Home " Blog " Hoe patiënten video-opnemen in overeenstemming met GDPR
VideoLab - krachtige en innovatieve oplossing die klinische communicatievaardigheden ontwikkelt bij zorgverleners en de leercurve verbetert, Radboudumc

Hoe patiënten op video opnemen in overeenstemming met de GDPR

Hoe kunt u patiënten op video opnemen in overeenstemming met de GDPR? Waar moet u de opnames opslaan? Welk platform moet u gebruiken voor het opnemen en opslaan van de opnames? Hoe gebruik je het om GDPR compliance te garanderen? Laat ons al deze vragen beantwoorden door te praten over Videolab, ons GDPR-compliant platform voor het opnemen en delen van patiëntenvideo's.

 

Wat is de GDPR?

GDPR staat voor de Algemene Verordening Gegevensbescherming. Het is een wet van de Europese Unie (EU) die de omgang met persoonsgegevens van EU-burgers regelt. Het geeft personen meer controle over hun persoonsgegevens en stelt strenge regels vast voor bedrijven over hoe zij persoonsgegevens moeten behandelen en beschermen. GDPR heeft tot doel de privacy en de rechten inzake gegevensbescherming van individuen te beschermen. Als het gaat om gegevens van patiënten, regelt de GDPR de behandeling van persoonlijke gegevens van medische patiënten, waaronder hun gezondheidsdossiers en andere gevoelige persoonlijke informatie. Om video's te delen die patiëntgegevens bevatten, is een GDPR-compliant platform voor het delen van video's in de gezondheidszorg essentieel. Laten we enkele van de belangrijkste definities en de gegevensbeschermingsbeginselen van de GDPR doornemen, die ook aan bod komen in deze blog over GDPR-naleving bij softwareontwikkeling.

 

GDPR-naleving bij video-opnamen van patiënten

 

Wat zijn de belangrijkste definities om de GDPR te begrijpen?

De belangrijkste juridische termen in de GDPR zijn:

  • Persoonsgegevens: Alle informatie die betrekking heeft op een persoon die direct of indirect kan worden geïdentificeerd. Dit kunnen bijvoorbeeld namen en e-mailadressen zijn, maar ook etniciteit, geslacht, biometrische gegevens, enz. Pseudonieme gegevens kunnen ook onder deze definitie vallen als het relatief eenvoudig is om op basis daarvan iemand te identificeren.
  • Gegevensverwerking: Elke handeling die op gegevens wordt uitgevoerd, hetzij geautomatiseerd, hetzij handmatig.
  • Betrokkene: De persoon van wie de gegevens worden verwerkt.
  • Gegevensbeheerder: De persoon die beslist waarom en hoe persoonsgegevens worden verwerkt.
  • Gegevensverwerker: Een derde partij die persoonsgegevens verwerkt namens een voor de verwerking verantwoordelijke.

 

Wat zijn de gegevensbeschermingsbeginselen van de GDPR?

GDPR-naleving betekent dat men zich bij de verwerking van gegevens aan de volgende gegevensbeschermingsbeginselen moet houden:

  1. Rechtmatigheid, billijkheid en transparantie: De verwerking moet rechtmatig, eerlijk en transparant zijn voor de betrokkene.
  2. Doelbeperking: De gegevensverwerking moet plaatsvinden voor het doel dat uitdrukkelijk aan de betrokkene is opgegeven toen de gegevens werden verzameld.
  3. Gegevensminimalisatie: U mag alleen de strikt noodzakelijke gegevens verzamelen voor het aangegeven doel.
  4. Nauwkeurigheid: Persoonsgegevens moeten nauwkeurig worden bijgehouden en bijgewerkt.
  5. Opslagbeperking: Persoonlijk identificeerbare gegevens mogen niet langer worden opgeslagen dan nodig is voor het gespecificeerde doel.
  6. Integriteit en vertrouwelijkheid: De verwerking moet gebeuren op een manier die de veiligheid, integriteit en vertrouwelijkheid waarborgt.
  7. Verantwoording: De data controller is verantwoordelijk voor het aantonen van de naleving van al deze beginselen van de GDPR.

 

Hoe zorgt u ervoor dat u patiënten op video opneemt in overeenstemming met de GDPR?

