Privacy

Doe-het-zelf contracteren in de cloud: juridisch mijnenveld? Kom naar Cloud Forum 2011 Spring Edition

| 16-05-2011

Op 18 mei aanstaande vindt het Cloud Forum 2010 plaats in Media Plaza, Utrecht. Cloud Forum is hét cloud computing event van Nederland. Het congres biedt u de mogelijkheid alle informatie te verzamelen die u nodig heeft. 30 tot 40 IT-leveranciers delen hun expertise met u.

Deep Packet Inspection of Deep Pocket Inspection? Hoe diep duikt KPN in de privacy van de gebruiker?

| 13-05-2011

Er is geen blog of krant die geen aandacht geeft aan de uitglijder van de directeur van KPN Mobiel Marco Visser die, om investeerders aan te trekken, heeft gegeven dat KPN al tijden gebruik maakt van Deep Packet Inspection (DPI). Waarom zou dat investeerders trekken?

Workshop SLA in de Cloud | 6 april 2011

| 24-03-2011

Op 6 april aanstaande organiseert Heliview samen met Mitopics de workshop SLA in de Cloud. Tijdens de uiterst succesvolle “uitverkochte” eerste editie van Cloud Forum in november 2010 (400 bezoekers) was er veel belangstelling voor het regelen van afspraken met de leverancier, aanbieders van clouddiensten, onder andere tijdens de Mitopics workshop ‘Van de regen in de drup‘.

Professionalisering van privacy in organisaties

| 22-11-2010

Nu steeds meer organisaties zich bewust worden van privacyvraagstukken rijst voor velen van hen de vraag wat privacywetgeving voor hun organisatie betekent. Vanuit verschillende hoeken zijn wij benaderd voor een visie. Hiertoe hebben wij een model ontwikkeld om inzicht te geven in deze vraagstukken.
 
Privacyregelgeving is vanwege de vele en snelle technische ontwikkelingen techniekonafhankelijk geformuleerd. Dit heeft voor veel organisaties die serieus bezig zijn met privacy tot gevolg dat zij zich geconfronteerd zien met veel ‘open’ normen die vaak lastig te doorgronden zijn. Wanneer in wetgeving open normen worden gebruikt is het vaak complex om vast te stellen of een organisatie voldoet aan deze wet- en regelgeving.

Privacyvraagstukken zijn voor organisaties veel meer dan een louter juridisch vraagstuk. Zij raken ook de werkprocessen, de externe relaties, beheersing en de cultuur. Zo kan de technische beveiliging zowel in theorie als in de praktijk optimaal zijn, maar wanneer iemand zijn wachtwoord op een memobriefje aan zijn beeldscherm hangt of collega’s hun wachtwoorden uitwisselen, voldoet men de facto niet aan de beveiligingseisen en zijn daarom privacyproblemen te verwachten. Vanwege de complexiteit van een dergelijk vraagstuk is een multidisciplinaire benadering wenselijk. Te meer omdat het zowel in theorie als in de praktijk neer komt op een combinatie van aspecten op gebied van regelgeving, techniek, management van en cultuur binnen de organisatie. Aspecten van verandermanagement voor het aanpassen van de organisatie op de privacyregelgeving vervullen daarin een rol van belang. In de praktijk betekent die aanpassing immers veelal dat organisaties hun werkwijzen in het kader van privacy verder moeten professionaliseren.
 
Onlangs publiceerde ik samen met enkele collega’s hierover een artikel in het tijdschrift Privacy en Informatie (P&I oktober 2010) waarin wij nader ingaan op deze problematiek. Allereerst gaan wij in op de vraag wat privacy(-wetgeving) voor een organisatie betekent en welke vragen daarbij een rol spelen. Daarna presenteren we een volwassenheidsmodel op basis waarvan organisaties op zoek kunnen gaan naar antwoorden op professionaliseringsvragen als: waar sta ik, waar wil ik naar toe en hoe kom ik daar? Het model wordt vervolgens ter verduidelijking toegepast op een casus. Op ons weblog kunt u meer artikelen verwachten over dit thema.
 

