1 / 17

Symposium Provinciale Raad van Antwerpen 30 maart 2019

Understand the General Data Protection Regulation (GDPR) and its impact on the processing and management of medical data, including the importance of finality and proportional use. Explore the legal grounds for processing personal and sensitive data, as well as the role of consent. Learn about organizational considerations and agreements between data controllers and processors.

winnief
Download Presentation

Symposium Provinciale Raad van Antwerpen 30 maart 2019

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Verwerking en beheer van verzamelde geneeskundige gegevens & de finaliteit Nils Broeckx AdvocaatDewallens & partners Deeltijds docent UA (AHLEC & ALLIC) Jurist Ethisch Comité AZ Klina Symposium Provinciale Raad van Antwerpen 30 maart 2019

  2. GDPR = General Data Protection Regulation (GDPR) = AlgemeneVerordeningGegevensbescherming (AVG) = Verordening (EU) 2016/679 betreffende de bescherming van natuurlijkepersonen in verband met de verwerking van persoonsgegevensenbetreffende het vrijeverkeer van die gegevens = Opvolger van de Wet van 8 December 1992 tot bescherming van de persoonlijkelevenssfeer ten opzichte van de verwerking van persoonsgegevens • GDPR versus Beroepsgeheim • Het belang van finaliteitenproportionaliteit • Organisatorischeaandachtspunten

  3. GDPR versus Beroepsgeheim

  4. Beperkter én ruimer

  5. Het belang van finaliteit & proportionaliteit

  6. GDPR-vereisten Art. 27 Code van Medische Deontologie Transparantie Rechtmatigheid Doelbinding Minimale verwerking Juistheid Opslagbeperking Verwerkingsverantwoordelijkemoetnalevenenmoetnalevingkunnenaantonen (verantwoordingsprincipe) Veiligheid

  7. Toestemming is niet de enige rechtmatigheidsgrond Rechtmatigheidsgrondenvoorverwerkinggewonegegevens (art. 6 GDPR) • Toestemmingvoorspecifiekdoel • Nodigvooruitvoering van overeenkomst • Nodigvoorwettelijkeverplichting van verantwoordelijke • Nodigvoorvitalebelangen van betrokkene • Nodigvoortaak van algemeenbelang • Nodigvoorgerechtvaardigdebelangen van verantwoordelijke Bijkomenderechtmatigheidsgrondenvoorverwerkinggevoeligegegevens (art. 9 GDPR) • Uitdrukkelijketoestemmingvoorspecifiekdoel • Nodigvoorsociaalrechtelijkeverplichting/rechten(arbeidsrechtensocialezekerheidsrecht) • Nodigvoorvitalebelangen van onbekwamebetrokkene • Nodigvoorledenbeheer van bepaalde VZW’s • Openbaargemaakt door de betrokkene • Nodig in kader van rechtsvordering • Nodig in algemeenbelang op basis van wetsbepaling • Nodigvoorbeoordelenarbeidsgeschiktheid of (beheer van) gezondheidszorg of socialediensten • Nodigvoorvolksgezondheid op basis van wetsbepaling • Nodigvoorwetenschappelijk, historisch of statistischonderzoekmitspassendewaarborgen Geen toestemming Geen toestemming

  8. Binnenkort wel toestemming voor toegang tot het PD door de Kwaliteitswet? Maar… • Verwerking in kader van therapeutischerelatie • Verwerking in kader van verzekeringsdoeleinden • Verwerking in kader van wetenschappelijkonderzoek Enkel indien noodzakelijk (maar veel kan noodzakelijk zijn) Wel steeds toestemming voor de zorg in se (art. 8 Wet Patiëntenrechten) • Ziekteverzekering en arbeidsrecht: zonder toestemming indien noodzakelijk (strikter dan voor zorgverstrekking) • Private en andere verzekeringen:toestemming en noodzakelijkheid (art. 61 Verzekeringswet) Enkel indien noodzakelijk voor het onderzoek in kwestie Enkel indien “passende maatregelen” (bv. pseudonimisering) Wel steeds toestemming voor het experiment in se (art. 6 Wet Experimenten)

  9. Organisatorische aandachtspunten

  10. Organisatie? • Onderlingeafspraken • Transparantie • Veiligheid 1 2 3

  11. 1 Onderlinge afspraken De verwerkingsverantwoordelijke/controller is “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt” Degene die de essentiële verwerkingsbeslissingen maakt, draagt de GDPR-verantwoordelijkheid Bewerker “(…) de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken” Verwerker/processor “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”

  12. Onderlinge afspraken Elke verwerkingsverantwoordelijke die bij verwerking betrokken is, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die GDPR schendt  samen voor gehele schade aanspreekbaar, ongeacht onderlinge regeling, maar wel (beperkt) onderling verhaalsrecht Onderlinge regeling (art. 26 GDPR) Instructies (via gegevensbeschermingsbeleid) Bewerker • geen rechtstreekse GDPR-aansprakelijkheid • mogelijk wel aansprakelijk op andere gronden Verwerkersovereenkomst (art. 28 GDPR) Verwerker/processor • Rechtstreekse GDPR-aansprakelijkheid voor verwerkersverplichtingen • Samen met verwerkings-verantwoordelijken en/of andere verwerkers aanspreekbaar, ongeacht overeenkomst, maar wel (beperkt) onderling verhaalsrecht

  13. Opnieuw bekijken per finaliteit Sponsor Experiment = controller Ziekenhuis = controller voor zorg, mogelijk processor voor andere doeleinden Studiedata Privépraktijk = controller Overdracht tussen separate controllers ziekenhuispersoneel Stagiair = controller voor onderwijs Ziekenfonds Personeel ZH-artsen = joint controllers of bewerkers (zelfstandige) ZH-artsen (zelfstandige) ZH-artsen Beheerder Gedeeld platform ZF stageverslag Processor = EPD-leverancier Processor App-leverancier Processor … PP Onderwijsinstelling = controller voor onderwijs = controller bij verdere verwerking vooreigen doeleinden ZF Joint controllers ZH PP

  14. 2 Layered Privacy Policy + uitzonderingen art. 14, lid 5 GDPR

  15. 3 “Passende” veiligheidsmaatregelen Risico’s Data Protection Impact Assessment Stand van de techniek Uitvoerings-kost Enkel bij hoge risico’s Aard, context, omvang, doel Genormeerde risicoanalyse Personal data breach Interne registratie Soms notificatie GBA Passend veiligheidsniveau Soms notificatie betrokkene

  16. Samenvatting

  17. SAMENVATTING • De uitdrukkelijketoestemming is niet steeds vereistvoorelkeverwerkingsfinaliteit • Beoordeling van proportionaliteit is cruciaal • Verwerkingenbeheer van gezondheidsgegevensvereistgoedevoorbereidingenomkadering

More Related