DATAVE R Z AME LI NGEN JURIDISCHE INSTRUMENTEN WAT KUNNEN OVERHEDEN LEREN VAN ZORGINSTELLINGEN? Zorginstellingen zijn steeds vaker actief bij de ontwikkeling van eHealth-apps. Dit vereist specifieke kennis van het intellectueel-eigendomsrecht, het ICTrecht, het privacyrecht en het ontwikkelproces van dergelijke apps. In dit artikel worden verschillende juridische instrumenten toegelicht die een rol spelen bij het maken van afspraken over het verzamelen en gebruiken van (big) data. In het bijzonder wordt de bewerkersovereenkomst besproken. Ook voor instellingen buiten de zorg biedt dit een handig overzicht van checks and balances. Tekst: Tinga Kleefman, bedrijfsjurist IE, ICT en Privacy bij UMC Utrecht B E ALLE De grootte van een verzameling data, of de mogelijke koppelingen met andere bestanden en welke entiteiten daar gebruik van kunnen maken, hebben hun weerslag op technische voorzieningen en juridische instrumenten. Het juridisch 22 dienen de afspraken aan dit wettelijk kader te worden getoetst. Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie of direct over iemand gaat, of tot deze perij de ontwikkeling van apps is een aantal zaken van belang. Met welk type partijen de data worden gedeeld, welke data worden gedeeld, waar de data worden beheerd en door wie en onder welke voorwaarden (door derden) de data kunnen worden gebruikt. In verband met het generen en delen van grote verzamelingen van data wordt vaak de term ‘big data’ gebruikt. Dit is echter geen vast omlijnd begrip. Het is wat mij betreft ook niet zo relevant of een verzameling als big data kan worden aangeduid. Wat wel belang is dat de uit te wisselen data expliciet wordt vermeld en of deze data direct of indirect herleidbaar zijn tot de persoon. De data dienen aan de privacywet- en regelgeving te worden getoetst. advies zal verschillen naarmate de data extern worden beheerd en er bij de uitvoering commerciële partijen zijn betrokken. In de praktijk worden grote verzamelingen data in verband met de technische capaciteit en mogelijkheden bij voorkeur door andere partijen verwerkt. Hoe meer (type) partijen bij de verzameling en het gebruik van persoonsgegevens betrokken zijn, hoe veelzijdiger het juridisch advies wordt. WET- EN REGELGEVING Wet- en regelgeving stellen eisen aan de wijze waarop de privacy van de personen die de data betreffen, dient te worden beschermd. Zodra de data ’persoonsgegevens’ in de zin van de Wet bescherming persoonsgegevens (Wbp) betreffen, soon te herleiden is. Op het gebied van bescherming van privacy geldt ook Europese regelgeving. Per 25 mei 2018 geldt hiervoor de nieuwe Europese privacyverordening, de Algemene Verordening Gegevensbescherming (AVG). Deze verordening betreft Europese regelgeving op het gebied van bescherming van personen in het kader van de verwerking van persoonsgegevens. De verordening is dan rechtstreeks van toepassing in alle EU-lidstaten. Desondanks hebben Europese lidstaten al nationale wetgeving en zullen de huidige nationale wetgevingen mogelijk (nader) op de Europese regelgeving worden aangepast. Aangezien de nieuwe verordening al wel is vastgesteld, dient bij de advisering met de toepassing daarvan nu al rekening te worden gehouden. Naast wetgeving kent de praktijk de zogenaamde ISO-normen voor informatiebeveiliging van managementsystemen en de Databankenwet worden gevolgd. Deze ISO normen bieden partijen een instrument bij de waardering van de gevolgde procedures en getroffen beveiligingsmaatregelen. Op de software die het gebruik en beheer van de eHealth-app wordt gebruikt, zal meestal het auteursrecht van toepassing zijn. Auteursrecht en Databankenrechten zijn voorbeelden van intellectueel eigendom. Kennis op
23 Online Touch Home