Risico’s bij gebruik van P3P Privacy Policies in Nederland

| 17-11-2010

Een klant vroeg mij: “Onze applicatie maakt gebruik van P3P Privacy Policy en we willen een algemene policy van P3P hanteren. Zijn er nog risico’s of andere aandachtspunten verbonden aan het gebruik van P3P Privacy Policies in Nederland?”

NEN 7510, wie niet volgt is gezien? De hantering van de norm in de zorgsector

| 17-11-2010

De beveiliging van persoonsgegevens in de zorgsector is een gevoelig punt en vraagt om specifieke benadering van de vereisten tot beveiliging. De complexiteit van informatiebeveiliging in de zorgsector door het grote aantal partijen en disciplines en netwerken van zorginstellingen is groot. Al die activiteiten van belanghebbenden bij het verzamelen, opslaan, verwerken en transporteren, betreffen vaak bijzonder gevoelige gegevens die vragen om een adequate beveiliging. De NEN 7510  norm voor de zorg geeft een aantal organisatorische en fysieke beveiligingseisen die hier behulpzaam kunnen zijn. De vraag is hoe dwingend de in de norm vastgelegde eisen zijn.

Cloud computing: David en Goliath

| 06-09-2010

Sommige cloud computing-leveranciers behandelen, als waren zij een moderne Goliath, hun wederpartij als dwergen. Betekent dit dat een kleine ‘David’ elk contractsvoorstel dat zo een Goliath hem voorlegt, moet accepteren? In dit artikel wordt een recent cloudcontract bekeken waarbij twee ‘reuzen’ een overeenkomst hebben gesloten die onderhandelingsmogelijkheden toont die David misschien nog niet had gezien (of had mogen zien). Deze mogelijkheden zouden David nieuwe inzichten kunnen geven voor als hij zich in de cloud waagt, of hij nu een contract sluit met Goliath of met zijn vriendelijke cloudleverancier verderop in de straat.

Cloud Computing in trouble door privacy?

| 01-07-2010

Op de halfjaarlijkse ledenvergadering van Nederlandse Vereniging voor Informatietechnologie en Recht (NVvIR) werd het thema Cloud Computing besproken. Een aantal sprekers bogen zich over de verschillende technische, ethische en juridische aspecten rondom dit onderwerp. Ik heb er een tal van lessen uit getrokken en die wil ik graag met jullie delen.

ICT in de zorg en het beroepsgeheim bijten elkaar

| 24-06-2010

Bij Saas (Software as a Service) gaat het om het op afstand ter beschikking stellen van bepaalde functionaliteit. In de laatste nieuwsbrief van het Cbp vraagt het Cbp zich af of de privacy bij het gebruik van SaaS in de zorg voldoende gewaarborgd is.

Artikel 7:457 BW gaat over het beroepsgeheim van de arts. Hierin is bepaald dat de arts geen inlichtingen mag geven over een patiënt aan een ander. Hier zijn een aantal uitzonderingen op namelijk: degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst, als de patiënt daar toestemming voor heeft gegeven of als iemand belast is met het feitelijke beheer van het patiëntdossier. Het Cbp wil deze onduidelijkheid oplossen door nieuwe regels op te leggen aan de zorgsector.

SaaS kan het op afstand ter beschikking stellen van patiëntengegevens inhouden. Hierbij kan het voorkomen dat de SaaS-leverancier in de gegevens kijkt van de patiënt. Het is maar de vraag in hoeverre dit valt onder het belast zijn met het feitelijke beheer van het patiëntdossier.  Bij SaaS gaat het niet uitsluitend om de beveiliging van persoonsgegevens, maar ook over het te allen tijden ter beschikking stellen van de persoonsgegevens aan de arts en het beroepsgeheim van de arts.

