Privacy

IT 58

Studie naar identiteitsdiefstal in ICT

Vanuit België, met oog op ook de Europese regeleving. Privacy heeft er sinds enkele jaren een te duchten vijand bij: identiteitsdiefstal in de ICT. Matthias Dobbelaere, partner bij [red: deJuristen], onderzocht recentelijk de wenselijkheid van Europese en/of Belgische regelgeving rond identity theft in de ICT.

Anno 2010 is privacybescherming een grondrecht. Een grondrecht dat eenieder alsmaar hoger waardeert, dankzij onze hoogtechnologische en hyperindividualistische maatschappij die bereikbaarheid, beschikbaarheid en performantie als essentieel beschouwt. Het onvermijdelijke gevolg daarvan is de steeds krachtigere roep naar privacy, naar ongestoorde rust.

Privacy heeft er sinds enkele jaren echter een te duchten vijand bij. Alsof de hoogtechnologische maatschappij nog niet genoeg druk legde op de gemiddelde privacy van de burger, dient nu ook rekening te worden gehouden met identity theft of identiteitsdiefstal. Er bestaat immers geen grotere privacyinbreuk dan een inbreuk op de identiteitsdata an sich. Met ongekende technologische mogelijkheden, een steeds grotere verruiming van de informatiemaatschappij en een aanmerkelijk grotere honger naar informatie, zowel vanuit overheidskanalen als uit de private sector, is het een kwestie van tijd vooraleer de identiteitsbom ontploft.

Identity theft is heden ten dage een bijzonder actueel punt, en staat hoog genoteerd op menig politieke agenda. Essentiële vraag is dan ook of we reeds in staat zijn de implicaties van ons online (en offline) gedrag in te schatten, en hoe we identiteitsdiefstal, in al haar fasen het meest efficiënt kunnen bestrijden.

De volledige publicatie kan u hier downloaden.

IT 48

Raad van State hanteert ruime definitie verantwoordelijke Wbp

Raad van State 8 september 2010, 200909350/1/H3 (LJN: BN6172). Stichting Universiteitsblad beheert een database met daarin persoonsgegevens. Toch oordeelt de Raad van State dat niet de stichting maar het college van bestuur van de Rijksuniversiteit Groningen verantwoordelijk is in de zin van de Wbp. Reden: het college is eigenaar van de domeinnaam van de website, hosting provider en gerechtigd om het bestuur van de stichting, de redactieraad, de hoofdredacteur/directeur en de redactiesecretaris te benoemen en te ontslaan. Met dank aan Polo van der Putt, Vondst Advocaten.

De Stichting Universiteitsblad beheert het online-archief van de Universiteitskrant Groningen, met daarin oude krantenberichten uit de universiteitskrant. X, wiens naam in een van de artikelen voorkomt, verzoekt het college van bestuur van de Rijksuniversiteit Groningen om zijn persoonsgegevens uit het online archief te verwijderen. Het college neemt het standpunt in dat de Stichting Universiteitsblad ten deze de verantwoordelijke is in de zin van de Wbp. De Raad van State gaat daar niet in mee:

"2.5.1 [...] Naar het oordeel van de Afdeling moet in dit geval het college als de verantwoordelijke worden aangemerkt. Daartoe overweegt zij als volgt.

De domeinnaam waarop de verwerking van de persoonsgegevens van [appellant] heeft plaatsgevonden is eigendom van de Rijksuniversiteit Groningen. Daarnaast heeft het college in zijn verweerschrift van 10 februari 2009 erkend dat de universiteit hosting provider is, en dat van het college verwacht mag worden aan de Stichting Universiteitsblad opdracht te geven om gegevens te verwijderen als deze evident onrechtmatig zijn. Bovendien worden ingevolge de statuten van de Stichting Universiteitsblad het bestuur van deze stichting, de redactieraad, de hoofdredacteur/directeur en de redactiesecretaris benoemd door het college en kan een bestuurslid te allen tijde worden ontslagen door het college. De Afdeling is op grond hiervan van oordeel dat het college het doel en de middelen kan bepalen voor de verwerking van persoonsgegevens en als verantwoordelijke in de zin van artikel 1, aanhef en onder d, van de Wbp dient te worden aangemerkt. Het college heeft zich derhalve ten onrechte op het standpunt gesteld dat het niet aan het verzoek van [appellant] kan voldoen omdat het niet de verantwoordelijke is voor de verwerking van zijn persoonsgegevens."

