Noort

Lancering ‘Dubbele Claim Detector (DCD)’ door het Innovatieplatform Verbond van Verzekeraars

Lancering ‘Dubbele Claim Detector (DCD)’ door het Innovatieplatform Verbond van Verzekeraars 722 550 Ekelmans Advocaten
Lancering Dubbele Claim Detector met Astrid van Noort
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes

Astrid van Noort was als spreker aanwezig bij de lancering van de ‘Dubbele Claim Detector (DCD)’ door het Innovatieplatform van het Verbond van Verzekeraars.

Ekelmans Advocaten heeft het Verbond van Verzekeraars bij de ontwikkeling van deze Dubbele Claim Detector geadviseerd over een veilige en verantwoorde wijze van gegevensuitwisseling tussen verzekeraars binnen het kader van de AVG.

Met de Dubbele Claim Detector is een belangrijke tool ontwikkeld die verzekeraars helpt om de betaling van dubbele claims te voorkomen en mogelijke fraude te signaleren. Daarmee worden de integere bedrijfsvoering en risicobeheersing door de verzekeraar in belangrijke mate bevorderd.

Meer weten over het privacyrecht?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. U moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit uw branche. Onze Privacy Desk helpt u om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van uw klanten te waarborgen.

Auteur

Astrid van Noort is partner Verzekering & Aansprakelijkheid en strategisch AVG expert voor grote verzekeraars. Zij bedenkt praktische, werkbare en commercieel aantrekkelijke oplossingen voor ingewikkelde problemen. Daarnaast is zij gespecialiseerd in personenschade, inkomens- en ziekteverzuimverzekeringen en zorgverzekeringen. 

Astrid van Noort verzorgt module Beroepsziekten bij Leergang Personenschade

Astrid van Noort verzorgt module Beroepsziekten bij Leergang Personenschade 1400 1082 Ekelmans Advocaten
Astrid van Noort
Leestijd: < 1 minuut
Lesedauer: < 1 Minute
Reading time: < 1 minute

Partner Verzekering & Aansprakelijkheid Astrid van Noort verzorgt de module Beroepsziekten bij de Opleiding Leergang Personenschade Zwaar Letsel.

Tijdens de keuzemodule Beroepsziekten gaat Astrid van Noort in op de juridische regelgeving en jurisprudentie rondom de aansprakelijkheid voor beroepsziekten. Zij verzorgt de module samen met een arts, die de medische aspecten van beroepsziekten onder de loep neemt.

De opleiding Leergang Personenschade Zwaar Letsel is gericht op de kennis en vaardigheden die nodig zijn voor de correcte behandeling en afhandeling van schadedossiers personenschade zwaar letsel. Deze leergang is opgezet en wordt geactualiseerd in nauw overleg met de Adviesraad Leergangen Letselschade. De opleiding is ontwikkeld voor o.a. senior schadebehandelaars bij aansprakelijkheidsverzekeraars, schaderegelings- en expertisebureaus.

Contact

Aktuelles

Hoed u voor de Cybersecuritywet!

Hoed u voor de Cybersecuritywet! 1920 1280 Ekelmans Advocaten
cybersecuritywet
Leestijd: 3 minuten
Lesedauer: 3 Minuten
Reading time: 3 minutes
Expertise:

Sinds eind 2018 geldt in Nederland de Wet beveiliging netwerk- en informatiesystemen (Wbni), ook wel de Cybersecuritywet genoemd.

De Wbni is van toepassing op vitale dienstverleners (ook wel aanbieders van essentiële diensten) en op digitale dienstverleners. Mogelijk is de Wbni ook op uw organisatie van toepassing. In dit artikel worden allereerst de vitale en digitale dienstverleners toegelicht en vervolgens zal stil worden gestaan bij de uit de Wbni voortvloeiende zorgplicht.

Wanneer bent u een vitale of digitale dienstverlener?

