Studiedag: Betekenis AVG voor de GGD (en)

/in /door

7 december 2017, Den Haag – inschrijving inmiddels gesloten
Het zal u vast niet zijn ontgaan. De Algemene Verordening Gegevensbescherming  (AVG) komt er aan. Bij alle vooral nogal commerciële aanbiedingen van studiedagen daarover wordt meestal vergeten dat voor de gezondheidszorg veel hetzelfde blijft. Maar een aantal zaken verandert wel degelijk. Voorts is de invoering van de AVG een ‘wake up call’ om processen kritisch te bezien die onder de huidige wetgeving (Wbp, WGBO etc,) al precair waren. Ook de uitvoeringswet AVG zal daarbij een rol spelen. Die is op 7 december vast (eindelijk) gepubliceerd.
Daarom een intensieve studiedag waar wij ingaan op de betekenis van AVG voor drie kerntaken: de JGZ, de infectieziektenbestrijding en (wetenschappelijk)  onderzoek.

Doelgroep: medewerkers die bij de borging van de processen zijn betrokken (hoger / middenkader) tot hen die deze in de praktijk brengen.
Programma:
09.30-10.00    Ontvangst
10.00-11.00    Inleiding AVG
11.00-12.00    Doorloop aan de hand van een gegevensbeschermingeffectbeoordeling (voorheen PIA)
12.00-12.30    Discussie
12.30-13.15    Lunch
13.15-14.00    Betekenis voor de JGZ
14.00-14.45    Betekenis voor de infectieziektenbestrijding
14.45-15.00    Theepauze
15.00-15.45    Betekenis voor het (wetenschappelijk) onderzoek
15.45-16.30    Casusistiek
16.30-17.00    Slotdiscussie, wat heb je geleerd

En wie daarna nog energie heeft, zien wij graag voor een afsluitend drankje op ons kantoor, op 5 minuten lopen van de bijeenkomst.
Maximaal 35 deelnemers, dus de kans op een goede interactie met de sprekers en collegae.

Plaats: De Vergadergalerie, Westeinde 29, 2512 GS

Kosten: E 230,-, incl. lunch en documentatie. (ook incl. BTW)

Sprekers: Mr. Evert-Ben van Veen, Mr Marjolein Timmers, Mr Marijn Rooke (MedLawconsult) en Mr. Hans Bos (Gemeente Rotterdam).

Aanmeldingsformulier. Helaas u kunt niet meer inschrijven

Datalek van de maand

/in /door

Wij hadden de Nieuwsbrief bijna af toen het nieuws over de ‘Wannacry ransomware’ verscheen. Zoals bekend leidde Wannacry er toe dat over de hele wereld talloze systemen op slot gingen. Ook ziekenhuizen van de National Health Service (NHS) in Engeland werden zwaar getroffen. Operaties moesten worden uitgesteld.

Is zulke ransomware nu een datalek? De Autoriteit Persoonsgegevens (AP) meldde recent niets over Wannacry op diens site. Straks meer over de AP en datalekken. Het nationale centrum voor cybersecurity uiteraard wel al zijn de disclaimers (bij doorklikken) haast even lang als de aanwijzingen. Over hoe (zonder disclaimer) gijzeling door ransomware in huis, tuin en keuken software kan worden voorkomen, zie een bericht op de NOS site. Sorry, ja met cookies.

