Nieuwe Europese privacyregels in aantocht
De Europese Unie (EU) bereidt nieuwe regels voor ter bescherming van persoonsgegevens, die ook hun impact zullen hebben op de zorg. Wat betekenen ontwikkelingen als een ‘meldplicht datalekken’ en het aanstellen van een privacyfunctionaris voor de zorg?
De EU wil de privacy van de Europese burgers beter beschermen via een nieuwe Algemene Verordening Gegevensbescherming (AVG). Sinds de totstandkoming van de nationale en Europese privacyregels (de Europese richtlijn ter bescherming van persoonsgegevens uit 1995 en de Wet bescherming persoonsgegevens uit 2001) is de omvang van automatische verwerking van persoonsgegevens namelijk enorm toegenomen. Ook niet-Europese organisaties als Google, Apple, Microsoft en Facebook verwerken grote hoeveelheden persoonsgegevens van Europese burgers.
Ook zorgaanbieders krijgen met deze AVG te maken. Zo ver is het echter nog niet. Als de AVG in 2014 wordt aangenomen, geldt een overgangstermijn van twee jaar.
Beveiligingslek en privacyfunctionaris
De AVG bevat echter twee maatregelen die ook op nationaal niveau al worden voorbereid. Het gaat om een meldplicht bij datalekken en de verplichting tot het aanstellen van een privacyfunctionaris voor zorginstellingen. Wij houden er rekening mee dat deze twee verplichtingen waarschijnlijk al per 1 januari 2015 zullen gaan gelden. Zij maken namelijk deel uit van lopende wijzigingen in nationale wetgeving.
Zo buigt het parlement zich momenteel over een nieuw artikel 34a van de Wet bescherming persoonsgegevens. Dit artikel bevat een meldplicht bij datalekken. Elke (zorg)organisatie wordt verplicht om bepaalde beveiligingslekken te melden bij het College bescherming persoonsgegevens (CBP). Volgens de laatst bekende versie van de wetstekst moet het gaan om een lekken dat “ernstige nadelige gevolgen heeft voor de bescherming van de verwerkte persoonsgegevens.” Als dat “waarschijnlijk ongunstige gevolgen” zal hebben voor de privacy van patiënten, moeten ook patiënten over dit datalek worden geïnformeerd.
Daarnaast kijkt het parlement naar een voorstel voor een Wet cliëntenrechten bij elektronische verwerking van gegevens. De bijbehorende regelgeving wil zorginstellingen met meer dan tweehonderdvijftig werknemers en een aansluiting op een elektronisch uitwisselingssysteem verplichten om een “functionaris voor de gegevensbescherming” te benoemen.
Invoering
Zorgaanbieders zullen na invoering van deze nieuwe regels ongetwijfeld de tijd krijgen om de verplichtingen in te voeren in de praktijk. De inhoud van de nieuwe Europese en nationale regelgeving staat nog niet vast. Maar het is wel zaak om deze ontwikkelingen te blijven volgen, zodat u niet verrast wordt als het zover is. Wilt u meer weten over de wijzigingen in de Europese privacyregels op langere termijn?
Hieronder gaan wij nader inhoudelijk in op de voorstellen voor nieuwe Europese en nationale regelgeving.
Proces Europese verordening
In januari 2012 publiceerde de Europese Commissie een eerste versie van een AVG. Anders dan een Europese richtlijn werkt een verordening rechtstreeks in alle EU-lidstaten. Het is de bedoeling dat in alle EU-lidstaten dezelfde privacyregels gaan gelden. Wel zullen in ons land de genoemde bijzondere wetgeving (WGBO, Wet Bopz (straks: Wet verplichte ggz), Wet BIG en Wetboek van Strafrecht blijven gelden.
Op 12 maart 2014 heeft het Europees Parlement na een groot aantal wijzigingen de eerste versie aangenomen. De procedure is verder dat de Europese Commissie het voorstel vervolgens aan de Europese Raad (van verantwoordelijke ministers van de lidstaten) zal voorleggen. Nadat de Raad het voorstel beoordeeld heeft, volgt er een triloog tussen Europees Parlement, Commissie en Raad. In dat proces zijn nog steeds inhoudelijke wijzigingen mogelijk. Als het voorstel voor de AVG in 2014 wordt aangenomen, dan geldt nog een overgangstermijn van twee jaar.
Gelet op de twee jaar na afkondiging die er is om aan de nieuwe regels te voldoen en op het feit dat de inhoud nog niet precies vast staat, is het voor zorgaanbieders en werkgevers in de gezondheidszorg niet dringend noodzakelijk om nu al op de AVG te anticiperen en de interne organisatie daarop alvast in te richten.
Inhoud Europese AVG
Als de AVG eenmaal is aangenomen dan zijn de te verwachten veranderingen, voor zover op dit moment te overzien:
- Wie patiëntgegevens verwerkt (de “Verantwoordelijke”) moet een transparant en eenvoudig toegankelijk beleid hebben vastgesteld met betrekking tot de gegevensverwerking en de rechten van de betrokkenen;
- gegevensbeschermingsbeleid moet worden geformuleerd voor de gehele levenscyclus van gegevensverwerking, vanaf het verzamelen tot en met het vernietigen van persoonsgegevens;
- wie gevoelige persoonsgegevens verwerkt, zoals patiëntgegevens, moet de gegevensverwerking onderwerpen aan een ‘privacyeffectbeoordeling’;
- een patiënt moet verzoeken inzake de uitoefening van zijn rechten desgewenst elektronisch kunnen indienen;
- de nationale toezichthouder (thans: College bescherming persoonsgegevens, CBP) krijgt de bevoegdheid om boetes op te leggen tot maximaal 100 miljoen euro of vijf procent van de jaaromzet van de organisatie.
