vertaling: Iemand wordt aangewezen als DPA ongeacht of ze weten waar ze het over hebben.

Sorry, hoor. Maar dit klinkt als geblaat ...

Artiklel 37, lid 5: "De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen.".

Dat gebeurde al voordat de AP het controleerde.
Het voordeel is wel dat er binnen de medische wereld (en sommige anderen) een zeer actieve gemeenschap van FG's is. Ze helpen nieuwe FG's heel snel de punten op te pakken. Inclusief hoe het management te bewerken. ;-)

Peter

Helaas is dat in veel gevallen wel praktijk ja...

In de praktijk wordt alleen gecheckt of er een DPA aanwezig is.

Niet wat de kwaliteiten van de DPA zijn.

Iemand kan niet worden aangewezen als DPA :P dat staat voor de overeenkomst (Data Processing Agreement).
Wel als DPO/Functionaris Gegevensbescherming. Er zijn weinig eisen aan wat iemand in die rol moet kunnen behalve wat er gesteld is in artikel 37, Lid 5 zoals eerder vermeld.
Helaas is het vaak niet bekend bij organisatie wat een DPO allemaal moet kunnen, en wordt de eerste beste geschikte persoon aangewezen als DPO. Gelukkig, zoals boven gesteld, wordt in de zorg hard gewerkt om er voor te zorgen dat dit aspect onder controle komt. Dat gaat echter met horten en stoten, denk dat wij professionals moeten faciliteren in het verbeteren en versterken van de privacy positie van eenieder. Dat begint met kritisch zijn, en dat is men op dit platform wel, maar laten we vooral ook in oplossingen blijven denken. Hoe zouden we er bijvoorbeeld als security community voor kunnen zorgen dat FG's met ons in contact kunnen komen om advies te vragen?

Voorwaarden:
- vraagstellers advies vragen niet afdoen met afbranden van de personen
- geen stokpaardjes van de eigen technische voorkeur gaan berijden.
- Keuzes met alternatieven aangeven, er is geen absolute waarheid
het begint met risicoanalyse dan de mogelijke keuzes waar een voor en na bij zit.

De FG heeft een grotere waarde aan de process kant. Welke data waarom waar word geprocessed en bescchikbaar gesteld. Of dit nu op een papier een tv scherm of website is. De technische kant van bescherming hoort bij de SO die de oprationele kant achter de broek aan zit en security audits regelt.

Wat mij beteft kunnen FG's gewoon vragen stellen op dit forum. Inzicht krijgen in beveiliging in de gexondheidszorg door mee te denken over problemen, lijkt mij interessant en leerzaam!

Voorwaarden:
1) Je moet een dikke huid hebben vanwege de vele intriganten en fake news bots;
2) Je moet trollen en privacybarbaren kunnen negeren (pun intended);
3) Discussies op basis van staafbare feiten en/of argumenten worden zeer op prijs gesteld (in elk geval door mij);
4) Als je wetten (zoals AVG) anders uitlegt dan bedoeld, ben je niet de eerste (doch nr. 5) maar kun je ook de boom in;
(whatever happened to 1, 2 and 3?)
5) Kom ervoor uit als je van inzicht verandert, want dat is normaal in dit snel veranderende vakgebied (op nóg een zichzelf tegensprekende draaikont zit in elk geval ik niet te wachten);
6) S.v.p. geen stokpaardjes van de eigen technische voorkeur (bijv. uit Redmond) berijden of OSS belachelijk maken.

Vaardigheden 1 en 2 moet een FG sowieo hebben voor in directiekamers en/of pioriteitenoverleg met scepterzwaaiende chirurgen (anders zijn maagzweren, depressies en burnouts onvermijdelijk).

Goede punten, maar de hamvraag is volgens mij, hoe zorg je dat je in contact komt met al die goedwillende FG's?

Volstrekte onzin! Zowel de WP29-group, de IAPP, als de AP en andere DPA's hebben al geruime tijd geleden richtlijnen gepubliceerd over de taak van de FG.
Als één ding duidelijk is dan is het wel dat de FG wel iets meer moet kunnen dan dat momenteel de norm is. Ik ken helaas teveel gevallen waarin het competentie-niveau op het bedroevende af is. Een cursusje van twee avonden door een paar cowboys bij het wijkcentrum om de hoek lijkt meer regel dan uitzondering.


Tja, een volstrekt gebrek aan bewustzijn en competentie dus. Die zijn na de uitgebreide lunch tijdens het AVG-congres lekker ingedut en hebben niet meer opgelet. Om vervolgens te roepen dat het toch wel 'errug veel werk' is en 'errug ingewikkeld'.

Met de te late benoeming van een (deeltijd-)FG voelt men zich voorlopig weer even veilig en vervolgens wordt er een externe projectleider AVG aangetrokken die de uitvoering op zich moet nemen. In plaats van dat men het twee jaar geleden goed had opgepakt
Je ziet die vacatures dagelijks voorbij komen.
Niet dat de AP daar op let overigens.


Nou, onwaarschijnlijk. De zorgsector loopt al sinds vele jaren de kantjes eraf of zakt compleet door het ijs als het gaat om gegevensbeveiliging en privacy.
Als patient mag je al blij zijn om levend uit het ziekenhuis te komen, maar daarna liggen je gegevens gewoon op straat. Al is het maar in het kader van de 'collegiale uitwisseling van patientgegevens ten behoeve van onderzoek en verbetering van de zorg'.
Intussen heeft het halve ziekenhuis al gewoon kennis genomen van je patientgegevens.

Uit bovenstaande artikel blijkt opnieuw volstrekt duidelijk dat ziekenhuizen een grote bek opzetten maar in de praktijk niet in staat blijken ook maar bij benadering het kleuterschool-minimum-niveau te halen van hetgeen qua beveiliging en privacy vereist is.

Geeft toch niets? De boetes komen gewoon in mindering op het budget dat beschikbaar is voor patientenzorg.

"Helaas is uw kind overleden omdat wij om budgettaire redenen niet de vereiste zorg konden bieden.
De Raad van Bestuur heeft hiervan kennis genomen en is in overleg getreden met de minister.
De directeur heeft een salarisverhoging gekregen gelet op diens toegenomen werkdruk en verantwoordelijkheid tengevolge van de AVG".

De DPO heeft wel degelijk met de techniek te maken. De service organisatie (SO) zit te vaak vast in de eigen ICT dogma's.
Je hebt de shadow-ICT ofwel op de werkplek gemaakte processen en verwerkingen omdat de SO die niet levert.
- Daarmee is het vrijwel onmogelijk een verwerkingsregister goed op orde te krijgen. De DPO zal er achter aan gaan om het in ieder gecontroleerd afgeschermd te doen (dat wordt technisch).
- Een ontwikkel - test - productie traject netjes invullen wordt in bepaalde gevallen ook belemmerd door een SO. Dan krijg je cloud en andere uitwegen door gebruikers. Ook hier zal de DPO met de techniek betrokken raken.
- Het wordt echt interessant wanneer de CSO functie van de SO belegd is buiten de SO ergens bij BU waardoor er wel wat op papier staat dat het lijnmanagement voor de security invulling verantwoordelijk is maar dat het ICT-ers zijn die met (niet kloppende) vinkenlijstjes komen hoe de techniek leidend is aan het functionele proces.

Ik kan dit vanuit de praktijk alleen maar bevestigen ...

In spanje hebben ze hele "duidelijke" criteria voor een DPO.

https://www.aepd.es/reglamento/cumplimiento/common/scheme-aepd-dpd.pdf

Je moet je o.a. certificeren etc... En is een vereiste voor het dragen van de taakomschrijving.