Organisatie van de gezondheidszorg
Thema III – Omgaan met informatie
Belangrijke termen + uitgebreide uitleg
PRIVACY EN DE ALGEMENE VERORDENING GEGEVENSBESCHERMING
Dan is er een nieuwe wet gekomen: de privacy wetgeving. Van Europese richtlijn van 1995 naar AVG
(2018). Een richtlijn is een Europese tekst die de lidstaten verplicht om tegen een bep datum de principes van
die richtlijn om te zetten in nationale wetgeving. Niet goed voor vrij verkeer van personen als je alleen al rond
het dataverkeer geen geharmoniseerd geheel hebt. Als iedereen z’n eigen regels maakt of zelfs geen regels
voorziet, is da voor onze interne markt (onze wisseling van pat’n/personen en het leveren van diensten) geen
goede zaak. Dus laat ons op Europees vlak vastleggen wat er minstens in die wetgevingen moet staan.
Sinds die wet van ‘95 is er heel veel veranderd: het internet met veel spelers en ° van hubs. Drm
moest er nieuwe wetgeving w gemaakt die meer rekening houdt met al die nieuwe ontwikkelingen
(software, apps, …) Nodig om andere spelregels te voorzien.
Vb: We gaan moeten zien dat de software die men op de markt brengt, de privacy kan beschermen. Van bij
begin rekening mee houden. Als alles in de cloud w bijgehouden, moeten er specifieke rechten komen voor de
betrokkenen: recht hbb om gegevens te laten wissen of om die te laten overdragen als ze veranderen van
provider. Dit was allemaal niet voorzien in de richtlijn van ‘95.
Onder die richtlijn had je wel in bijna elke lidstaat een Privacy Commissie, maar die hadden heel
weinig macht. Grote spelers hielden niet echt rekening met privacy want nauwelijks een sanctie
mogelijk. Op Europees vlak wou men de Privacy Commissies meer bevoegdheden geven: toezicht
over de wijze waarop er met persoonsgegevens (bvb gzhgegevens) w omgesprongen, maar hen ook
de bevoegdheid geven om sancties uit te spreken.
=> Versterking vd positie vd gegevensbeschermingautoriteit.
Sancties bij niet-naleving: zware boetes om de ZH’n te laten luisteren. Nu begint de privacy enorm te
leven omdat de sancties zo hoog zijn. Kan bedrag zijn tot 4% vd omzet vh bedrijf. Men gaat vaak
eerst een waarschuwing geven, maar als men daar geen gevolg aan geeft, kan de boete dus hoog
oplopen.
Poll-vraagjes
- Zijn gecodeerde gegevens waarbij de onderzoeker zelf niet weet over wie het gaat persoonsgegevens in de zin
van de AVG? Ja.
- Wie is verantwoordelijk voor verwerking van gegevens als ZH deelneemt aan fase 3 studie? (probs naar
beveiliging toe in het omgaan met gegevens) Farmaceutische firma (sponsor), dus niet ZH of onderzoeker.
- Heb je het recht als patiënt om gzhgegevens te laten vernietigen? Nvt op medisch dossier
PERSOONSGEGEVENS
Een gegeven rond een geïdentificeerde of identificeerbare persoon, die persoon moet een
natuurlijke persoon zijn.
We hbb 2 soorten rechtssubjecten: de mensen (natuurlijke personen) en de ondernemingen (rechtspersonen)
! Gegevens over rechtspersonen vallen niet onder AVG, gegevens over natuurlijke personen wel
Ps. Discussie over foetus (persoon in wording), meestal zgg diens gegevens ook iets over gzhtoestand moeder.
Ps. Overleden persoon -> die gegevens gaan ook nog iets zgg over familieleden.
CAVE als je later studies doet met enquêtes in ZH’n en je houdt contactgegevens bij van die personen, die
gegevens zijn dan wel persoonsgegevens, dan ga je ook met die wet moeten rekening houden, tenzij je een
algemeen infoadres contacteert en dus geen enkel persoonsgegeven gaat inzamelen/bijhouden.
CAVE als naam zaakvoerder in de naam vd rechtspersoon staat, eigenlijk ook persoonsgegevens.
