Privacy & Informatie, augustus 2016

Redactioneel

The notion of accountability

Privacy van kinderen in de leeftijdscategorie 12 tot en met 15 jaar in de zorg

Ervaringen met privacybeheer voor DNS-'big data'- toepassingen

Dataprotectie in ketens

Sport-apps lekken gezondheidsgegevens

 

P&I 2016-4, augustus 2016

Redactioneel
The notion of accountability
Anne-Wil Duthler
De Nederlandse Juristen-Vereniging heeft in het afgelopen voorjaar een zeer lezenswaardig preadvies uitgebracht, waarin de homo digitalis centraal staat. De homo digitalis die in een door data gedreven samenleving zijn fundamentele rechten en vrijheden moet kunnen blijven uitoefenen. De homo digitalis die van het recht verwacht dat het accordeert met technologische ontwikkelingen en bijbehorende maatschappelijke vraagstukken. De homo digitalis die van het recht een ordenende en beschermende rol verwacht. Het is al vaker gezegd, persoonsgegevens zijn het nieuwe goud, het ordentelijk omgaan met persoonsgegevens het nieuwe groen. Daar kun je mee scoren als organisatie. De Algemene verordening gegevensbescherming (Avg) vraagt echter om meer dan ‘scoren’. De Avg vraagt om nieuw denken én handelen. De Avg introduceert een nieuwe bestuurdersmoraal en dwingt deze met haar hoge sancties af.

Privacy van kinderen in de leeftijdscategorie 12 tot en met 15 jaar in de zorg
I. van Es MSc LLM
De rechten van minderjarigen zijn de afgelopen decennia op internationaal niveau uitgewerkt, onder andere in het Verdrag inzake de rechten van het kind dat door de Verenigde Naties werd aanvaard. Minderjarigen mogen alleen rechtshandelingen verrichten met toestemming van hun wettelijk vertegenwoordiger(s). Toestemming wordt echter verondersteld te zijn verleend als het om rechtshandelingen gaat waarvan in het maatschappelijk verkeer gebruikelijk is dat minderjarigen van deze leeftijd deze zelfstandig verrichten. Dit principe is voor medische behandelingen nader uitgewerkt in de Wet op de Geneeskundige Behandelingsovereenkomst. Wie door de arts geïnformeerd moet worden en aan wie om toestemming gevraagd moet worden voor een medische behandeling, hangt af van de leeftijd van de minderjarige patiënt.
Bij een onderzoek of behandeling van kinderen van 12 tot en met 15 jaar, geldt als hoofdregel dubbele toestemming. Dat wil zeggen dat toestemming van de ouders/voogd én het kind is vereist. De hoofdregel van dubbele toestemming brengt met zich mee dat ouders/voogd in principe moeten worden geïnformeerd. De Wet op de Geneeskundige Behandelingsovereenkomst bepaalt echter dat de hulpverlener dit achterwege mag laten als dat in strijd zou zijn met goed hulpverlenerschap. Dit is bijvoorbeeld het geval als het informeren van de ouders/voogd in strijd is met het belang van het kind. Het informeren van ouders/voogd mag eveneens achterwege blijven als het kind dat weloverwogen wenst.
Met deze uitzonderingssituaties wordt het kind in zijn/haar privacy beschermd doordat de arts in deze gevallen geen informatieplicht heeft jegens de ouders/ voogd. Echter is de Wet op de Geneeskundige Behandelingsovereenkomst niet van toepassing op zorgverzekeraars en kennen zij derhalve geen onderscheid voor de leeftijdscategorie 12 tot en met 15 jaar. Het directe gevolg hiervan is dat ouders inzicht (kunnen) hebben in de zorg/declaratiegegevens van het kind en de privacy dus (mogelijk) wordt geschaad. De vraag is hoe zorgverzekeraars omgaan met een dergelijke situatie. Gaan zij uit van de bepalingen in de Wet op de Geneeskundige Behandelingsovereenkomst of zijn zij gebonden aan andere wetgeving en richtlijnen? Hebben zij mogelijkheden of verplichtingen om persoonsgegevens van kinderen in een dergelijke kwetsbare situatie te beschermen?
Om dit te onderzoeken zijn verschillende zorgverzekeraars benaderd.  Daarnaast is ook Zorgverzekeraars Nederland om een reactie gevraagd. Zij zijn telefonisch en/of schriftelijk benaderd met de vraag hoe zij met dergelijke uitzonderingsgevallen omgaan.
In de volgende hoofdstukken worden achtereenvolgens de Wet op de Geneeskundige Behandelingsovereenkomst, de Zorgverzekeringswet, de Wet bescherming persoonsgegevens, de Algemene Verordening Gegevensbescherming en de gedragscodes van Zorgverzekeraars Nederland besproken. Vervolgens wordt er gekeken hoe deze wetten en gedragscodes hun uitwerking in de praktijk vinden. Tot slot wordt er geëindigd met een conclusie.

 

Ervaringen met privacybeheer voor DNS-‘big data’-toepassingen
Drs. J.R.P. Jansen, dr. ir. C.E.W. Hesselman
We bespreken de invoering van en de uitbreidingen op het privacyraamwerk waarmee we op een privacybewuste manier netwerkverkeer kunnen analyseren. Zo kunnen we daarin vroegtijdig bedreigingen zoals phishingsites en botnets ontdekken. De uitbreidingen zijn gebaseerd op onze ervaring met het raamwerk in de afgelopen anderhalf jaar. In deze periode hebben we het ingevoerd en actief gebruikt voor de opslag en analyse van de berichten die we verwerken als beheerder van het .nl-deel van het Domain Name System (DNS), het systeem in de internetinfrastructuur dat domeinnamen vertaalt naar IP-adressen. We bespreken ook onze belangrijkste ‘lessons learned’ om andere organisaties te helpen die een vergelijkbaar privacyraamwerk in willen voeren.

 

Dataprotectie in ketens
Zijn de huidige privacyconcepten wel geschikt voor toepassing in ketens?
Mw. mr. M.J. Bonthuis
De vraag die in dit artikel centraal staat is of de huidige privacyconcepten geschikt zijn voor het ketenniveau. Nu effectieve overkoepelende sturing in een keten ontbreekt, gegevens door de verschuiving van ‘halen’ naar ‘brengen’ meer uit het zicht van de verantwoordelijke raken en toestemming niet de juiste waarborgen op het grootschalige niveau biedt, is een herijking van het huidige wettelijke kader nodig. Het is dan ook gebleken dat privacyconcepten kleinschalig zijn en niet zonder meer geschikt zijn voor de toepassing op het ketenniveau. Er kunnen vanuit het leerstuk Keteninformatisering echter wel aanbevelingen worden gedaan hoe de privacyconcepten geschikt te maken voor het (grootschalige) ketenniveau. De richting waarin de oplossing kan worden gezocht wordt in dit artikel weergegeven.
 

Column
Sport-apps lekken gezondheidsgegevens
M. van der Kuil MSc RI