GDPR-naleving betekent dat organisaties die de persoonsgegevens van personen in de EU en de EER verwerken, die gegevens moeten beschermen en de door de GDPR verleende individuele rechten moeten respecteren. Dit betekent dat organisaties moeten voldoen aan de hierboven genoemde beginselen. Daarvoor moeten ze de volgende regels volgen:

  1. uitdrukkelijke, vrij gegeven en geïnformeerde toestemming van personen verkrijgen alvorens hun persoonsgegevens te verzamelen, te gebruiken of te verwerken.
  2. Alleen persoonsgegevens verzamelen die noodzakelijk zijn voor het specifieke doel waarvoor ze worden verwerkt.
  3. Persoonlijke gegevens beschermen met passende technische en organisatorische maatregelen.
  4. Personen toegang verlenen tot hun persoonsgegevens, deze laten corrigeren, wissen, beperken of weigeren.
  5. Personen in staat stellen hun toestemming in te trekken of hun recht op gegevensportabiliteit uit te oefenen.
  6. Meld alle inbreuken op gegevens binnen 72 uur aan de bevoegde autoriteiten.
  7. Een data protection officer (DPO) aanstellen als de organisatie een overheidsinstantie is, op grote schaal bijzondere categorieën gegevens verwerkt of op grote schaal toezicht houdt op personen.
  8. De gegevensverwerkingsactiviteiten in detail registreren.

Het is dus belangrijk de bovenstaande regels in acht te nemen om GDPR-naleving te garanderen wanneer u patiënten op video opneemt.

Video-opname van patiënten

Hoe is de GDPR van toepassing op video-opnamen van patiënten?

Bij patiëntenvideo's die meer gevoelige gegevens bevatten, moet de GDPR worden nageleefd. Dit kan bijvoorbeeld een video zijn waarbij een patiëntconsult wordt opgenomen voor educatieve doeleinden. In dit geval is het behoud van de privacy en beveiliging van deze video erg belangrijk, omdat deze gevoelige patiëntgegevens bevat. Voldoen aan de GDPR kan hierbij helpen. Daarom gebruiken we dit voorbeeld om te laten zien hoe elk van de GDPR-principes van toepassing is.

uitdrukkelijke, vrij gegeven en geïnformeerde toestemming van patiënten te verkrijgen alvorens hun persoonsgegevens te verzamelen, te gebruiken of te verwerken

Dit betekent dat de patiënt om toestemming voor de opname moet worden gevraagd en dat hij moet worden geïnformeerd over het beoogde gebruik en de ontvangers van de opname. Het verkrijgen van toestemming, die op papier of in videovorm kan worden gegeven, is noodzakelijk voordat met de opname wordt begonnen.

alleen de persoonsgegevens verzamelen die nodig zijn voor het specifieke doel waarvoor ze worden verwerkt

In het voorbeeld van het opnemen van een consult om communicatie met patiënten aan te tonen, registreer niet de delen van het consult waar geen communicatie plaatsvindt. Neem geen persoonlijke informatie op zoals de naam of persoonlijke identificatiegegevens.

Persoonsgegevens beschermen met passende technische en organisatorische maatregelen

"Geschikte technische maatregelen" verwijst naar het gebruik van een systeem dat de principes volgt die in artikel 32 van de GDPR staan. Om aan deze regel te voldoen, neemt u patiënten op met beveiligde software zoals Videolab Recorder. Gebruik bovendien een systeem als Videolab om de patiëntopnames op te slaan, zodat u zeker weet dat u de juiste technische maatregelen gebruikt.

Organisatorische maatregelen houden in dat u de personen binnen uw organisatie informeert over de GDPR. Dit kan in de vorm van een training over de beginselen ervan en hoe deze toe te passen. Hiermee bevordert u de naleving en traint u uw personeel om de beste praktijken te volgen als het gaat om gegevensbescherming en -beveiliging.