Meldplicht datalekken
Het wetsvoorstel tot wijziging van artikel 34a van de Wet bescherming persoonsgegevens (Wbp) regelt dat een “Verantwoordelijke” (bijvoorbeeld de Raad van Bestuur van een zorginstelling) niet elk datalek hoeft te melden omdat niet elk risico een melding rechtvaardigt. Maar hoe weet een zorgaanbieder dat hij wel of niet moet melden? Een wijziging op het wetsvoorstel (via een Nota van Wijziging) probeert hierin voor het veld duidelijkheid te scheppen.
“Ernstige” nadelige gevolgen
De kern van de wijziging is dat niet “alle” inbreuken op de beveiliging van persoonsgegevens bij het CBP hoeven te worden gemeld maar alleen die
inbreuken die “ernstige” nadelige gevolgen hebben voor de bescherming van de verwerkte persoonsgegevens. Verder wordt geregeld dat indien de zorgaanbieder passende technische beschermingsmaatregelen heeft genomen waardoor de getroffen persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van die gegevens, de meldingsverplichtingen niet gelden. Het staat uiteraard de zorgaanbieder vrij om ook bij geringere incidenten de getroffen personen te informeren over het incident en over de maatregelen die de zorgaanbieder heeft getroffen om de gevolgen te beperken en herhaling te voorkomen.
De vraag is of deze wijziging verhelderend is maar ook is niet zeker dat dit het finale voorstel wordt. Het CBP heeft bijvoorbeeld ernstige kritiek op de voorgestelde wijziging. Het moge duidelijk zijn dat het van groot belang is dat men weet wanneer er sprake is van een lek en dat er een goede afbakening moet zijn. Anders wordt het voor een zorgaanbieder wel erg lastig om aan de meldplicht te voldoen.
Verplichte privacyfunctionaris
Het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensuitwisseling tussen zorgaanbieders (wijzigt te zijner tijd de wet BSN in de zorg), regelt de verplichting tot het aanstellen van een functionaris voor de gegevensbescherming (“FG”, ook wel ‘privacyfunctionaris’ genoemd). Deze verplichting geldt volgens het huidige voorstel voor instellingen met meer dan 250 werknemers die bovendien zijn aangesloten op een elektronisch uitwisselingssysteem. Het criterium dat de instelling meer dan 250 werknemers moet hebben, is overgenomen uit het oorspronkelijke voorstel voor de AVG. Na amendering door het Europees Parlement is dit echter niet langer als criterium opgenomen in de AVG. De huidige versie AVG stelt dat een privacyfunctionaris onder andere verplicht is wanneer “de kernactiviteiten van de voor de verwerking verantwoordelijke of de verwerker bestaan uit de verwerking van bijzondere categorieën gegevens ingevolge artikel 9, lid 1”. Genoemd artikel 9, lid 1 AVG bepaalt onder andere dat persoonsgegevens over iemands gezondheid daar onder vallen. Voor zorgorganisaties zal het verwerken van gezondheidsgegevens een kernactiviteit zijn, zodat volgens de AVG in feite alle zorgorganisaties een privacyfunctionaris zouden moeten aanstellen. Het zou dus kunnen dat de huidige versie van het concept Besluit nog wordt aangepast, waarna de eis van 250 werknemers niet langer wordt gesteld.
Op grond van artikel 63 Wbp is een privacyfunctionaris een individuele functionaris. Deze functionaris moet over toereikende kennis beschikken van de organisatie, de gegevensverwerkingen daarbinnen, de belangen die daarbij betrokken zijn, voldoende betrouwbaar zijn en kennis hebben van de toepasselijke privacywetgeving. De naam van de privacyfunctionaris moet worden aangemeld bij het CBP, die aldus met hem/haar contact kan onderhouden. In de praktijk kennen veel zorginstellingen reeds een Information Security Officer. Als die aan de eisen voldoet, ligt het voor de hand om die tevens privacyfunctionaris te maken. Ook is het mogelijk een externe (privacy) deskundige in te schakelen als privacyfunctionaris. Een privacyfunctionaris beschikt over de bevoegdheden uit afdeling 5.2 Algemene wet bestuursrecht. Die bevoegdheden zijn onder andere: elke plaats betreden in de organisatie en daarbij benodigde apparatuur meenemen, inlichtingen vorderen, inzage te vorderen in zakelijke gegevens en bescheiden. Iedereen is verplicht mee te werken met de privacyfunctionaris. Wie een geheimhoudingsplicht heeft, mag medewerking weigeren.
Volg de ontwikkelingen
Het Europese wetgevingsproces is omvangrijk en gecompliceerd. Voor de liefhebber is het proces te volgen via het webdossier van de Eerste Kamer:
http://www.eerstekamer.nl/eu/edossier/e120003_voorstel_voor_een#p1
De parlementaire behandeling van het wetsvoorstel over de meldplicht datalekken (kamerstuk 33 662) is onder andere te volgen via het dossier Persoonsgegevens van de website van de Rijksoverheid:
of http://www.parlementairemonitor.nl/9353000/1/j9vvij5epmj1ey0/vjashg0hadxx
De parlementaire behandeling van het wetsvoorstel en AMvB over de verplichte privacyfunctionaris (kamerstuk 33 509) is onder andere te volgen via de website www.overheid.nl > Parlementaire stukken > Zoeken in Dossiernummer op “33509”.
Dit bericht is opgesteld door de Brancheorganisaties Zorg (BoZ), bestaande uit ActiZ, GGZ Nederland, NFU, NVZ en VGN, in gezamenlijkheid met artsenfederatie KNMG, de beroeps- en brancheorganisatie van apothekers KNMP en werkgeversbrancheorganisatie VNO-NCW).