Privacyrecht is code
Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/6.8.1:6.8.1. Privacybeschermende maatregelen
Privacyrecht is code (R&P nr. ICT1) 2010/6.8.1
6.8.1. Privacybeschermende maatregelen
Documentgegevens:
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS576453:1
- Vakgebied(en)
Civiel recht algemeen (V)
Toon alle voetnoten
Voetnoten
Voetnoten
Ribbers, 2007 (A), p. 48-49.
Ribbers, 2007 (A), p. 46.
NAW staat voor naam, adres, woonplaats.
Met fysieke beveiligingsmaatregelen wordt bedoeld alle maatregelen die genomen worden om de hulpmiddelen te beveilginge, die gebruikt worden voor het gegevensbeheer.
Dit is kennelijk niet het geval bij ViTTS, althans dit kan niet uit de architectuur (zie figuur 6.13.) worden afgelezen.
Koom, e.a., 2004, p. 28-30.
EU research PRIME (Privacy and Identity Management in Europe) project Contract No. 507591(2004-2008).
Sommer, 2008, p. 127.
Deze functie is alleen te gebruiken als je bent ingelogd.
Omdat het ViTTS-systeem privacygevoelige informatie over slachtoffers verwerkt en deze gegevens door het ziekenhuispersoneel, de medische staf, de gemeenten en politie geraadpleegd kunnen worden, is het van groot belang de privacybedreigingen het hoofd te bieden, door optimale bescherming aan de persoonsgegevens te verlenen en overtreding van de privacywetgeving te voorkomen. Privacyvraagstukken binnen de gezondheidszorg zijn complex. Hiervoor moeten organisatorische en technische maatregelen worden getroffen. Tijdens de rampenbestrijding is het van het grootste belang dat de netwerkverbinding niet uitvalt. Hier is organisatorisch in voorzien door drie radiografische netwerken te creëren, zodat bij uitval van het ene netwerk het andere netwerk de communicatie kan overnemen.
Figuur 6.14 laat een vereenvoudigd gegevensstroomdiagram zien en geeft aan waar technische (PET-) en/of organisatorische beveiligingsmaatregelen zijn genomen. De cirkels in het diagram verwijzen naar een reeks van PET-maatregelen. De organisatorische maatregelen (in figuur 6.14 de vierkanten) die genomen zijn, betreffen onder meer de functionele authorisatie van het medisch personeel.
Figuur 6.14: Organisatorische en technische maatregelen in ViTTS gebaseerd op PET-maatregelen, Ribbers, 2007, p. 46
Sterke beveiliging wordt toegepast door een verfijnde functionele autorisatiestructuur, waarbij de rol van de gebruiker bepaalt tot welk deel van het systeem hij toegang heeft. Deze oplossing is ook in het ziekenhuisinformatiesysteem toegepast (zie paragraaf 6.7). Alleen het medisch personeel kan inloggen, informatie invoeren over de tirage bij de ramp, gegevens opvragen waarbij encryptie en privacymanagementtechnieken worden gebruikt en versleuteld informatie verzenden.1 Geautoriseerde zorgverleners maken gebruik van digitale certificaten die op chipkaarten zijn opgeslagen of van chipkaarten met biometrische gegevens om zich uniek te identificeren. Andere gebruikers maken gebruik van softwarecertificaten, maar daarmee krijgt men geen toegang tot de medische gegevens.2
Net zoals in het informatiesysteem van het Veldwijk-Meerkantenziekenhuis vindt scheiding van gegevens plaats, waarbij de medische gegevens en NAW-gegevens3 in verschillende tabellen zijn opgeslagen. De NAW-gegevens zijn versleuteld, zodat de medische gegevens voor ongeautoriseerde personen (bijvoorbeeld systeembeheerders) niet zijn te herleiden tot een natuurlijk persoon. De database met medische gegevens is opgeslagen bij een vertrouwde derde partij, de `Trusted Third Party' (TTP), die stringente fysieke4 en logische beveiligingsmaatregelen heeft getroffen en hierop regelmatig wordt geaudit. Bovendien vindt minimalisatie van gegevens plaats die worden uitgewisseld met andere informatiesystemen. De voorloper van ViTTS was het Nederlands Trauma Informatie Systeem (NTTS). In NTTS5 wordt een beperkt aantal gegevens verstrekt aan een systeem waarmee de Regionaal Geneeskundig Functionaris (RFG) kan zien welke personen uit zijn gemeente betrokken zijn bij een ramp. Naast de NAW-gegevens wordt uitsluitend een classificatiecode verstrekt. De classificatiecode geeft informatie over de zwaarte van het letsel, maar de RGF krijgt geen inzage in de medische gegevens. Dit systeem bevat een tijdelijke database en de NAW-gegevens blijven hierin niet bewaard. De functionaris kan de gegevens evenwel exporteren naar zijn eigen computer6 en dat kan bij onzorgvuldig handelen privacyrisico's opleveren.
Om persoonsgegevens te beschermen worden de volgende organisatorische en technische maatregelen ter ondersteuning van de 'Identity Protectors' in ViTTS toegepast:
Ten behoeve van de bescherming van persoonsgegevens bij het registeren van slachtoffers op de plaats van de ramp zijn de technische maatregelen:
Het opzetten van drie speciale (slachtoffer)netwerken ingeval er een uitvalt.