De Raad van State ziet geen reden om prejudiciële vragen te stellen over de uitleg van het begrip verantwoordelijke.

Betekent deze uitspraak nou ook dat bijvoorbeeld aandeelhouders van een besloten vennootschap die het bestuur kunnen aanstellen en ontslaan, verantwoordelijke zijn van de door de vennootschap verwerkte persoonsgegevens? Dat zou de privacy-wereld op zijn kop zetten!

Lees de uitspraak hier.

IT 34

Plaatsen camera's toegestaan

Voorzieningenrechter Rechtbank Alkmaar , 22 juli 2010, 120712 / KG ZA 10-211 (LJN: BN2138). Treurige burenruzie. Bewoner plaatst camera's om zijn eigen erf in de gaten te houden. Volgens de bewoner zijn er bij de installatie zogenaamde obscure areas instellingen aangemaakt om de privacy van de aangrenzende percelen te waarborgen. De voorzieningerechter oordeelt dat niet aannemelijk is dat de privacy van de buren wordt geschonden. Met dank aan Fehmi Kemal Kutluer, Vondst Advocaten.

De Voorzieningenrechter overweegt dat een privacyinbreuk niet vaststaat. Enkele van de overwegingen:

"4.3 Vooropgesteld wordt dat het op de weg van [eisers] ligt om aannemelijk te maken dat [gedaagden] met de camera's daadwerkelijk inbreuk maakt op zijn privacy. [eisers] stelt in dit kader onder meer dat de camera's voorzien zijn van een zogenaamde fish eye lens met een panoramisch beeldbereik van nagenoeg 180° en dat de camera's de mogelijkheid hebben om in te zoomen.
Hiertegenover betoogt [gedaagden] dat enkel de beelden van zijn eigen erf worden weergegeven. Bij de installatie zijn er zogenaamde obscure areas instellingen aangemaakt om de privacy van de aangrenzende percelen te waarborgen. Ter onderbouwing van zijn betoog heeft [gedaagden] screenprints van beide camera's overgelegd. Ter zitting heeft [gedaagde sub 1] de beelden die te zien zijn op de betreffende screenprints toegelicht. Hij heeft verklaard dat de beelden die met blokken zijn afgeschermd, het perceel van [eisers] betreffen en dat de andere beelden zijn eigen perceel betreffen. Dat de beelden met blokken zijn afgeschermd wordt bevestigd door de heer [naam 1] die de opstelling op 10 juli 2010 heeft onderzocht.
Uit het voorgaande vloeit naar het oordeel van de voorzieningenrechter voort dat, hoewel het bereik van de camera's meebrengt dat ook beelden van het erf van [eisers] kunnen worden opgenomen, niet aannemelijk is geworden dat in de uiteindelijke registratie het perceel van [eisers] en de personen die zich op dat perceel bevinden herkenbaar in beeld komen. Verder is van belang dat niet gebleken is dat het bereik van de camera's zover strekt dat er ook opnames kunnen worden gemaakt tot in de woning van [eisers]. [eisers] heeft nagelaten zijn standpunt op dit onderdeel nader te onderbouwen."

"4.5 [eisers] heeft aangevoerd dat de instellingen van de camera's op eenvoudige wijze zijn aan te passen, daar waar het gaat om de obscured areas, de video motion detectie en de ledlampjes. [gedaagden] betoogt echter dat hij niet het beheer voert over de camera's en dat er geen enkele reden is om aan te nemen dat de instellingen zouden worden veranderd. Ter onderbouwing van zijn standpunt heeft [gedaagden] een verklaring van 12 juli 2010 van [naam 2] overgelegd. Hierin verklaart hij dat enkel de technische medewerkers van Vitasys toegang hebben tot de hard- en software instellingen van de camera's en dat de codes niet aan [gedaagden] zijn overhandigd. Tevens verklaart [naam 2] dat voor [gedaagden] een aparte inlogaccount is aangemaakt met beperkte mogelijkheden voor het terugkijken van de beelden.
Naar het oordeel van de voorzieningenrechter is, gelet op deze verklaring van [naam 2], voldoende aannemelijk geworden dat de instellingen van de camera's niet althans niet op eenvoudige wijze door [gedaagden] kunnen worden aangepast. Daarbij komt dat onvoldoende vaststaat dat de instellingen door [gedaagden], zo hij dat al zou kunnen, daadwerkelijk zullen worden aangepast."

