Personalia

IT 1839

CBP: Meldplicht datalekken FAQ

Bijdrage ingezonden door Niels Westerlaken, Project Moore advocaten.
Voorafgaand aan de publicatie van de richtsnoeren meldplicht datalekken beantwoordt het Cbp vragen over deze meldplicht op haar website Cbpweb.nl. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. ... U kunt nu al maatregelen treffen om u voor te bereiden op de inwerkingtreding van de meldplicht datalekken per 1 januari 2016. Zorg er allereerst voor dat u de persoonsgegevens die u verwerkt goed beveiligt. Daarnaast kunt u bijvoorbeeld: goed incidentenbeheer inrichten; beslissen wie in de organisatie datalekken gaat beoordelen en melden bij het CBP; nadenken over hoe u de betrokkenen gaat informeren bij een datalek; nadenken over hoe u wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken; afspraken met uw bewerkers controleren. "

Info: niels.westerlaken@projectmoore.com

IT 1837

Wat is de status van het wetsvoorstel Cliëntenrechten bij elektronische gegevensverwerking?

Bijdrage ingezonden door Natascha van Duuren, De Clercq. Een update. Landelijk EPD: Na het verwerpen van het wetsvoorstel voor de Kaderwet landelijke EPD, is een aantal moties ingediend door zowel de Eerste als Tweede Kamer. Een belangrijke motie is ingediend door Kamerlid Tan, die de Kamer verzocht om: “te komen tot een nadere wettelijke regeling van normen en standaarden voor zowel digitale dossiervorming en ontsluiting, als de overdracht van gegevens, eisen met betrekking tot de veiligheid, toezicht, handhaving en sancties, inzage door de patiënt, het verstrekken van afschrift aan de patiënt en transport van gegevens op verzoek van de patiënt, teneinde veilig digitaal transport van gegevens (zowel pull als push) mogelijk te maken tussen zorgverleners binnen een regio”.

Wetsvoorstel: Deze motie heeft uiteindelijk geleid tot het wetsvoorstel cliëntenrechten bij elektronische gegevensverwerking dat op 1 juli 2004 door de Tweede Kamer is aangenomen. Dit wetsvoorstel bevat bepalingen voor het gebruik van elektronische uitwisselingssystemen ter bescherming van de persoonlijke levenssfeer van de burger door zorgaanbieders. Belangrijke voorwaarden voor het elektronisch beschikbaar stellen van patiëntgegevens zijn:
a.    De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem als de cliënt daartoe “gespecificeerde toestemming” heeft gegeven (artikel 15a, eerste en tweede lid Wabvpz).
b.    Het raadplegen van gegevens of het maken van een afschrift daarvan die via een elektronisch uitwisselingssysteem beschikbaar zijn gesteld, is alleen toegestaan binnen een behandelrelatie en met uitdrukkelijke toestemming van de cliënt (artikel 15b, eerste lid Wabvpz).
c.     De zorgaanbieder geeft de cliënt informatie over zijn rechten bij elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen en over de werking van het elektronische uitwisselingssysteem dat voor de gegevensuitwisseling wordt gebruikt (artikel 15c, eerste lid Wabvpz).
d.    Zorgaanbieders zijn verplicht op verzoek van de cliënt elektronische inzage of afschrift van het dossier te verstrekken (artikel 15d en 15e Wabvpz). Daarnaast zijn de functionele, technische en organisatorische eisen waaraan een elektronische uitwisselingssysteem aan moet voldoen, opgenomen in een afzonderlijk besluit dat gelijktijdig in werking zal treden met het wetsvoorstel. In dit besluit wordt onder meer dwingend verwezen naar de normen voor informatiebeveiliging in de zorg van het Nederlands Normalisatie-Instituut: de NEN 7510:2011 (NEN 7510) en de verdere uitwerking van deze algemene norm in NEN 7512 en NEN 7513. Momenteel is de NEN 7521 in ontwikkeling. Deze norm dient te leiden tot uniforme en veilige gegevensuitwisseling tussen betrokken zorgverleners en zorginstelling rond de behandeling van een patiënt. Na publicatie van de NEN 7521 zal worden bezien of ook naar deze norm dwingend zal worden verwezen.