Onder vitale dienstverleners vallen onder meer organisaties in de energie-, de financiële en de vervoerssector. Hun diensten zijn van essentieel belang voor het goed functioneren van de Nederlandse samenleving en economie. Onder het begrip ‘digitale dienstverleners’ vallen bijvoorbeeld clouddiensten, zoekmachines en online marktplaatsen, ook wel Digital Service Providers genoemd (DSP’s).

Niet elke partij die een digitale dienst aanbiedt, valt echter automatisch onder de Wet beveiliging netwerk- en informatiesystemen (Wbni). Social media en webshops bieden bijvoorbeeld ook digitale diensten aan, maar hoeven niet per definitie aan de Wbni te voldoen. Vereist is allereerst dat de organisatie een hoofdvestiging of vertegenwoordiging in Nederland heeft. Tevens dienen binnen de organisatie meer dan 50 medewerkers werkzaam te zijn of dient er sprake te zijn van een balanstotaal of een jaaromzet van meer dan 10 miljoen euro. Kleine en micro-ondernemingen vallen derhalve niet onder de reikwijdte van de Wbni.

De uitval of verstoring van vitale dienstverleners of digitale dienstverleners kan leiden tot grote maatschappelijke ontwrichting. De Wbni bevat daarom o.a. een zorgplicht voor beveiligingsmaatregelen.

De zorgplicht

De zorgplicht houdt in dat vitale dienstverleners en digitale dienstverleners passende organisatorische en technische maatregelen dienen te nemen om beveiligingsrisico’s te beheersen en de gevolgen van incidenten te verkleinen. In de AVG (art. 24) kennen we een dergelijke regeling ook voor het verwerken van persoonsgegevens. De Wbni ziet echter specifiek op digitale beveiliging en omvat het aanbieden van vitale en/of digitale dienstverlening in de ruime zin.

De Wbni werkt vijf aspecten uit waar vitale en digitale dienstverleners rekening mee dienen houden. Deze uitwerking is gebaseerd op art. 2 EU Uitvoeringsbesluit 2019/151 en bestaat – kort samengevat – uit het treffen van de volgende maatregelen:

Allereerst dienen de netwerk- en informatiesystemen adequaat te worden beveiligd. Daarnaast moeten organisaties kunnen aantonen dat zij maatregelen nemen bij incidenten. Daarbij kan worden gedacht aan processen om incidenten te melden en om tekortkomingen en zwakke plekken in het systeem te identificeren. Verder moet worden voorzien in maatregelen waarmee de bedrijfscontinuïteit en dienstverlening na een incident deugdelijk wordt gehandhaafd of hersteld. Onder die maatregelen valt o.a. de vaststelling en het gebruik van rampenplannen. Voorts is relevant dat regelmatig wordt gecontroleerd dat de betreffende maatregelen naar behoren werken en dus periodiek worden getest. Bij dit alles dienen -tot slot- ook internationale normen in acht te worden genomen.

Al deze maatregelen beogen dat vitale dienstverleners en digitale dienstverleners voldoen aan het uitgangspunt met betrekking tot de zorgplicht zoals die in de Wbni uiteen is gezet: “het nemen van passende maatregelen om incidenten te voorkomen en, als zich toch incidenten voordoen, de gevolgen daarvan zo veel mogelijk te beperken”.

De zorgplicht in de praktijk: hoe moet de regeling concreet worden toegepast?

De Wbni geeft vooral aan wát er moet gebeuren, maar niet hoe de uitvoering van die zorgplicht vervolgens concreet vormgegeven dient te worden om de toets van voldoende zorgvuldigheid met succes te kunnen doorstaan.

Vitale dienstverleners en digitale dienstverleners dienen de uitvoering van de zorgplicht en de maatregelen geheel zelf in te vullen waarbij het Agentschap Telecom toezicht houdt en handhavend op kan treden. Doordat de concrete invulling van de zorgplicht en de maatregelen ontbreken valt echter te verwachten dat organisaties hier veel vraagtekens bij hebben. Dit zou kunnen resulteren in een tekortschieten in de op hen rustende zorgplicht.