Lees de uitspraak hier.

IT 65

NEN-norm 7510 voor informatiebeveiliging in de zorg wordt vernieuwd

Het NNI bericht dat de NEN-norm 7510 zal worden herzien. Via een speciale website kunnen belangstellende het ontwerpdocument inzien en van commentaar voorzien.

Met dank aan Mark Jansen, Dirkzwager advocaten

NEN normen worden iedere vijf jaar herzien op actualiteit. De norm NEN 7510 stamt alweer uit 2004 en is dus aan revisie toe. NEN 7510 is de Nederlandse implementatie van de internationale norm ISO 27799 (laatst herzien in 2008).

De norm NEN 7510 is voor zorgverleners van belang, aangezien het College Bescherming Persoonsgegevens en de Inspectie voor de Gezondheidszorg zich op het standpunt stellen dat alle ziekenhuizen en andere zorgverleners aan deze norm moeten voldoen. Zie in dat kader onze eerdere berichtgeving hierover.

De uitwerkingen van NEN 7510, neergelegd in de normenserie NEN 7511 en de norm NEN 7512, stammen uit 2005 en zullen ongetwijfeld ook binnen afzienbare tijd worden herzien. Wij houden u ook hiervan op de hoogte.

Dit bericht is oorspronkelijk verschenen op http://dirkzwagerieit.nl/2010/08/19/nen-norm-7510-voor-informatiebeveiliging-in-de-zorg-wordt-vernieuwd/

IT 67

Websitehouders mede-verantwoordelijk voor gebruik tracking cookies door advertentienetwerk

Onlangs heeft de artikel 29 Werkgroep een interessante opinie gegeven over de privacyrechtelijke aspecten van het gebruik van zogenaamde tracking cookies bij advertenties op websites. Een van de punten uit de opinie is dat ook websitehouders die dergelijke advertenties (automatisch) laten plaatsen door een externe aanbieder, verantwoordelijk worden gehouden voor dit cookiegebruik van deze derde. Ook op andere punten is de werkgroep zeer streng over cookies.

Met dank aan Mark Jansen, Dirkzwager advocaten.

Tracking cookies

Veel advertenties op websites worden daar niet geplaatst door de exploitant van die website zelf, maar door een advertentienetwerk. Het merendeel van deze advertentienetwerken maakt gebruik van zogenaamde tracking cookies. Dat wil kort samengevat zeggen dat bij het tonen van een advertentie uit het netwerk een cookie op de computer van de bezoeker wordt geplaatst. Op basis van deze cookie kan deze bezoeker eenvoudig worden geidentificeerd wanneer deze andere websites bezoekt waarvoor door hetzelfde advertentienetwerk de advertenties worden verzorgd.

Aanbieders advertentienetwerken verantwoordelijk voor gebruik tracking cookies

De praktijk laat zien dat er enkele hele grote advertentienetwerken zijn die de advertenties op vele websites wereldwijd verzorgen. Het zijn met name deze grote advertentienetwerken die na verloop van tijd een profiel kunnen opbouwen van de bezoekers aan die websites. Dankzij de tracking cookie wordt deze bezoeker namelijk op iedere website waarop hetzelfde netwerk de advertenties verzorgt door de betreffende aanbieder herkend. Door te kijken welke websites een bepaald persoon bezoekt, wordt al snel duidelijk in welke onderwerpen deze persoon is geinteresseerd. Met deze techniek bouwen deze aanbieders dus in korte tijd een uitgebreide verzameling van persoonsgegevens op. Voor deze verwerkingen van persoonsgegevens zijn deze advertentienetwerken verantwoordelijk. Dat betekent dat de verplichtingen uit de privacywetgeving op hen van toepassing zijn.

