zorg2025 big data for personal health

BIG DATA FOR

PERSONAL HEALTH

12 April 2016, Zorg2025Sofie van der Meulenwww.axonlawyers.com

#Zorg2025

Overzicht• Definitie Big Data• Big Data & Privacy in de zorg

Definitie Big Data =

4

Wat is privacy?

“I was Patient Zero,” said Lewinsky, now 41, to an auditorium full of 1,000-

plus high-achieving millennials at Forbes’ inaugural 30 Under 30 summit in

Philadelphia. “The first person to have their reputation completely

destroyed worldwide via the Internet.”

https://www.ted.com/talks/monica_lewinsky_the_price_of_shame?languag

e=en

‘(…)…Don't matter if I step on the scene

Or sneak away to the Philippines

They still gon' put pictures of my derriere in the magazine

You want a piece of me?

You want a piece of me’

(Britney Spears – Lyrics ‘Piece of me’)

Vraag het Monica Lewinsky…

Vraag het Britney Spears…

Vraag het Jennifer Lawrence…

http://www.forbes.com/under30/

https://www.ted.com/talks/monica_lewinsky_the_price_of_shame?language=en

Wat is privacy?• Lichamelijke privacy

Artikel 11 Grondwet: recht op onaantastbaarheid van het lichaam.

• Relationele privacy

Artikel 13 Grondwet: briefgeheim en telefoon- en telegraafgeheim.

• Ruimtelijke privacy

Artikel 12 Grondwet: het binnentreden van een woning.

• Informationele privacy

Artikel 8 Handvest van de Grondrechten van de Europese Unie:

‘1. Eenieder heeft recht op bescherming van zijn persoonsgegevens.

2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde

doeleinden en met toestemming van de betrokkene of op basis van een

andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft

recht van inzage in de over hem verzamelde gegevens en op rectificatie

daarvan.’ 6

Artikel 10 Grondwet

1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.

2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.

3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

7

Privacy

• Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

In Nederland geïmplementeerd in:

• De Wet bescherming persoonsgegevens (WBP)

De WBP legt verplichtingen op aan verwerkers van persoonsgegevens en geeft rechten aan betrokkenen. Daarnaast is toezicht op de verwerking van persoonsgegevens geregeld.

• Op Europees niveau wordt nu gewerkt aan een Privacyverordening (GDPR).

9

You want a piece of me?

• Privacy policy

Vertel mensen WAAROM (doel) je persoonsgegevens wil verwerken, leg

uit HOE je met de gegevens omgaat en WAT je ermee gaat doen.

• Privacy by design

Maak privacy en beveiliging van persoonsgegevens onderdeel van de

ontwikkeling van de dienst of product.

Wet bescherming persoonsgegevensCentrale begrippen

11

Persoonsgegeven:‘Elk gegeven betreffende een geïdentificeerde of identificeerbarenatuurlijke persoon’ (artikel 1, sub a Wbp)

1. Hoe worden gegevens gebruikt?2. Aard gegevens (kenmerkend?) en mogelijkheden tot

identificatie? Pseudonimiseren? Anonimiseren?

Verwerking van persoonsgegevens:‘Elke handeling of elk geheel van van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’ (artikel 1, sub b Wbp)

Big Data & Data Protection - issues

Niet meer data verzamelen dan nodig vs. zoveel verzamelen als mogelijk

• Datasets combineren en op zoek gaan naar patronen en correlaties/

Anonimiseren?

• Volledig anonimiseren is waarschijnlijk onmogelijk-> focus op verkleining risico identificatie Pseudonimiseren = beveiligingsmaatregel. Onder GDPR: persoonsgegevens


13

Verantwoordelijke:‘de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevensvaststelt’ (artikel 1, sub d Wbp)

Bewerker:‘degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen’ (artikel 1, sub e Wbp)

Betrokkene:‘degene op wie een persoonsgegeven betrekking heeft’ (artikel 1, sub f Wbp)

Rechten van de betrokkene

• Recht op inzage (artikel 35 Wbp en WGBO)

• Recht op verbetering, aanvulling, verwijdering en afscherming (artikel 36 Wbp).

• Recht van verzet (artikel 40 en 41 Wbp). Als verzet wordt aangetekend tegen direct-marketingdoeleinden moet het gebruik door de organisatie direct beëindigd worden.

14


Toestemming van de betrokkene: ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt’

1. In vrijheid verstrekt?2. Betrekking op specifieke gegevensverwerking

(bepaalbaarheidsvereiste)?3. Beschikt betrokkene over noodzakelijke informatie om tot

oordeel te komen?

Ondubbelzinnige toestemming (artikel 8, sub a Wbp)Bewijslast voor verantwoordelijke:1. Bewijzen dat toestemming is verleend;2. Waarvoor toestemming is verleend.! Leg verstrekte informatie, doel verwerking en toestemming schriftelijk vast!

15

Big Data & Data Protection - issues

Informed consent (toestemming) vs. doelbinding

• Consent: “…any freely given specific and informedindication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed”. Special data? Explicit consent (see article 29 WP Opinion 15/2011).

Is het nieuwe doel verenigbaar met originele doel(en)? Nee? -> aanvullende toestemming vereist, tenzij andere grondslag (behandeling).