Bij het verzenden van informatie naar ViTTS wordt de data over een versleutelde lijn verzonden. De genomen organisatorische maatregel bij het verzamelen van informatie over slachtoffers is dat het alleen aan het medisch personeel is toegestaan (medische) gegevens te verzamelen over slachtoffers van de ramp conform de vereisten ex artikel 8 van de Richtlijn 95/46/EG.
Wat betreft het opvragen van informatie over slachtoffers/patiënten zijn de volgende technische maatregelen genomen:
Ziekenhuizen kunnen de webinterface van het Utrechts trauma informatie systeem (UTIS) gebruiken om contact te maken met het ViTTS-systeem. In het UTIS zijn strikte functionele autorisatietechnieken geïmplementeerd, die bij het inloggen door de techniek aan de gebruiker dwingend worden opgelegd.
Encryptie en privacymanagementsystemen zorgen ervoor dat alleen het medisch personeel gegevens kan opvragen.
Encryptietechnieken zorgen ervoor dat alleen het medisch personeel informatie kan toevoegen en terugzenden.
Bij het registeren van de slachtoffers met UICN wanneer zij in het ziekenhuis worden opgenomen, zijn bij het inloggen, het invoeren van data en het verzenden van informatie dezelfde organisatorische en technische maatregelen genomen, nl. functionele autorisatie en encryptie.
Wat betreft het verwerken van data (inloggen in 1-RIS om de identiteit van het slachtoffer vast te stellen, het opvragen en verzenden van informatie) zijn eveneens technisch afdwingbare autorisatietechnieken, encryptie en privacy-management toegepast.
De gekozen oplossing kan in de model architectuur (zie figuur 5.5 van hoofdstuk 5) sterk vereenvoudigd worden weergegeven als model informatiesysteem 3 (zie figuur 6.8 en figuur 6.15).
Figuur 6.15: Model informatiesysteem (IS) 3. De Identity Protector wordt al direct bij de intake van data toegepast en schept hierdoor een groot pseudoidentitydomein binnen het IS. Voor de Identity Protector is de kruisridder als symbool gebruikt.
De meest gecompliceerde mogelijkheid om privacy te beschermen, houdt in, dat daar waar persoonsgegevens niet geanonimiseerd kunnen worden, binnen het informatiesysteem op alle te verwerken en verwerkte persoonsgegevens automatisch de wetgeving betreffende de bescherming van persoonsgegevens en het privacybeleid van de verantwoordelijke worden toegepast. Dit geschiedt op een zodanige wijze dat verwerking in strijd met de wettelijke verplichtingen of de privacy policy leidt c.q. kan leiden tot het af- of onderbreken van de verwerking of het automatisch loggen van de afwijking op het privacybeleid, waarvoor later door het management van de organisatie verantwoording dient te worden genomen. Deze laatste mogelijkheid is met name van belang voor informatieprocessen binnen de overheidsinstanties, banken en verzekeringsbedrijven die over het algemeen zeer identiteitsrijk zijn en ook op grond van wettelijke bepalingen niet zonder identificerende gegevens kunnen Om persoonsgegevens te beschermen, die niet of in aanmerkelijk mindere mate zijn afgeschermd dan in de hierboven besproken architecturen, dient er een sterk vertrouwen te bestaan tussen de betrokkene die zijn persoonsgegevens afgeeft en de verantwoordelijke die de persoonsgegevens verzamelt, verwerkt en opslaat. In een netwerkomgeving impliceert het vereiste van vertrouwen dat de persoonsgegevens conform de persoonlijke privacyvoorkeuren en de wettelijke vereisten worden behandeld, nog prangender. Want de data van de gebruiker zijn bij alle interacties binnen de hedendaagse communicatienetwerken terug te voeren op de initiator en dat betekent dat de gebruiker bij alle partijen (service providers, zoekmachines, websites etc.) er volledig op zal moeten kunnen vertrouwen dat zijn persoonsgegevens niet in strijd met privacyrealisatiebeginselen worden behandeld en dat verwerkers niet gezamenlijk hun data delen en extensieve profielen van de gebruiker maken.
De vraag is nu hoe kan worden bereikt dat men erop kan vertrouwen dat persoonsgegevens conform de privacyrealisatiebeginselen worden behandeld. De PRIME7 -architectuur is specifiek ontwikkeld om het vertrouwen te vergroten van de gebruiker/betrokkene in de verwerking van data binnen informatiesystemen. Toepassing van geavanceerde cryptografische technieken lijkt de oplossing voor het versterken van vertrouwen te zijn. Sommer schrijft dat: "a user's privacy can even be protected if service providers and certifiers are dishonest, if business processes are appropriately defined and PRIME technology is used".8
In de hieronder te bespreken 'Privacy Incorporated Software Agent' is voornamelijk met PET en privacyontologieën gewerkt om het vertrouwen te versterken en de privacy van de gebruiker te beschermen. `Obligation Management'-technieken (zie paragraaf 6.4) waren eind 1999 bij de start van het PISA-project nog niet ontwikkeld.