Websitehouder mede-verantwoordelijk voor gebruik tracking cookies

Niet alleen de aanbieders van deze advertentiediensten zijn echter verantwoordelijk voor deze verwerkingen van persoonsgegevens. Volgens de werkgroep draagt de houder van de website waarop deze reclame verschijnt hiervoor ook een gedeeltelijke verantwoordelijkheid. Hij kiest er immers bewust voor om ruimte op zijn website te reserveren voor advertenties die door een netwerk worden geplaatst.

Het praktische gevolg van deze mede-verantwoordelijkheid is dat deze websitehouder de bezoeker vooraf goed moet informeren dat er gebruik wordt gemaakt van een advertentienetwerk en welke consequenties op het gebied van privacy dit voor hem heeft (zoals het gebruik van tracking cookies door het advertentienetwerk). Die informatie mag volgens de werkgroep niet zijn weggestopt in algemene voorwaarden of privacy statements.

De aanbieder van het advertentienetwerk houdt overigens zijn eigen verantwoordelijkheden om de gebruiker zelfstandig te informeren. Volgens de werkgroep zou het echter logisch zijn wanneer die informatie van het advertentienetwerk te vinden is op de website die gebruik maakt van deze diensten. De websitehouder zou dus ruimte moeten reserveren op zijn website om zo het advertentienetwerk in staat te stellen tegemoet te komen aan zijn informatieverplichtingen.

Toestemming plaatsen cookie vereist

Een ander opvallend punt is dat de artikel 29 Werkgroep de algemene regels over cookies, zoals deze zullen luiden na de eerstvolgende wijziging , zeer streng interpreteert.

Na de aanstaande wijziging van de cookieregels moet vooraf de toestemming moet worden verkregen van de websitebezoeker voor het plaatsen van een cookie. Dat is althans de tekst van de richtlijn. Die richtlijn moet omgezet worden naar nationaal recht. Dan pas zal blijken of die soep daadwerkelijk zo heet gegeten wordt. Over hoe de Nederlandse regels er ter zake uit zouden moeten komen te zien is op dit moment namelijk nog veel discussie.

De Artikel 29 Werkgroep interrepteert de eis uit de nieuwe richtlijn echter zo dat voor het plaatsen van iedere cookie er duidelijke informatie moet worden gegeven en toestemming moet worden gevraagd. Volgens de werkgroep hoeft geen afzonderlijke toestemming voor zowel het plaatsen al het vervolgens weer uitlezen van het cookie te worden verkregen. Wel moet een eenmaal gegeven toestemming volgens de werkgroep (1) beperkt in tijd zijn, (2) periodiek worden herzien en (3) altijd kunnen worden ingetrokken.

Gebruik van standaardinstellingen browser niet voldoende

Volgens de Artikel 29 Werkgroep mag er daarbij bovendien niet van uit worden gegaan dat wie op basis van zijn computerinstellingen cookies accepteert, daarmee toestemming heeft gegeven voor het plaatsen van cookies. De meeste computers hebben dit namelijk standaard zo ingesteld. Volgens de Artikel 29 Werkgroep mag hier niet uit worden afgeleid dat de betrokkene daadwerkelijk zijn toestemming voor het plaatsen van die cookies heeft gegeven. Ze geeft hiervoor drie redenen: (1) uit passief handelen kan nooit een actieve toestemming worden afgeleid, (2) toestemming geven via de computerinstellingen is niet zaligmakend nu sommige cookies zich van die instellingen niets aantrekken en (3) algemene toestemming via de computerinstelling kan nooit op alle specifieke geplaatste cookies zien.

Geen advertenties met tracking cookies op websites gericht op kinderen

De werkgroep overweegt verder dat kinderen jonger dan 16 jaar de vereiste toestemming nog niet mogen geven. Deze toestemming moet volgens de wet afkomstig zijn van hun ouders. Dat betekent dat ook de informatievoorziening op de ouders moet zijn gericht.

Mede gezien de kwetsbaarheid van kinderen stelt de werkgroep in het algemeen dat reclame met tracking cookies specifiek gericht op kinderen niet zou moeten plaatsvinden.