Persoonsgegevens betreffende iemands gezondheidPersoonsgegevens betreffende iemands gezondheid zijn bijzondere persoonsgegevens.

Verwerking van bijzondere persoonsgegevens is verboden in artikel 16 Wbp, tenzij sprake is van een uitzondering in artikel 21 Wbp.

Het verbod is niet van toepassing als de verwerking geschiedt door:

• Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is (artikel 21, eerste lid, sub a Wbp) en

• de verwerker onderworpen is aan een beroepsgeheim (Wet op de Beroepen in de Individuele Gezondheidszorg, Wet BIG)

• Ondubbelzinnige toestemming is gegeven door de betrokkene. 17

Reikwijdte ‘gezondheidsgegevens’?European Court of Justice in Case C-101/01 (Lindqvist):

‘In the light of the purpose of the directive, the expression “data

concerning health” used in Article 8(1) thereof must be given a wide

interpretation so as to include information concerning all aspects,

both physical and mental, of the health of an individual.’

Brief WP29 van 5 februari 2015 data verzameld door mHealth apps: ‘Health data includes:

• Medical data: ‘data about the physical or mental health status of a data subject (…) generated in a professional, medical context

• Health related data used in an administrative context (information to public entities)

• Data about the purchase of medical products and services provided that the health status can be determined’

Persoonsgegevens delen met derden• Buiten EU: passend beschermingsniveau vereist (artikel 76

Wbp)• Uitzonderingen: artikel 77 Wbp (o.a. ondubbelzinnige

toestemming en via een vergunning van de minister van justitie)

Safe Harbor- Zelfcertificering door bedrijven.- Heeft alleen betrekking op de overdracht van de EU naar een

andere jurisdictie, niet op verdere compliance door de verantwoordelijke of bewerker.

- Sinds oktober 2015 ongeldig verklaard! -> Privacy ShieldMeer lezen:

https://www.medzineapp.com/nl/artikel/blogbijdrage-privacyschild-nieuwe-basis-

gegevensoverdracht-eu-vs-door-sofie

https://www.medzineapp.com/nl/artikel/privacy-shield-een-varken-met-lippenstift

19

https://www.medzineapp.com/nl/artikel/blogbijdrage-privacyschild-nieuwe-basis-gegevensoverdracht-eu-vs-door-sofie

https://www.medzineapp.com/nl/artikel/privacy-shield-een-varken-met-lippenstift

Big data in de gezondheidszorg

20

Smart apps • Opinie van de Groep Gegevensbescherming artikel 29 – WP 202• Naast Wbp is ook e-Privacyrichtlijn (2002/58/EG) van toepassing

(artikel 5, derde lid, toestemming nodig voor plaatsen en lezen van alle informatie op apparaat)

Gegevensverwerking door apps• Ondubbelzinnige toestemming voor verwerking ontbreekt vaak• Gebrek aan transparantie over de verwerking van

persoonsgegevens• Slechte beveiligingsmaatregelen (lekken, ongeautoriseerde

verwerking)• Maximale gegevensverzameling• Fragmentatie verantwoordelijkheden door groot aantal spelers:

App-ontwikkelaars – privacy by designApp-eigenaarsApp-winkelsFabrikanten van besturingssystemenDerden die betrokken zijn bij verzameling gegevens 21

Smart apps

Welke persoonsgegevens?• Locatie• Contacten• Identificatiegegevens van het apparaat (IMEI, mobiele nummer)• Identiteit betrokkene• Naam telefoon ‘iPhone van Sofie van der Meulen’• Creditcard- en betalingsgegevens• Registeren van gesprekken, sms-berichten of instant messaging• Browsergeschiedenis• E-mail• Inloggegevens voor diensten op internet• Foto’s en video’s• Biometrische informatie (bijv. gezichtsherkenning,

vingerafdrukken)

22

Smart apps – compliance in de praktijk• Toestemming voorafgaand aan installatie en verwerking.

Vrije wilsuiting

Knoppen ‘accepteren’ en ‘weigeren’

NIET: ‘ik ga akkoord’

Specifiek

Mogelijkheid om apart akkoord te gaan met specifieke verwerking per

functie van de app.

NIET: algemene machtiging door knop ‘installeren’ of verzoek akkoord te

gaan met lange lijst voorwaarden

Geïnformeerd

Wie verzamelt, welke gegevens, voor welke doeleinden, voor wie en welke

rechten voor betrokkene

Doelbinding

Geen tussentijdse wijziging van verwerkingsdoelen zonder

ondubbelzinnige toestemming

23

Rapporten CBP (nu AP)

‘Beveiliging persoonsgegevens onvoldoende’

1. Rapport Okki-app in september 2014 2. Rapport beveiliging netwerk Groene Hart Ziekenhuis3. Rapport Nike+ Running app

www.autoriteitpersoonsgegevens.nl

Privacyverordening (GDPR): striktere regels met een groteimpact op onderzoek!!

http://www.autoriteitpersoonsgegevens.nl

Sofie van der Meulen

Axon Advocaten

Piet Heinkade 183

1019 HC Amsterdam

+31 88 650 6500

+31 6 53 44 05 67

[email protected]

26

THANK YOU FOR YOUR ATTENTION!