Aanbeveling verdient derhalve juridische advisering in het zo correct mogelijk toepassen van de uit de Wbni voortvloeiende zorgplicht in de praktijk. Hierbij is het belangrijk dat een balans wordt gevonden in het voldoen aan de zorgplicht en het respecteren van de commerciële belangen van bedrijven en de privacy van natuurlijke personen. Het creëren van een beveiligingsprotocol met een concreet te doorlopen stappenplan/checklist zou hiervan een voorbeeld kunnen zijn. Door de verscheidenheid aan organisaties die onder de reikwijdte van de Wbni vallen gaat het hierbij echter om maatwerk.

Geldt de zorgplicht ook voor u?

Heeft u vragen of wenst u advies over de Wbni en de daarin geldende zorgplicht binnen uw organisatie? Neem dan contact op met onze Cyber risk expert Astrid van Noort

Contact

Bijeenkomst AVG en personenschade – Lastige privacy issues nader belicht

Bijeenkomst AVG en personenschade – Lastige privacy issues nader belicht 2560 1707 Ekelmans Advocaten
AVG en personenschade
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes

Bij het behandelen van letselschade worden veel (gevoelige) persoonsgegevens verwerkt. Omdat juist bij third party-verzekeringen er vaak geen contractuele relatie is met de betrokkene, en het in de regel ook nog eens over bijzondere persoonsgegevens gaat, duiken er bij letselschadebehandeling vaak ingewikkelde privacy issues op.

Op dinsdag 8 oktober 2019 lopen verzekeringsrecht-specialisten Astrid van Noort en Abdi Youssuf van Ekelmans & Meijer een aantal van de lastigste privacykwesties in letseldossiers voor verzekeraars langs tijdens de bijeenkomst AVG en personenschade bij de Insurance Academy van het Verbond van Verzekeraars. Daarbij behandelen zij concrete vragen van verzekeraars en schetsen een algemeen kader waar AVG-specialisten, privacyjuristen, compliance officers en letselschadebehandelaars van Verzekeraars in de praktijk mee aan de slag kunnen.

Mag een foto met medisch letsel in het technisch dossier worden bewaard? Als een Schade Aangifte Formulier (SAF) details bevat van een ooggetuige, hoe gaan we dan met die persoonsgegevens om? Kan een schaderegelingsbureau zonder toestemming van de benadeelde met zijn werkzaamheden aan de slag? Wat mag ik doen met het BSN van de benadeelde? Deze en soortgelijke vragen staan op 8 oktober centraal.

Meer informatie

Meer informatie vindt u op de website van het Verbond van Verzekeraars.

Wilt u graag eens doorpraten over privacy issues waar u tegenaan loopt, neem dan contact op met Astrid van Noort of Abdi Youssuf.

Contact

Eerste AVG-boete in Nederland voor ziekenhuis: Onnodige inzage patiënt-dossier

Eerste AVG-boete in Nederland voor ziekenhuis: Onnodige inzage patiënt-dossier 1920 1271 Ekelmans Advocaten
boete inzage patientdossier
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes
Expertise:

De Autoriteit Persoonsgegevens (AP) heeft een Haags ziekenhuis een boete van €460.000 opgelegd op grond van de Algemene Verordening Persoonsgegevens (AVG). De AP deed onderzoek nadat het ziekenhuis zelf melding had gedaan van een datalek.

Uit het onderzoek bleek dat vele medewerkers van het ziekenhuis onnodig het medisch dossier van een bekende Nederlander hadden ingezien.

Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn. De AVG bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken. Regelmatige controle dient derhalve plaats te vinden om vast te stellen wie welk dossier raadpleegt. Daarnaast wijst de AP erop dat bij een goede beveiliging een authenticatie hoort waarbij ten minste twee factoren worden betrokken. Dit betekent dat de identiteit van een gebruiker op twee manieren wordt gecontroleerd voordat hij toegang krijgt tot een patiëntendossier, bijvoorbeeld met een code of een wachtwoord in combinatie met een personeelspas of pincode.