Personen toegang geven tot hun persoonsgegevens, deze laten corrigeren, wissen, beperken of er bezwaar tegen maken

Dit betekent dat patiënten toegang hebben tot de video, het gebruik ervan kunnen beperken, de video kunnen trimmen en de aangesloten informatie kunnen wijzigen.

personen in staat stellen hun toestemming in te trekken of hun recht op gegevensportabiliteit uit te oefenen

In ons voorbeeld moet u de opnamen wissen of niet meer voor hun doel gebruiken als de patiënten u dat vragen. De opnames moeten dan worden verwijderd voor iedereen die toegang had gekregen. Bovendien betekent gegevensportabiliteit in dit geval dat de patiënten het recht hebben de opnames te verkrijgen en opnieuw te gebruiken voor hun eigen doeleinden.

inbreuken op gegevens binnen 72 uur aan de bevoegde autoriteiten melden

Dit betekent dat u 72 uur heeft om patiënten en de autoriteiten te informeren over een datalek. Dit is vooral het geval als u weet dat het datalek de gegevens van de patiënt betrof.

een data processing officer (DPO) aanstellen als de organisatie een overheidsinstantie is, op grote schaal bijzondere categorieën gegevens verwerkt of op grote schaal toezicht houdt op personen

Dit betekent dat iemand in het ziekenhuis of de universiteit die de video-opname van de patiënt gebruikt, moet worden aangewezen als verantwoordelijke voor de naleving van de GDPR.

Gedetailleerde documentatie van gegevensverwerkingsactiviteiten

In dit geval betekent dat gedetailleerde informatie over het gebruik van de opname voor onderwijsdoeleinden.

 

Hopelijk illustreert dit goed hoe de GDPR-beginselen van toepassing zijn in een zorginstelling. Toch kan het een goed idee zijn om na te gaan hoe de wetgeving op uw specifieke instelling van toepassing is.

Wanneer u patiëntenconsulten op video opneemt, vereist de naleving bovendien dat u deze video's opslaat in een veilig en privacybewust systeem. Het kan ook van groot nut zijn als dit systeem een veilige manier biedt om de video te delen met andere leden van uw organisatie. Laat mij u kennis laten maken met Videolab.

 

Videolab - een GDPR-compliant platform voor uw video-opnamen van patiënten

Videolab is een GDPR compliant healthcare video sharing platform, volgens technische standaarden. Waarom dit het geval is, zullen we in de volgende paragraaf verder toelichten. Het systeem werd gebouwd om GDPR compliance mogelijk te maken, specifiek voor de use case van patiënten video-opname. De Videolab Recorder app maakt een veilige opname van de patiënten mogelijk en het Videolab systeem maakt een veilige opslag en uitwisseling van deze opnames mogelijk.

Toch is het gebruik van het platform niet automatisch GDPR compliant. Om te voldoen aan de GDPR moet uw organisatie voldoen aan alle hierboven genoemde principes en Videolab dienovereenkomstig gebruiken. Het gebruik van Videolab garandeert dus geen GDPR-compliance, maar vergemakkelijkt deze wel.

Laten we de GDPR compliance checklist voor Videolab doornemen. In dit deel leggen we uit hoe Videolab de technische standaarden volgt die vereist zijn voor GDPR-compliance en hoe uw organisatie deze zou moeten gebruiken om compliance te garanderen.

video-opname van patiënten met Videolab

 

 

Videolab GDPR compliance checklist

Controller en processor

De instelling die Videolab inzet heeft de rol van data controller voor de verwerking van de gegevens en Codific de rol van data processor.

Rechtmatigheid, billijkheid en transparantie

Om de rechtmatigheid, eerlijkheid en transparantie bij het gebruik van patiëntenopnamen te waarborgen, hebben wij de nodige veiligheidsmaatregelen getroffen die u hier kunt zien.

Niettemin moet de patiënt toestemming geven (kan in videovorm) aan de voor de verwerking verantwoordelijke voordat deze de opname verwerkt. Bekijk zeker deze blogpost om te begrijpen wat toestemming geven betekent. De patiënt moet toestemming geven voor en na het begin van de opname.

Ten slotte verwerkt Videolab alleen video/audio-opnamen die identificeerbare informatie over de patiënt bevatten, dus geen persoonlijke identificatoren in metadata.

Doel beperking

De voor de verwerking verantwoordelijke bepaalt voor welke doeleinden hij video-opnamen van patiënten wil maken. Meestal worden opnames verwerkt voor de evaluatie en/of opleiding van artsen in opleiding. Om de naleving van de GDPR te waarborgen, mag de data controller voor de verwerking de opnames alleen verwerken voor de specifieke doeleinden die zij hebben aangegeven. Deze worden vermeld in de Data Processing Impact Assessment (DPIA) en in de Data Processing Agreement (tussen de verwerkingsverantwoordelijke en de gegevensverwerker) .

