image

AP controleert of ziekenhuizen Data Protection Officer hebben

dinsdag 21 augustus 2018, 10:37 door Redactie, 14 reacties

De Autoriteit Persoonsgegevens heeft 91 ziekenhuizen en 33 zorgverzekeraars gecontroleerd of ze wel over een Data Protection Officer (DPO) beschikken, zoals door de nieuwe Europese privacywetgeving AVG verplicht wordt gesteld. Twee ziekenhuizen bleken geen DPO te hebben aangesteld.

Deze ziekenhuizen hebben vier weken de tijd gekregen om alsnog een DPO aan te wijzen. Een Data Protection Officer, ook wel functionaris voor de gegevensbescherming genoemd, is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). Overheidsinstanties en publieke organisaties zijn sinds de invoering van de AVG altijd verplicht om een Data Protection Officer aan te stellen, ongeacht het type gegevens dat ze verwerken.

Naast de aanwezigheid van een Data Protection Officer controleerde de Autoriteit Persoonsgegevens ook of ziekenhuizen en zorgverzekeraars de contactgegevens van hun DPO hebben gepubliceerd. Bij een kwart bleek dit niet het geval te zijn. Het ging om zeventien ziekenhuizen en twee zorgverzekeraars. Organisaties zijn verplicht om een direct telefoonnummer of e-mailadres te vermelden waarmee de DPO te bereiken is.

Van de organisaties die wel contactgegevens op hun website hadden vermeld vond de toezichthouder bij drie ziekenhuizen en één zorgverzekeraar geen direct e-mailadres of doorkiesnummer. De organisaties zijn door de Autoriteit Persoonsgegevens verzocht om dit te verbeteren. Eerder controleerde de Autoriteit Persoonsgegevens of 400 overheidsorganisaties wel over een DPO beschikten.

De verplichting om een DPO aan te stellen geldt ook voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Als laatste geldt de verplichting voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Organisaties hebben ook de keuze om vrijwillig een Data Protection Officer aan te stellen.

Reacties (14)
21-08-2018, 11:01 door Anoniem
vertaling: Iemand wordt aangewezen als DPA ongeacht of ze weten waar ze het over hebben.
21-08-2018, 12:33 door Anoniem
Door Anoniem: vertaling: Iemand wordt aangewezen als DPA ongeacht of ze weten waar ze het over hebben.
Door Anoniem: vertaling: Iemand wordt aangewezen als DPA ongeacht of ze weten waar ze het over hebben.

Sorry, hoor. Maar dit klinkt als geblaat ...

Artiklel 37, lid 5: "De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen.".
21-08-2018, 13:48 door Anoniem
Door Anoniem: vertaling: Iemand wordt aangewezen als DPA ongeacht of ze weten waar ze het over hebben.

Dat gebeurde al voordat de AP het controleerde.
Het voordeel is wel dat er binnen de medische wereld (en sommige anderen) een zeer actieve gemeenschap van FG's is. Ze helpen nieuwe FG's heel snel de punten op te pakken. Inclusief hoe het management te bewerken. ;-)

Peter
21-08-2018, 14:10 door Cornelius
Door Anoniem: vertaling: Iemand wordt aangewezen als DPA ongeacht of ze weten waar ze het over hebben.

Helaas is dat in veel gevallen wel praktijk ja...
21-08-2018, 15:19 door Anoniem
Door Anoniem:
Door Anoniem: vertaling: Iemand wordt aangewezen als DPA ongeacht of ze weten waar ze het over hebben.
Door Anoniem: vertaling: Iemand wordt aangewezen als DPA ongeacht of ze weten waar ze het over hebben.

Sorry, hoor. Maar dit klinkt als geblaat ...

Artiklel 37, lid 5: "De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen.".
In de praktijk wordt alleen gecheckt of er een DPA aanwezig is.