Introductie van een nieuwe toestemmingsvorm: de “gespecificeerde toestemming”
: Uit verschillende hoeken wordt met een kritische blik naar het wetsvoorstel gekeken. Zo hebben de KNMG, GGZ Nederland, KNMP, NVZ, Actiz en VGN in een brief d.d. 13 februari 2015 aan de Eerste Kamer een reactie gegeven. In de brief wordt met name aandacht gevraagd voor de invoering van de “gespecificeerde toestemming” door de cliënt. De zorgaanbieder stelt op grond van het wetsvoorstel immers slechts gegevens van de cliënt beschikbaar via een elektronisch uitwisselingssysteem voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven (artikel 15a lid 1). Op grond van lid 2 betreft de in lid 1 bedoelde uitdrukkelijke toestemming een ‘gespecificeerde toestemming’ voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden zorgaanbieder of categorieën van zorgaanbieders. Opvallend (en verwarrend) is dat in het wetsvoorstel slechts een definitie van “zorgverlener” wordt gegeven. Een “zorgverlener” wordt in het wetsvoorstel gedefinieerd als natuurlijke persoon die in het BIG-register staat ingeschreven of die een art. 34 BIG-beroep uitoefent. Een definitie van “zorgaanbieder” ontbreekt in het wetsvoorstel, dit terwijl deze term in het wetsvoorstel een belangrijke rol inneemt. De term “zorgaanbieder” is wel gedefinieerd in de Kwaliteitswet zorginstellingen: “1) de natuurlijke persoon of de rechtspersoon, die een instelling in stand houdt; 2) de natuurlijke personen of rechtspersonen, die gezamenlijk een instelling vormen.” Een zorgaanbieder kan dus ook een natuurlijke persoon zijn. Dit zou volgens de veldpartijen tot de conclusie kunnen leiden dat art. 15a lid 2 cliënten het recht geeft om door middel van het verlenen van “gespecificeerde toestemming” individuele zorgverleners uit te sluiten van toegang tot hun gegevens. De veldpartijen vragen zich (terecht) af of de “gespecificeerde toestemming” wel voldoende is doordacht. Het is volgens hen de vraag of het voorstel in de praktijk wel uitvoerbaar is. Er wordt immers een situatie gecreëerd waarin binnen een zorginstelling sommige zorgverleners wél en andere geen toegang tot de patiëntgegevens mogen hebben. Bovendien vragen zij zich af of de patiëntveiligheid hierdoor wel voldoende wordt gewaarborgd.