Onderzoek AP: Interne beveiliging niet op orde

De AP constateerde dat het ziekenhuis niet voldeed aan haar eigen beveiligingseisen. De logbestanden werden niet regelmatig beoordeeld en evenmin verliep de twee-factor-authenticatie correct. Volgens de AP was er geen sprake van een “passend beveiligingsniveau” zoals dat op grond van de AVG verplicht is.

De AP vindt het een “kwalijke” zaak dat een ziekenhuis de interne beveiliging van patiëntdossiers niet op orde heeft. Hierbij hoort volgens de AP dan ook een ferme boete. “De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn, ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent”, aldus de AP.

Om het ziekenhuis te dwingen de beveiliging van de patiëntdossiers te verbeteren legt de AP naast de bestuurlijke boete van €460.000 ook een last onder dwangsom op. Als het ziekenhuis de beveiliging niet voor 2 oktober 2019 op orde heeft, moet het ziekenhuis elke twee weken dat de overtreding voortduurt een dwangsom van €100.000 betalen, met een maximum van € 300.000.

Het ziekenhuis legt zich niet neer bij de uitspraak van de AP en gaat in beroep.

Heeft u vragen over de manier waarop uw organisatie de verplichtingen van de AVG heeft geregeld? Neemt dan contact op met Astrid van Noort van onze Privacy Desk.

Auteur(s)

Topadvocaten in de zorg: advocaten Ekelmans & Meijer genomineerd

Topadvocaten in de zorg: advocaten Ekelmans & Meijer genomineerd 1400 1082 Ekelmans Advocaten
Astrid van Noort
Leestijd: < 1 minuut
Lesedauer: < 1 Minute
Reading time: < 1 minute

Astrid van Noort, Jan Ekelmans en Robert Kütemann, allen partners bij Ekelmans & Meijer Advocaten zijn genomineerd voor de eervolle titel topadvocaat in de zorg. Voor de derde keer houdt Zorgvisie de verkiezing ‘Topadvocaten gezondheidszorg 2018’. De namen voor de shortlist zijn bekend.

Op deze shortlist staan namen van advocaten die door hun collega-advocaten in de zorg zijn genomineerd. Eind november maakt Zorgvisie de ‘Topadvocaat gezondheidszorg 2018’ bekend. Zorgvisie brengt nieuws en achtergronden op het gebied van beleid en management in de gezondheidszorg.

Contact

Enforcement of the GDPR

Enforcement of the GDPR 1000 465 Ekelmans Advocaten
Enforcement GDPR
Leestijd: 4 minuten
Lesedauer: 4 Minuten
Reading time: 4 minutes
Expertise:

As generally known, on 25 may 2018 the General Data Protection Regulation (GDPR) came into effect. This Regulation conferres the national Data protection authorities to impose hefty fines (up to 20 million euro or 4% of the annual worldwide turnover). In addition, citizens can file a complaint at the national Data protection authority.

Lack of strength

This change in regulation creates a great amount of work for the Data protection authorities. At the meantime, in the Netherlands the capacity to implement the new legislation is seriously doubted.

Although the organisation of the Dutch data protection authority grew from 72 employers to 123, the envisaged growth to 140 employers was not achieved.[1] Furthermore, a number of important people left the organisation. Moreover there would be a good deal of dissatisfaction within the organisation.[2] To mitigate and avoid further turbulences the executive board will soon be extended with a third member.[3] As a consequence of all these circumstances, a lack of authority of the national Data protection authority is presumed.