Geen tracking cookies op websites over gezondheid, politiek, etc.

Een ander opvallend punt is het volgende. De artikel 29 Werkgroep wijst er op dat het verwerken van zogenaamde “bijzondere persoonsgegevens” alleen is toegestaan met de uitdrukkelijke toestemming van de betrokkene. Bijzondere persoonsgegevens zijn alle gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en de persoonsgegevens betreffende het lidmaatschap van een vakvereniging (zie ook artikel 16 WBP). Die gevoelige gegevens mogen niet worden verwerkt zonder uitdrukkelijke toestemming. Tot zover niets nieuws.

De conclusie die de werkgroep hieraan in het kader van tracking cookies verbindt is wel opvallend. De aanbieder van advertentiediensten bouwt dankzij de tracking cookies een profiel van de bezoekers op (zie hiervoor). Wanneer deze aanbieder ook websites van bijvoorbeeld medicijnfabrikanten van advertenties voorziet, kan dit betekenen dat in de profielen na verloop van tijd bijzondere persoonsgegevens staan opgenomen. Uit de tracking cookies kan immers blijken dat een bepaalde persoon regelmatig informatie over een bepaalde ziekte of een bepaald medicijn heeft opgezocht.

Die informatie is te kwalificeren als een bijzonder persoonsgegeven. Dit betekent dat alle websites waarbij uit het enkele feit dat iemand die website bezoekt al een bijzonder persoonsgegeven zou kunnen worden afgeleid, dus voortaan alleen nog advertenties met tracking cookies mogen plaatsen wanneer zij hiervoor vooraf de uitdrukkelijke toestemming aan de websitebezoeker vragen. Dit zal vermoedelijk de doodsteek van dergelijke advertenties op dergelijke websites zijn.

Slotopmerking

De artikel 29 Werkgroep heeft een duidelijke visie op het gebruik van tracking cookies gegeven. Deze visie is streng te noemen. De praktijk zal moeten laten zien in hoeverre deze strenge visie, na de wetswijziging, door de nationale privacytoezichthouders daadwerkelijk gehandhaafd zal worden. Bovendien moet niet vergeten worden dat deze visie geschreven is in het kader van wetgeving die nog in werking moet treden (uiterlijk 25 mei 2011). Mogelijk dat zich in de tussentijd nog nadere ontwikkelingen voordoen.

Dit bericht is oorspronkelijk verschenen op http://dirkzwagerieit.nl/2010/07/01/websitehouders-mede-verantwoordelijk-voor-gebruik-tracking-cookies-door-advertentienetwerk/

IT 9

Europese pivacytoezichthouders: Opt-in bij monitoren surfgedrag

In een gezamenlijke Opinie geven de Europese privacytoezichthouders (verenigd in de zogeheten Artikel 29-werkgroep) aan hoe de nieuwe EU-regels voor elektronische privacy moeten worden toegepast op ‘online behavioural advertising’.

Met ‘behavioural advertising‘ bedoelen de toezichthouders het voortdurend volgen van individueel surfgedrag over meerdere websites en het gericht adverteren op basis van die informatie. Dit kan mensen voordeel opleveren, maar kan ook nadelige gevolgen hebben voor hun persoonlijke levenssfeer. Het volgen van surfgedrag kan derde partijen namelijk een zeer gedetailleerd beeld geven van het online gedrag van personen. De Europese privacytoezichthouders roepen advertentienetwerken en browserontwikkelaars onder meer op simpele en effectieve mechanismen te ontwikkelen zodat gebruikers ondubbelzinnige toestemming kunnen geven voor online behavioural advertising.

Lees het persbericht op de website van het College bescherming persoonsgegevens. Lees de opinie van de Artikel 29-werkgroep hier.

IT 91

De modelcontracten van de Europese Commissie voor export van persoonsgegevens

Voor de kennisdatabank. Met ingang van 15 mei 2010 heeft de Europese Commissie aangepaste model contractbepalingen vastgesteld voor doorgifte van persoonsgegevens naar landen buiten de EU waar geen passend beschermingsniveau wordt geboden. Met dank aan Bieneke Braat (Certa Legal).