De deskundigenbijeenkomst van 13 april 2015: Momenteel ligt het wetsvoorstel bij de Eerste Kamer. Vanwege de kritiek van de veldpartijen op het wetsvoorstel is er een deskundigenbijeenkomst georganiseerd. Tijdens deze bijeenkomst is de “gespecificeerde toestemming” wederom uitgebreid aan de orde gekomen. Zo werd opgemerkt dat dit betekent dat een nieuwe term wordt geïntroduceerd in de toestemmingsliteratuur. De vraag is echter wat “gespecificeerde toestemming” betekent. De WGBO en de Wbp gaan immers uit van ‘toestemming’, die per definitie ‘voldoende specifiek’ moet zijn en ook ‘in vrijheid gegeven en op voldoende informatie gebaseerd’ zijn. In de Memorie van Antwoord bij het wetsvoorstel geeft de Minister een nadere toelichting op de “gespecificeerde toestemming”: Zo geeft de Minister aan: “Het zal bijvoorbeeld niet voldoende zijn om aan te geven dat alle fysiotherapeuten in de regio zijn aangesloten als niet duidelijk is tot waar de regio zich uitstrekt. Om als cliënt gespecificeerde toestemming te kunnen geven, moet helder zijn welke zorgaanbieders horen bij een aan te duiden categorie. Alle medische specialisten in Utrecht als categorie is niet gespecificeerd genoeg, de medisch specialisten van ziekenhuis X of de internisten van ziekenhuis Y en Z wel.” Het zal dus van groot belang zijn de cliënt goed te informeren over de reikwijdte van zijn (gespecificeerde) toestemming. Aan welke exacte criteria deze informatieplicht moet voldoen is niet duidelijk. Dat roept volgens de deskundigen de vraag op of de cliënt voldoende inzicht heeft in de reikwijdte van zijn toestemming, met alle privacyrisico’s van dien. Gezien het aantal en de complexiteit van de gestelde vragen heeft de Minister in een brief aan de voorzitter van de Eerste Kamer laten weten dat het niet mogelijk is de vragen binnen de gestelde termijn te beantwoorden. Om die reden is de behandeling van dit wetsvoorstel voorlopig uitgesteld en zal de Eerste Kamer voor Volksgezondheid, Welzijn en Sport (VWS) wachten op een nadere memorie van antwoord. De Minister heeft gezegd ‘de zomer’ nodig te hebben om uit te zoeken hoe een “gespecificeerde toestemming” kan worden gegeven aan zorgverleners om in het medisch dossier te mogen kijken. Daarbij wil de Minister bovendien nagaan voor hoeveel extra administratieve belasting dit zal zorgen bij individuele zorgverleners.

 

IT 1814

Evert de Pender stapt als CEO in privacy compliance gespecialiseerde start-up PrivacyPerfect

Evert de Pender (53) geeft sinds 1 juli 2015 leiding aan PrivacyPerfect. Deze start-up lanceert als eerste ter wereld een gebruiksvriendelijke datamapping-tool waarmee organisaties het gebruik van persoonsgegevens bedrijfsbreed inzichtelijk maken en die ervoor zorgt dat zij compliant zijn met geldende regelgeving. Via een Management Buy-In heeft De Pender een belang in PrivacyPerfect verworven.

Associate Professor dr. Bart Schermer, privacy expert aan de Universiteit van Leiden en een van de initiatiefnemers van PrivacyPerfect: “We zijn heel blij met de komst van Evert omdat we ervan overtuigd zijn dat hij PrivacyPerfect tot een internationale marktleider kan maken. Hij heeft zeer specifieke ervaring met de uitrol van Software as a Service-oplossingen in een markt die sterk gedomineerd wordt door wet- en regelgeving. Evert lanceerde met Legal Intelligence de eerste geïntegreerde juridische zoekmachine ter wereld en maakte dit bedrijf marktleider in juridische contentintegratie. Deze expertise, in combinatie met zijn sterke netwerk, zijn cruciaal om PrivacyPerfect ook een internationale speler te maken.”

Grip op data
De nieuwe privacy-verordening van de Europese Commissie dwingt organisaties tot privacy compliance. Elke organisatie moet aan kunnen tonen welke persoonsgegevens worden verzameld, hoe ze worden gebruikt èn hoe ze zijn beveiligd. PrivacyPerfect is de enige partij met een datamapping-tool die grip geeft op de verwerking van persoonsgegevens. Met deze tool kunnen bedrijven en organisaties het maximale uit hun data halen zonder concessies te doen aan zorgvuldigheid rondom de privacy van personen en zonder schending van privacywetgeving.

