • zolang er risico is op ernstig nadeel voor de gezondheid van de patiënt • de beroepsbeoefenaar raadpleegt vooraf een collega • schriftelijke motivering wordt opogenomen in dossier • de vertrouwenspersoon wordt ingelicht

  20. Wettelijk kader: rechten van de patiënt • recht op patiëntendossier • zorgvuldig bijgehouden en veilig bewaard • patiënt kan vragen om documenten toe te voegen • recht op inzage • binnen 15 dagen • geldt niet voor • persoonlijke notities van de beroepsbeoefenaar • gegevens die betrekking hebben op derden • patiënt kan vragen om tussenkomst van een vertrouwenspersoon • tussenkomst van andere beroepsbeoefenaar nodig • voor inzage persoonlijke notities van de beroepsbeoefenaar • voor inzage motivering van weigering informatieverstrekking • geldt ook voor nabestaanden (onder voorwaarden) • recht op afschrift • tegen kostprijs • wordt geweigerd bij vermoeden dat betrokkene onder druk wordt gezet

  21. Concrete vormgeving informatieveiligheid 1. beleid 2. organisatie 3. risicoanalyse beveiligingseisen 4. selectie van maatregelen terugkoppeling 5. ontwikkeling plannen en implemen- tatie van maatregelen 6. training en opleiding 7. toezicht, controle en evaluatie

  22. Concrete vormgeving informatieveiligheid • voorstel van structurele maatregelen • vermijden van onnodige centrale gegevensopslag • oprichting van een onafhankelijk sectoraal comité voor de gezondheidssector in de schoot van de CBPL • aanbevelingen inzake informatieveiligheid en privacybescherming • toezicht op informatieveiligheid en privacybescherming • machtiging van (elektronische) uitwisseling van persoonsgegevens • klachtenbehandeling • uitgebreide onderzoeksbevoegdheden • jaarverslag aan Parlement • preventieve controle op de rechtmatigheid van de uitwisseling van persoonsgegevens door een instantie die onafhankelijk is van de betrokken partijen (kruispuntbankfunctie) • informatieveiligheidsdienst bij elke betrokken organisatie • erkende, gespecialiseerde informatieveiligheidsdienst(en) • werkgroep inzake informatieveiligheid en privacybescherming in de gezondheidssector

  23. Concrete vormgeving informatieveiligheid • voorstel van kader voor maatregelen op organisatorisch, technisch, fysisch en personeelsvlak: ISO 17799 • beveiligingsbeleid, stapsgewijze verfijnd via policies • classificatie en beheer van bedrijfsmiddelen • beveiligingseisen t.a.v. personeel • fysieke beveiliging van de omgeving (oa encryptie) • beheer van communicatie- en bedieningsprocessen • toegangsbeveiliging • ontwikkeling en onderhoud van systemen • bijzondere eisen bij de verwerking van persoonsgegevens • continuïteitsmanagement • interne en externe controle op de naleving • communicatie t.a.v. de publieke opinie over het beleid en de maatregelen inzake informatieveiligheid en privacybescherming

  24. Enkele opportuniteiten • uitgebreid wettelijk kader, oa voor de inrichting van een sectoraal comité voor de gezondheidssector in de schoot van de CBPL • bestaan van een uniek identificatienummer voor elke burger (identificatienummer sociale zekerheid), dat echter best inhoudsloos wordt gemaakt, als basis voor een degelijke verwerking en uitwisseling van persoonsgegevens • elektronische identiteitskaart als • middel voor elektronische identificatie van de patiënt en de zorgverstrekker • middel elektronische authentificatie van de identiteit van de patiënt en de zorgverstrekker • eventuele drager van elektronische certificaten voor de elektronische authentificatie van de hoedanigheid van de zorgverstrekker

  25. Enkele opportuniteiten • gegevensbank van de zorgverstrekkers als authentieke bron voor de authentificatie van de hoedanigheid van de zorgverstrekker • bewezen expertise bij de Kruispuntbank van de Sociale Zekerheid inzake de organisatie van een systeem voor veilige en multifunctionele elektronische uitwisseling van gevoelige gegevens tussen een groot aantal instanties, waarop kan worden verder gebouwd in de gezondheidsssector

  26. D@nk u ! Kruispuntbank Sociale Zekerheid FEDICT

More Related