Nieuw aan de model bepalingen is dat het nu ook voor de gegevensimporteur mogelijk is geworden persoonsgegevens door te geven aan sub-verwerkers. De Europese Commissie zegt daarmee in te spelen op de uitbreiding van verwerkingsprocessen en nieuwe vormen van dienstverlening voor de internationale verwerking van persoonsgegevens.

Onder sub-verwerker wordt verstaan:

”een verwerker die door de gegevensimporteur of een andere voor de gegevensimporteur werkende subverwerker is gecontracteerd en die overeenkomt van de gegevensimporteur of van een andere voor de gegevensimporteur werkende subverwerker persoonsgegevens te ontvangen, uitsluitend ten behoeve van de verwerkingsactiviteiten die namens de gegevensexporteur worden verricht na de doorgifte, overeenkomstig de instructies van de gegevensexporteur, de voorwaarden van de bepalingen en de voorwaarden van het schriftelijke contract inzake subverwerking.”

Uitbesteding van de gegevenswerking aan sub-verwerkers kan slechts met voorafgaande schriftelijke toestemming van de gegevensimporteur en slechts op grond van een contract. De gegevensimporteur moet een lijst bijhouden van de met sub-verwerkers gesloten contracten en moet deze lijst verstrekken aan de toezichthouder in het land van de verantwoordelijke.

Betrokkenen kunnen een aantal van de bepalingen jegens de sub-verwerker (zoals informatieplicht bij lokale wetswijzigingen, inzageverzoeken van lokale autoriteiten en onbevoegde toegang door derden, het treffen van beveiligingsmaatregelen en aansprakelijkheid) afdwingen wanneer zowel de gegevensexporteur als de gegevensimporteur is opgehouden te bestaan zonder dat er een rechtsopvolger is. De aansprakelijkheid van de sub-verwerker blijft beperkt tot de werkzaamheden die deze op grond van de modelbepalingen uitvoerde.

De oude bepalingen in bestaande contracten blijven van toepassing zolang die niet wijzigen. Als dat wel het geval is of de verwerkingsactiviteiten worden uitbesteedt, dan moet daarvoor een nieuwe overeenkomst worden gesloten.

Hier vindt u de link naar de contracten.

IT 64

CBP uit zorgen over inzet ASP/SaaS in de zorg

In een brief aan Minister Klink van VWS van december 2009 heeft het College Bescherming Persoonsgegevens (CBP) haar zorgen geuit over het toenemende gebruik door zorginstellingen van ASP of SaaS. Daarbij worden patiëntgegevens extern opgeslagen en kunnen deze door de zorgverlener via internet worden benaderd. Deze brief biedt een interessante kijk in de zienswijze van het CBP ten aanzien van de inzet van ASP en SaaS in de zorg en de risico’s daarvan.

Met dank aan Ernst-Jan van de Pas, Dirkzwager advocaten.

Risico’s ASP in de zorg
Zorgverleners hebben een medisch beroepsgeheim. In de brief signaleert het CBP meerdere risico’s bij de inzet van ASP in de zorg die dat beroepsgeheim kunnen ondermijnen. Zo bestaat het risico dat de ASP-dienstverlener patiëntgegevens onvoldoende beveiligt en dat de gegevens onder omstandigheden zichtbaar zijn voor andere dan de gecontracteerde zorgverlener, zoals personeel of andere klanten van de ASP-dienstverlener. Ook moet rekening worden gehouden met de mogelijkheid van verlies en verminking van gegevens. Verder wijst het CBP erop dat de zorgverlener in de uitoefening van zijn praktijk in hoge mate afhankelijk is van de diensten van de ASP-dienstverlener. Dit kan er in de praktijk zelfs toe leiden dat een zorgverlener vast komt te zitten aan zijn dienstverlener (vendor lock-in). Door deze afhankelijkheid bestaat het risico dat de zorgverlener zijn zeggenschap over de verwerking van persoonsgegevens verliest, terwijl het beroepsgeheim onverminderd op hem rust.