Forse boetes
De strengere Europese regelgeving voor de beveiliging van persoonsgegevens (Data Protection Regulation) volgt recente Amerikaanse wetgeving. In Amerika zijn eerder dit jaar al boetes van tientallen miljoenen opgelegd aan bedrijven zoals AT&T en Google voor het schenden van privacy regels. De Data Protection Regulation vanuit Brussel gaat uit van boetes die kunnen oplopen tot wel tien procent van de jaaromzet van bedrijven, organisaties en instellingen die hier niet aan voldoen. Daarnaast is in Nederland de ‘meldplicht datalekken’ aangenomen door de Eerste Kamer. Het schenden hiervan kan nu al leiden tot forse boetes. De datamapping-tool van PrivacyPerfect geeft antwoord op deze ontwikkeling en zorgt voor een sterke vermindering van het risico op boetes voor privacyschending die in de meeste gevallen ook leiden tot ernstige imago-schade.

IT 1725

Personalia: Thomas van Essen partner SOLV Advocaten

Thomas van Essen (35) is per 1 april 2015 benoemd tot partner van SOLV Advocaten, hèt nichekantoor op het gebied van technologie, media & communicatie (TMC) te Amsterdam. Van Essen is gespecialiseerd in ICT-recht, privacy en e-commerce.

Voor Van Essen is de benoeming een kroon op zijn loopbaan bij SOLV. “In 2000 was ik, toen nog rechtenstudent, de eerste werknemer van het kantoor. Van legal assistent doorgroeien naar partner is uiteraard een jongensdroom.” Ook managing partner Wanda van Kerkvoorden toont zich zeer verheugd: “Van Essen heeft een mooie eigen praktijk, een vernieuwende visie op de advocatuur en niet te vergeten het SOLV DNA. Zijn benoeming geeft extra glans aan dit voor kantoor bijzondere jaar, waarin we ons 15-jarig bestaan vieren.”

IT 1674

Baker & McKenzie versterkt IP/IT-praktijk

Uit het persbericht: Advocaat Wouter Seinen heeft zich per 1 januari jl. als partner verbonden aan Baker & McKenzie. Seinen gaat per die datum de IP/IT & Commercial praktijk leiden van het Amsterdamse kantoor. Hiervoor was hij werkzaam bij CMS. Met de komst van Wouter Seinen, senior associate Silvia Schaik en junior associate Nathalja Doing versterkt Baker & McKenzie haar positie op het gebied van IP/IT & Commercial.

Seinen is gespecialiseerd in het adviseren van zowel nationale als internationale cliënten met betrekking tot eigendom en bescherming van elektronische gegevens. Hij heeft een bijzondere belangstelling voor internet-gerelateerde vraagstukken op het gebied van intellectuele eigendomsrechten. Bovendien heeft hij veel ervaring inzake IT- en outsourcing transacties, in het bijzonder met business process outsourcing. Ook is hij een zeer ervaren procesadvocaat en staat hij bekend als scherp onderhandelaar. .

IT 1666

Brinkhof benoemt twee nieuwe partners

Uit het persbericht: Brinkhof NV, het internationaal opererende advocatenkantoor gespecialiseerd in techniek & recht, heeft zich per 1 januari versterkt met twee nieuwe partners: Daan de Lange en Wieke van Angeren.

Daan de Lange (1977)
Daan begon als advocaat bij Stibbe in 2003 en is sinds 2007 bij Brinkhof werkzaam. Daan is een expert op het gebied van Europees octrooirecht en gidst tal van internationale bedrijven door dit zeer specialistische vakgebied, met name in de farmaceutische en biotechnologische industrie. Hij is een scherp en succesvol ‘litigator’.

Wieke van Angeren (1975)
Wieke is advocaat sinds 1998. Tot 2015 werkte zij als counsel bij Freshfields Bruckhaus Deringer in Amsterdam, waar zij de IT- en sourcingpraktijk heeft opgezet en geleid. Wieke is een all-rounder op het gebied van IT & sourcing: niet alleen adviseert en procedeert zij over strategische positionering, maar ook stelt zij de daarvoor benodigde commerciële contracten op en onderhandelt zij die scherp uit. Wieke is daarnaast expert op het gebied van licentie-, distributie- en franchiseovereenkomsten, en wordt vanwege haar ‘negotiation & drafting skills’ regelmatig gevraagd in het kader van M&A transacties.