Bij goede software gaat het vanuit een beveiligingsperspectief om drie uitgangspunten: integriteit van de gegevens, beschikbaar en vertrouwelijkheid. Het laatste uitgangspunt was bij deze ransomware niet aan de orde. Het tweede element des te meer. De richtsnoeren van de AP over melden datalekken staan voornamelijk in het teken van het laatste uitgangspunt. Toch vermeldt artikel 13 onder bescherming  van persoonsgegevens (waar een datalek een inbreuk op is) ook bescherming tegen verlies. Mij dunkt, als je er niet bij kunt (anders dan een ongewisse bitcoin betaling) is dat ook verlies. Artikel 32 van de AVG is uitvoeriger over de bescherming van persoonsgegevens. Aan de drie uitgangspunten wordt zelfs een vierde toegevoegd, namelijk ‘weerbaarheid’.  Maar de daarop volgende meldplicht in artikel 33 AVG staat weer voornamelijk in het teken van een inbreuk op de vertrouwelijkheid in plaats van minder ideologisch en meer techniekneutraal, hoe wij in een verknoopte digitale wereld software moeten kunnen vertrouwen waarvan wij afhankelijk zijn en waartoe onze persoonsgegevens veelal wel moeten worden verwerkt.

Tijdig updaten is trouwens het devies om besmetting door ransomware te voorkomen. Bij de NHS werkte dat alleen al daarom niet omdat pc’s daar nog vaak op Windows XP draaien waar al tijden geen updates meer voor beschikbaar komen.

Dat updaten overigens soms juist een averechts effect kan hebben, bleek in een eerdere UK casus.

Bij een nachtelijke update van het besturingssysteem door de echtgenoot  van een barrister (zeg maar advocaat) kwam vertrouwelijke informatie van 250 mensen online beschikbaar. In Engeland bestaat de boetebevoegdheid van de Engelse variant van de AP, de Information Commissioner’s Office (ICO), al veel langer en minder geclausuleerd dan hier. Wie geabonneerd is op de gratis update van PDP, ziet regelmatig forse boetes na datalekken langskomen en zo zagen we ook deze casus.  In dit geval kwam deze barrister er met een boete van £1.000 na een datalek overigens nog mild van af. Vraag mij niet hoe na de update die vertrouwelijke informatie online beschikbaar kwam. Gekker is eigenlijk dat een professional diens cliëntgegevens op een huis, tuin en keuken systeem verwerkt in plaats van daartoe bijvoorbeeld een SaaS dienst in te schakelen die de nodige waarborgen biedt.

 

SaaS is uiteraard geen oplossing voor ziekenhuis systemen. Dat moet je dataveiligheid anders borgen en voor de Nederlandse gezondheidszorg is dat NEN Norm 7510, al geldt die formeel niet voor beroepsbeoefenaren die geen zorg verlenen in de zin van de (thans) Wet gebruik BSN in de zorg. En voor wie wel, lijkt het ook nogal vaak mis te gaan getuige de meldingen aan de AP, met voorshands nog geen boete (tenzij men het wel heel bont heeft gemaakt).  Maar mogelijk is daar sprake van een zekere over-rapportage, namelijk ook melding van incidenten die geen datalek zijn. Bij de niet NEN Norm 7510 beroepsbeoefenaren en bij vele andere branches is zeer waarschijnlijk sprake van een forse onderrapportage. Opvallend is de ‘framing’ in het bericht in Zorgvisie. Waar sprake is van ongeautoriseerde toegang (bijvoorbeeld account was niet tijdig afgesloten na uit dienst) of het verzenden van patiëntgegevens aan de verkeerde hulpverlener is niet snel sprake van “buitmaken” van patiëntgegevens zoals Zorgvisie het noemt en van “stelen” al helemaal niet. Gebrek aan nuancering zoals deze kan twee kanten opwerken. Het kan professionals voorzichtiger maken.  Dat is op zich toe te juichen. Het kan er ook toe leiden dat de patiënt het niet meer vertrouwt terwijl de moderne zorg niet meer zonder gegevensuitwisseling kan. En dat zou te betreuren zijn.

Ik ben benieuwd hoe Zorgvisie komende week zal berichten over de Wannacry aanval.  Nederlandse zorginstellingen lijken niet te zijn aangedaan. Dat is toch een pluim of hoed voor de Nederlandse zorg en in het bijzonder de Information Security Officers die trouwhartig ook al die meldingen aan de AP hebben gedaan.