Gegevensminimalisatie

Audio-/video-opnamen bevatten uitsluitend identificeerbare patiëntgegevens. Gegevensminimalisatie vindt dus per definitie plaats. Om de naleving te garanderen, mogen de voor de verwerking verantwoordelijken alleen patiënten opnemen wanneer dat nodig is, en mogen zij geen persoonlijke identificatoren in de metagegevens opnemen.

Opslagbeperking en datahosting

De Data Processing Officer bepaalt een vaste periode waarna de gegevens automatisch worden vernietigd. De opleidingsperiode (bv. 12 maanden) bepaalt meestal deze instelling. Bovendien is er één gecodeerde back-up van de video-opnamen van de patiënt, die ook wordt vernietigd.

Alle gegevens worden opgeslagen en gecodeerd binnen de EU. Als verwerker maakt Codific gebruik van de modernste encryptie en een geavanceerd systeem voor het beheer van encryptiesleutels. Een master-key toegang tot het systeem volgt een "two-man rule", zodat zeldzame glasbraakprocedures mogelijk zijn.

Integriteit en vertrouwelijkheid (beveiliging)

De integriteit en vertrouwelijkheid van gegevens garanderen op technisch niveau is het werk van Codific, als privacy by design experts is het ons brood en boter. Het enige waar u zich zorgen over moet maken is een goede wachtwoordhygiëne, multi-factor authenticatie afdwingen in uw organisatie en nooit accounts delen.

Rechten van de patiënt

Wettelijk gezien blijft de patiënt altijd eigenaar van zijn gegevens, maar bij Videolab behandelen we de arts die de video-opname van de patiënt heeft gemaakt als eigenaar. Dit betekent dat hij een verantwoordelijkheid heeft in het beheer van de rechten van de betrokkene. Hij moet er bijvoorbeeld voor zorgen dat er voldoende geïnformeerde toestemming is en moet de video op verzoek verwijderen.

Contracten

Er is altijd een gegevensverwerkingsovereenkomst die alle relevante details specificeert. Wij hebben dit sjabloon klaarliggen.

Privacy by design en by default

Pricacy by design architecture is de kernexpertise van Codific, u kan hier, hier en hier meer lezen over hoe we dit doen . Het volgen van deze design architectuur is noodzakelijk om artikel 25 van de GDPR te volgen.

Effectbeoordeling gegevensbescherming

De organisatie, meestal de Data Protection Officer en zijn team, moeten een Data Protection Impact Assessment analyse uitvoeren. Codific levert alle technische informatie die bij deze analyse komt kijken.

Functionaris voor gegevensbescherming

Codific werkt nauw samen met de functionaris voor gegevensbescherming (DPO) die door de verantwoordelijke voor de verwerking is aangesteld.

Certificering

Codific is ISO27001 gecertificeerd. Maar we leggen de lat voor onszelf veel hoger met OWASP SAMM.

Codificerend ISO-certificaat

 

Met bovenstaande checklist ziet u hoe Videolab werkt als GDPR compliant video sharing platform. Toch is het belangrijk dat uw organisatie de juiste maatregelen volgt bij het gebruik van deze applicatie om GDPR compliance te waarborgen. Dit is vooral het geval bij video-opname van patiënten, aangezien dit een extra aandacht voor data privacy en beveiliging vereist.

 

Wat bouwen we nog meer met GDPR in gedachten?

Codific is een team van security software engineers die privacy by design principes gebruiken om veilige cloud oplossingen te bouwen. Wij bouwen toepassingen in verschillende verticals zoals HR-tech, Ed-Tech en Med-Tech. Veilig samenwerken en veilig delen vormen de kern van onze oplossingen.

SARA wordt door top HR-Consultants gebruikt voor team assessments, psychometrische tests, 360 graden feedback, cultuuranalyse en andere analytische HR-tools.

SAMMY is een hulpmiddel voor het beheer van het Software Assurance Maturity Model. Het stelt bedrijven in staat een beveiligingsprogramma te formuleren en te implementeren dat is afgestemd op de risico's waarmee zij worden geconfronteerd. Op die manier kunnen andere bedrijven ons helpen een eenvoudige en veilige digitale toekomst op te bouwen. Uiteraard is ons AppSec-programma en SAMMY zelf daarop gebouwd.

Wij geloven in samenwerking en open innovatie, we horen graag over uw projecten en kijken hoe we kunnen bijdragen aan de ontwikkeling van veilige software en privacy by design architectuur. Neem contact met ons op.

Auteur