Het Cbp is van mening dat de onduidelijkheid rondom het beroepsgeheim en het gebruik van SaaS opgelost moet worden door nieuwe regelgeving of zelfregulering. De veilige en discrete verwerking van de persoonsgegevens door de SaaS-leverancier kan door middel van waarborgen in het contract worden opgelost. Anders dan het Cbp ben ik van mening dat nog verdere juridisering van de zorg niet de oplossing is. Daarnaast moeten artsen niet onnodig bang gemaakt worden voor het gebruik van ICT-diensten als SaaS. Deze diensten kunnen leiden tot het efficiënter werken van de huisarts en tot kostenbesparingen. De beveiliging van de gegevens en het te alle tijden kunnen inzien van de gegevens evenals de geheimhouding kan door middel van een aantal artikelen in de overeenkomst worden opgelost, waaronder de garantie dat de SaaS-leverancier NEN 7510/7511 of 7512 gecertificeerd blijft.

Mocht u meer willen weten over het goed waarborgen van privacy in de zorg met betrekking tot SaaS neem dan contact op met Carolien Jobse.

Gone Google: computing in the cloud. Een kwestie van vertrouwen?

| 18-03-2010

Recent woonde ik een gecombineerde netwerkbijeenkomst van Software~VOC en SaaS~Cloud Netwerk met het thema “ICT 2010 – 2020 en de visie hierop van Microsoft, Google en Gartner” bij waar vele ICT-professionals aanwezig waren die zich wilden laten voorlichten over de betekenis van SaaS, PaaS en Cloud computing voor hun (toekomstige) bedrijfsvoering.

Ik bespreek graag een aantal interessante zaken met u.

Wie wat bewaart geeft wat?

| 18-03-2010

Niet weggooien of bewaren van spullen zorgt vaak voor verrassingen. Heb ik dat nog? Wie wat bewaart heeft wat, maar wat als gevoelige gegevens in het geheugen van een apparaat worden bewaard en voor iedereen leesbaar zijn? Altijd al stukken van uw concurrenten willen bekijken?

Bent u al klaar voor het EPD?

| 05-02-2010

Patiëntgegevens: veilig opgeslagen en toch beschikbaar?

Het elektronisch patiënten dossier (EPD) is in veel ziekenhuizen in meer of mindere mate doorgevoerd. Maar hoe zorg je er als instelling voor dat de gegevens van patiënten veilig zijn? 

De invoering van het EPD brengt risico’s voor de privacy van patiënten met zich mee die enerzijds inherent zijn aan het maken van een dossier en anderzijds te maken hebben met de mogelijkheden die de digitalisering van het dossier biedt. Daarbij is vooral de schaal waarop inbreuk kan worden gemaakt op de privacy van patiënten vergroot.

Eén van de risico’s van een patiëntendossier is dat er verkeerde gegevens in terecht kunnen komen, al dan niet met opzet, waardoor een verkeerde diagnose gesteld kan worden. Het dossier kan bijvoorbeeld vermelden dat peniciline voorgeschreven kan worden, terwijl de patiënt hier allergisch voor is.  

Een ander risico dat met name samenhangt met de digitalisering van patiëntgegevens, is ongeautoriseerde toegang. Bijvoorbeeld door een beveiligingslek waardoor iedereen via internet in het dossier kan kijken. De gevolgen kunnen uiteenlopen van de op zich onschuldige openbaring van NAW-gegevens tot het bekend worden van een compromitterende aandoening wat weer gevolgen kan hebben op bijvoorbeeld carrière of verzekering. 

Op basis van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) moet een zorginstelling ervoor zorgen dat gevoelige medische gegevens goed beveiligd zijn. Hiervoor dient de instelling technische en organisatorische maatregelen te nemen. 

In een onlangs gepubliceerd artikel “Patiëntgegevens: veilig opgeslagen en toch beschikbaar?” in het blad ICT in de Zorg leggen de auteurs uit hoe u maatregelen kunt nemen om de risico’s te verkleinen en hoe u om kunt gaan met de Wbp.

Regelt IT. Al > 20 jaar!

Stavorenweg 4
Postbus 514
2800 AM Gouda
T 0182 573 211
E info@mitopics.nl

RSS feed
Sitemap
Disclaimer
Cookies

Uitgelichte topics