ASP-dienstverlener is bewerker in de zin van de WBP
Het CBP meent dat de ASP-dienstverlener kan worden gekwalificeerd als bewerker in de zin van de Wet Bescherming Persoonsgegevens (WBP), maar wijst erop dat het medisch beroepsgeheim (vastgelegd in artikel 7:477 BW) geen onderscheid maakt tussen “verantwoordelijke” en “bewerker” zoals de WBP dat wel doet. Op grond van dat beroepsgeheim mag de hulpverlener geen inlichtingen over de patiënt of inzage in of afschrift van bescheiden verstrekken aan anderen dan de patiënt, tenzij de patiënt daar toestemming voor heeft gegeven. Die toestemming is niet nodig indien de patiëntgegevens worden verstrekt aan derden die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en die verstrekking noodzakelijk is voor de door hen in het kader te verrichten werkzaamheden.

ASP-dienstverlener rechtstreeks betrokken bij uitvoering behandelingsovereenkomst?
Volgens het CBP is (als de patiënt geen toestemming heeft gegeven) bewerkerschap in de zorg alleen mogelijk indien de ingeschakelde bewerker “rechtstreeks betrokken” is bij de uitvoering van een behandelingsovereenkomst. De vraag is of een ASP-dienstverlener rechtstreeks betrokken is bij de uitvoering van een dergelijke overeenkomst. Die vraag is niet eenvoudig te beantwoorden. Wel merkt het CBP op dat ook anderen dan zorgverleners rechtstreeks betrokken kunnen zijn en dat dit niet per se personen hoeven te zijn die handelingen verrichten op het gebied van de geneeskunst. Anderzijds merkt het CBP op dat het gelet op de tekst van de wet niet evident is dat ASP-dienstverleners ook rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst.

Geen principiële bezwaren tegen ASP
Een belangrijk standpunt dat het CBP in de brief inneemt, is dat zij aangeeft dat er vanuit algemene principes van gegevensbescherming geen principiële bezwaren bestaan tegen de uitbesteding van verwerking van patiëntgegevens indien en zover het medisch beroepsgeheim daarbij wordt gerespecteerd. Dat laatste betekent concreet dat waarborgen moeten worden opgenomen voor een veilige en discrete verwerking van de ASP-dienstverlener. Het CBP verwijst in dit licht naar de toepassing van de normen NEN 7510/7511/7512, aangevuld met specifieke normen die zien op de verhouding zorgverlener – ASP, bijvoorbeeld ten aanzien van de zeggenschap van de zorgverlener over de uitbestede verwerking en de bij de ASP aanwezige persoonsgegevens.

Nadere regulering geboden
Het CBP merkt op dat aan de patiënt– voor zover bekend – geen toestemming wordt gevraagd voor het onderbrengen van zijn gegevens bij een ASP-dienstverlener. Het is de vraag of het medisch beroepsgeheim ruimte biedt voor dergelijke manier van gegevensverwerkingen. Door deze onduidelijkheid is de praktijk niet normvast, aldus het CBP. Verder concludeert het CBP dat de mate waarin aandacht wordt geschonken aan de bescherming van persoonsgegevens dusdanig uiteen loopt, dat nadere regulering is geboden. “Hierbij kan worden gedacht aan wetgeving of zelfregulering. Vanwege het medisch beroepsgeheim dienen daarbij hoge eisen te worden gesteld aan de uitbestede gegevensverwerking. Er zullen stevige waarborgen moeten worden geboden voor een veilige en discrete verwerking bij de dienstverlener. Uitbesteding mag er immers nooit toe leiden dat op ongerechtvaardigde wijze gegevens aan personen of instellingen buiten de gezondheidszorg worden gebracht.”

Conclusie
Kort gezegd komt de brief neer op het volgende. Enerzijds is duidelijk dat het CBP in beginsel geen principiële bezwaren ziet tegen toepassing van ASP en SaaS in de zorg. Wel maakt het CBP zich zorgen over het ontbreken van heldere regels op dat vlak en roept zij de minister. Het wachten is nu op een antwoord van de Minister. Tot die tijd doen zorginstellingen en ASP/SaaS aanbieders er goed aan om goede afspraken te maken over hoe met patiëntgegevens omgaan.

Dit bericht is oorspronkelijk verschenen op http://dirkzwagerieit.nl/2010/03/03/cbp-uit-zorgen-over-inzet-aspsaas-in-de-zorg/