Niet wat de kwaliteiten van de DPA zijn.
21-08-2018, 16:16 door Pebkac
Iemand kan niet worden aangewezen als DPA :P dat staat voor de overeenkomst (Data Processing Agreement).
Wel als DPO/Functionaris Gegevensbescherming. Er zijn weinig eisen aan wat iemand in die rol moet kunnen behalve wat er gesteld is in artikel 37, Lid 5 zoals eerder vermeld.
Helaas is het vaak niet bekend bij organisatie wat een DPO allemaal moet kunnen, en wordt de eerste beste geschikte persoon aangewezen als DPO. Gelukkig, zoals boven gesteld, wordt in de zorg hard gewerkt om er voor te zorgen dat dit aspect onder controle komt. Dat gaat echter met horten en stoten, denk dat wij professionals moeten faciliteren in het verbeteren en versterken van de privacy positie van eenieder. Dat begint met kritisch zijn, en dat is men op dit platform wel, maar laten we vooral ook in oplossingen blijven denken. Hoe zouden we er bijvoorbeeld als security community voor kunnen zorgen dat FG's met ons in contact kunnen komen om advies te vragen?
21-08-2018, 16:41 door karma4
Door ErikPost: Hoe zouden we er bijvoorbeeld als security community voor kunnen zorgen dat FG's met ons in contact kunnen komen om advies te vragen?

Voorwaarden:
- vraagstellers advies vragen niet afdoen met afbranden van de personen
- geen stokpaardjes van de eigen technische voorkeur gaan berijden.
- Keuzes met alternatieven aangeven, er is geen absolute waarheid
het begint met risicoanalyse dan de mogelijke keuzes waar een voor en na bij zit.
21-08-2018, 23:02 door Anoniem
Door karma4:
Door ErikPost: Hoe zouden we er bijvoorbeeld als security community voor kunnen zorgen dat FG's met ons in contact kunnen komen om advies te vragen?

Voorwaarden:
- vraagstellers advies vragen niet afdoen met afbranden van de personen
- geen stokpaardjes van de eigen technische voorkeur gaan berijden.
- Keuzes met alternatieven aangeven, er is geen absolute waarheid
het begint met risicoanalyse dan de mogelijke keuzes waar een voor en na bij zit.

De FG heeft een grotere waarde aan de process kant. Welke data waarom waar word geprocessed en bescchikbaar gesteld. Of dit nu op een papier een tv scherm of website is. De technische kant van bescherming hoort bij de SO die de oprationele kant achter de broek aan zit en security audits regelt.
21-08-2018, 23:41 door Bitwiper
Door ErikPost: Hoe zouden we er bijvoorbeeld als security community voor kunnen zorgen dat FG's met ons in contact kunnen komen om advies te vragen?
Wat mij beteft kunnen FG's gewoon vragen stellen op dit forum. Inzicht krijgen in beveiliging in de gexondheidszorg door mee te denken over problemen, lijkt mij interessant en leerzaam!

Voorwaarden:
1) Je moet een dikke huid hebben vanwege de vele intriganten en fake news bots;
2) Je moet trollen en privacybarbaren kunnen negeren (pun intended);
3) Discussies op basis van staafbare feiten en/of argumenten worden zeer op prijs gesteld (in elk geval door mij);
4) Als je wetten (zoals AVG) anders uitlegt dan bedoeld, ben je niet de eerste (doch nr. 5) maar kun je ook de boom in;
(whatever happened to 1, 2 and 3?)
5) Kom ervoor uit als je van inzicht verandert, want dat is normaal in dit snel veranderende vakgebied (op nóg een zichzelf tegensprekende draaikont zit in elk geval ik niet te wachten);
6) S.v.p. geen stokpaardjes van de eigen technische voorkeur (bijv. uit Redmond) berijden of OSS belachelijk maken.

Vaardigheden 1 en 2 moet een FG sowieo hebben voor in directiekamers en/of pioriteitenoverleg met scepterzwaaiende chirurgen (anders zijn maagzweren, depressies en burnouts onvermijdelijk).
22-08-2018, 10:14 door Pebkac
Goede punten, maar de hamvraag is volgens mij, hoe zorg je dat je in contact komt met al die goedwillende FG's?
22-08-2018, 14:52 door PJW9779 - Bijgewerkt: 22-08-2018, 14:53
Door ErikPost: Er zijn weinig eisen aan wat iemand in die rol moet kunnen behalve wat er gesteld is in artikel 37, Lid 5 zoals eerder vermeld.

Volstrekte onzin! Zowel de WP29-group, de IAPP, als de AP en andere DPA's hebben al geruime tijd geleden richtlijnen gepubliceerd over de taak van de FG.
Als één ding duidelijk is dan is het wel dat de FG wel iets meer moet kunnen dan dat momenteel de norm is. Ik ken helaas teveel gevallen waarin het competentie-niveau op het bedroevende af is. Een cursusje van twee avonden door een paar cowboys bij het wijkcentrum om de hoek lijkt meer regel dan uitzondering.