, GECODEERDE GEGEVENS
Stel: jij als onderzoeker gaat gegevens inzamelen over patiënt bij ZH A en ZH B -> dan moet je
werken via gecodeerde gegevens waarbij je als onderzoeker zelf de identiteitsgegevens niet kent ->
derde vertrouwenspersoon gaat vooru de IDegevens verkrijgen vd ZH’n. Dus ZH A zal IDgegevens
doorsturen naar de intermediaire organisatie, ze zullen dit samen met een bep controlegetal doen,
ZH B doet hetzelfde. Wat stuurt het ZH door naar de onderzoeker: het controlegetal en de medische
gegevens. De IDgegevens w versleuteld door de intermediaire organisatie. Die geeft niet meer de
naam door, maar ‘versleutelde IDgegevens’ en het controlegetal. Als je die versleutelde IDgegevens
samen met het controlegetal als onderzoeker ontvangt, kan je datzelfde controlegetal weer linken
aan de medische gegevens. => ipv naam krijg je dus een versleutelde identiteit
Als pat in ZH A en ZH B is behandeld en die gegevens op dezelfde manier zijn versleuteld, kan je de
patiënt volgen gekoppeld aan zijn medische gegevens, zonder da je weet over wie het gaat. -> Men
doet dit via software pakketten die men installeert in de ZH’n.
PSEUDOMINISERING sluit daarbij aan
-> Gegevens op zo’n manier gaan versleutelen zodanig dat men eigenlijk niet meer weet over wie
het gaat als onderzoeker, maar het is wel nog perfect mog om die identiteit te achterhalen.
-> Gegevens w zo versleuteld dat degene die ze ontvangt, zonder onredelijke maatregelen te
moeten nemen, niet meer kan weten om wie het gaat.
! GEPSEUDOMINISEERDE GEGEVENS zijn wel degelijk persoonsgegevens, maar wie ze ontvangt kan
zelf niet weten over wie het gaat.
ANONIEME GEGEVENS
Laten niet toe om iemand te identificeren. Als het ZH zou beslissen om de linken tss de identiteit en
het controlegetal te vernietigen zodat men niet meer weet voor wie het controlegetal staat, zijn dat
absolute anonieme gegevens. In de praktijk komt het niet vaak meer voor dat men gaat werken met
anonieme gegevens.
VERWERKING
Dubbele term:
1) elke bewerking die je doet met persoonsgegevens:
opslaan/bekijken/bewaren/doorsturen/inkijken/kopiëren/verwijderen/registreren/opnemen
2) een geheel van bewerkingen met een bepaald doel: bvb als de thuisvpk allerlei gegevens gaat
registreren voor de opvolging van haar pat’n, ikv verzorging, dan is dat EPD een verwerking met als doel de
opvolging vd verzorging vd pat’n. Als men da ook gebruikt voor het sturen van facturen, krijg je ook een andere
verwerking met een ander doel. (al zijn het (bijna) dezelfde gegevens die w gebruikt) De 2 verwerkingen,
facturatie en opvolging van verzorging, vallen onder de term verwerking.
GEAUTOMATISEERDE VERWERKING
Een bewerking die je uitvoert, geheel of gedeeltelijk met geautomatiseerde procedés.
Bvb via computer een #gegevens gaan verwerken. Gedeeltelijk door bvb de namen vd pat’n in de computer te
stoppen en op manuele fiches vd thuisbezoeken allerlei gegevens te schrijven van pat’n. Het geheel vd
pat’nfiches, samen met wat op de computer staat, w beschouwd als een GV. Die term slaat dus niet alleen op
wat op de computer staat, maar op het geheel, ook als da maar gedeeltelijk geautomatiseerd is. Als er tss de
papieren bestanden duidelijk een link is met wat op de computer staat (de pat’nnamen/nummers), dan zal dat
geheel als een GV w beschouwd. Stel dat die thuisvpk niet met een computer zou werken, maar enkel met een
manueel bestand, valt dat ook onder die privacy wetgeving, op voorwaarde dat al die fiches of dossiers van