IT 1624

Professor Jan Berkvens counsel bij BANNING

Persbericht: Sinds begin oktober 2014 is de Praktijkgroep Privacy van BANNING met professor Jan Berkvens als counsel een vooraanstaand privacy specialist rijker. Jan Berkvens was bijna 25 jaar hoogleraar Recht en Informatica aan de Radboud Universiteit Nijmegen en ruim 30 jaar werkzaam als bedrijfsjurist bij het directoraat juridische zaken van Rabobank Nederland.

Jan Berkvens is lid van de redactieraad van het tijdschrift Privacy en Informatie (P&I) en tevens lid van het bestuur van de Vereniging Privacy Recht (VPR). Daarnaast was hij als auteur/redacteur betrokken bij de totstandkoming van diverse handboeken en publiceert hij regelmatig over uiteenlopende onderwerpen op het gebied van IT en privacyrecht.

IT 1503

Personalia: Nieuwe partners versterken Louwers IP|Technology advocaten

Huub de Jong (1974) is deze maand toegetreden als partner van Louwers IP|Technology Advocaten, nichekantoor gespecialiseerd in IT, technologie, privacy en intellectuele eigendom. Hij stapt van Bird & Bird over naar Louwers, in 2006 opgericht door Ernst-Jan Louwers en Marianne Korpershoek. Ook Tom de Wit (1969) is partner geworden. Hij is al sinds 2011 verbonden aan Louwers.

Huub de Jong en Tom de Wit partners van Louwers IP|Technology Advocaten. Huub de Jong (1974) verklaart vandaag bij zijn toetreding als partner van Louwers IP|Technology Advocaten: "ING wil klantgegevens gebruiken voor nieuwe diensten en Facebook vraagt op hetzelfde moment een bankvergunning aan. Twee recente gebeurtenissen die illustreren dat de juridische werkelijkheid steeds complexer wordt en bijvoorbeeld zorgvuldige omgang met persoonsgegevens steeds belangrijker. Het is als advocaat heel inspirerend om cliënten bij te staan bij het ontwikkelen van nieuwe, grensverleggende diensten."

(...) Tom de Wit (1969) is tegelijkertijd benoemd tot partner. Hij werkt al sinds 2011 bij Louwers. "Rechtsgebieden als het intellectueel eigendomsrecht en het privacyrecht zijn door technologische ontwikkelingen volop in beweging. Wij zijn als geen ander in staat om cliënten juridisch te ondersteunen bij de toenemende digitalisering. Als partner kan ik een waardevolle bijdrage leveren aan de koers van ons kantoor."

Technologie en innovatie
De advocaten bij Louwers staan cliënten bij met juridische diensten in de steeds meer door innovatie en technologie gedomineerde wereld.

De Wit: "We blijven daarbij niet hangen in obstakels, maar geven preventief juridisch advies waardoor klanten zonder kleerscheuren verder komen. Cliënten staan soms pas op de stoep als de problemen er al zijn. Juist om die te voorkomen zoeken wij tijdig de dialoog over trends en ontwikkelingen op het gebied van bijvoorbeeld big data, 3D printing en de cloud."

Met het oog op meer strategische begeleiding van cliënten heeft Louwers recent de doorgewinterde technologieondernemer Dimmes Doornhein aan het kantoor verbonden.

De Jong: "Het is cruciaal technologie en het strategisch belang daarvan voor organisaties te begrijpen. Nieuwe diensten moeten snel worden geïntroduceerd op de markt en het juridische mag daarbij geen onnodig obstakel vormen. Dat vraagt om projectmatig werken en slimme oplossingen."

Met de komst van Doornhein en De Jong is Louwers nog beter in staat om cliënten slagvaardig, hoogwaardig en pragmatisch te bedienen.