Door ErikPost: Helaas is het vaak niet bekend bij organisatie wat een DPO allemaal moet kunnen, en wordt de eerste beste geschikte persoon aangewezen als DPO.

Tja, een volstrekt gebrek aan bewustzijn en competentie dus. Die zijn na de uitgebreide lunch tijdens het AVG-congres lekker ingedut en hebben niet meer opgelet. Om vervolgens te roepen dat het toch wel 'errug veel werk' is en 'errug ingewikkeld'.

Met de te late benoeming van een (deeltijd-)FG voelt men zich voorlopig weer even veilig en vervolgens wordt er een externe projectleider AVG aangetrokken die de uitvoering op zich moet nemen. In plaats van dat men het twee jaar geleden goed had opgepakt
Je ziet die vacatures dagelijks voorbij komen.
Niet dat de AP daar op let overigens.

Door ErikPost: Gelukkig, zoals boven gesteld, wordt in de zorg hard gewerkt om er voor te zorgen dat dit aspect onder controle komt.

Nou, onwaarschijnlijk. De zorgsector loopt al sinds vele jaren de kantjes eraf of zakt compleet door het ijs als het gaat om gegevensbeveiliging en privacy.
Als patient mag je al blij zijn om levend uit het ziekenhuis te komen, maar daarna liggen je gegevens gewoon op straat. Al is het maar in het kader van de 'collegiale uitwisseling van patientgegevens ten behoeve van onderzoek en verbetering van de zorg'.
Intussen heeft het halve ziekenhuis al gewoon kennis genomen van je patientgegevens.

Uit bovenstaande artikel blijkt opnieuw volstrekt duidelijk dat ziekenhuizen een grote bek opzetten maar in de praktijk niet in staat blijken ook maar bij benadering het kleuterschool-minimum-niveau te halen van hetgeen qua beveiliging en privacy vereist is.

Geeft toch niets? De boetes komen gewoon in mindering op het budget dat beschikbaar is voor patientenzorg.

"Helaas is uw kind overleden omdat wij om budgettaire redenen niet de vereiste zorg konden bieden.
De Raad van Bestuur heeft hiervan kennis genomen en is in overleg getreden met de minister.
De directeur heeft een salarisverhoging gekregen gelet op diens toegenomen werkdruk en verantwoordelijkheid tengevolge van de AVG
".
22-08-2018, 16:16 door karma4
Door Anoniem:
De FG heeft een grotere waarde aan de process kant. Welke data waarom waar word geprocessed en bescchikbaar gesteld. Of dit nu op een papier een tv scherm of website is. De technische kant van bescherming hoort bij de SO die de oprationele kant achter de broek aan zit en security audits regelt.

De DPO heeft wel degelijk met de techniek te maken. De service organisatie (SO) zit te vaak vast in de eigen ICT dogma's.
Je hebt de shadow-ICT ofwel op de werkplek gemaakte processen en verwerkingen omdat de SO die niet levert.
- Daarmee is het vrijwel onmogelijk een verwerkingsregister goed op orde te krijgen. De DPO zal er achter aan gaan om het in ieder gecontroleerd afgeschermd te doen (dat wordt technisch).
- Een ontwikkel - test - productie traject netjes invullen wordt in bepaalde gevallen ook belemmerd door een SO. Dan krijg je cloud en andere uitwegen door gebruikers. Ook hier zal de DPO met de techniek betrokken raken.
- Het wordt echt interessant wanneer de CSO functie van de SO belegd is buiten de SO ergens bij BU waardoor er wel wat op papier staat dat het lijnmanagement voor de security invulling verantwoordelijk is maar dat het ICT-ers zijn die met (niet kloppende) vinkenlijstjes komen hoe de techniek leidend is aan het functionele proces.
23-08-2018, 09:33 door Anoniem
Door Cornelius:
Door Anoniem: vertaling: Iemand wordt aangewezen als DPA ongeacht of ze weten waar ze het over hebben.

Helaas is dat in veel gevallen wel praktijk ja...

Ik kan dit vanuit de praktijk alleen maar bevestigen ...
24-08-2018, 07:29 door Anoniem
In spanje hebben ze hele "duidelijke" criteria voor een DPO.

https://www.aepd.es/reglamento/cumplimiento/common/scheme-aepd-dpd.pdf

Je moet je o.a. certificeren etc... En is een vereiste voor het dragen van de taakomschrijving.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.