Differences in points of view between the Dutch Government and the Dutch data protection authority

Furthermore, the request for extra finance of the Data protection authority has also been denied by the responsible Dutch Minister of Justice. The Minister has indicated that no extra money will be provided until “the dust settles”.[4]

Money however is certainly not the only subject of discussion between the Minister of Justice and the Dutch data protection authority. Shortly before the GDPR entered into force the Minister of Justice reassured small and medium-sized enterprises that they should not fear immediate penalties if not GDPR-compliant: ”If you are working on it, the Dutch data protection authority will not be knocking on your front door on de 26 th.[5]

All much to the displeasure of the Dutch data protection authority, that in response to this pronouncement made clear that not the Minister but only the authority is responsible for the enforcement of the legislation and that every organisation, big or small, needs to comply with the Regulation. [6]

Other European countries also inadequately prepared

The Netherlands are not the only European Member State where the ability of the Data protection Authority to respond effectively to violations of the GDPR is questioned.
According to a survey by the press agency Reuters, 17 of the 24 National authorities noted that they did not yet have sufficient financial resources, or at the time of entry did not have sufficient powers to fully carry out the new Regulation. Most of the Member States were even now still required to adjust their national laws. Only 5 of the 24 national Authorities were able to confirm that they have both the sufficient financial resources and the assets to be able to act adequately.[7]

Dutch Insurance Industry in forefront with new Privacy Code of Conduct

Dutch Insurers and foreign insurers operating in the Netherlands however in general have taken significant measures in order to achieve a compliant operation.
In addition, the Dutch Association of Insurers, the sector organisation for the insurance industry, has also acted progressively by drawing up a new Privacy Code of Conduct, the so called “Gedragscode Verwerking Persoonsgegevens Verzekeraars”, which is grafted onto the GDPR and will be submitted for approval to all the Insurers affiliated at the General Members’ Meeting on 20 June 2018.
This Code of Conduct replaces the previous code that was obsolete, partly in view of the both new and advanced technologies in the use of personal data. In case of an affirmative vote by a majority of the Members, this Code of Conduct for insurers will acquire the status of binding self-regulation. Authorised brokers and intermediaries may also choose to commit to the Code of Conduct.
In the Code of Conduct the GDPR is translated into a set of concrete rules for the insurance industry. Important topics are the large-scale analysis of personal data by insurers for determining the premium, and the processing of personal data for the safety and integrity of the sector. The Code of Conduct has not yet been certified in the sense of art. 40 GDPR, because further detailed Directives of the European supervisors are still being prepared.

The implementation of the GDPR in the Netherlands has thus been approached at a sector wide level. The scarce enforcement capacity of the Dutch data protection authority is therefore not expected to be primarily aimed at insurers. Or, as the Dutch data protection authority in an interview with the Dutch Association of Insurers stated: “I do not worry so much about insurers. I have the impression that the sector is well organized.”

[1] “Privacy watchdog with big plans and tight budget”, De Volkskrant, 24 may 2018

[2] “Unrest with privacy watchdog Authority Personal Data”, Het Financieele Dagblad and “Administrative disputes limit authority to the Personal Data Authority”, NOS, 25 mei 2018.

[3] “Dekker is looking for third board member of the Authority for Personal Data”, Het Financieele Dagblad

[4] “Dekker:” not immediately fine for football club due to new privacy law, NOS, 24 mei 2018.

[5] “Minister Dekker: Smaller organizations do not have to expect immediate penalties by AVG”, Algemeen Dagblad, 24 mei 2018.

[6] “Minister speaks in turn about enforcement of privacy law”Het Financieele Dagblad

[7] https://www.reuters.com/article/us-europe-privacy-analysis/european-regulators-were-not-ready-for-new-privacy-law-idUSKBN1I915X

Auteur

De Autoriteit Persoonsgegevens loopt zich warm

De Autoriteit Persoonsgegevens loopt zich warm 1000 465 Ekelmans Advocaten
AP loopt zich warm
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes
Expertise:

In de afgelopen periode heeft de Autoriteit Persoonsgegevens bij ruim 400 overheidsorganisaties gecontroleerd of zij hebben voldaan aan de verplichting tot het aanstellen van een Functionaris voor de Gegevensbescherming (FG). Gebleken is dat een kleine 4% nog niet aan deze verplichting uit de nieuwe Europese Privacywet (AVG) voldoet. Deze organisaties zijn aangeschreven en moeten voor 11 juni 2018 alsnog aan de AP laten weten wie hun FG is. Doen zij dit niet, dan kan een sanctie worden opgelegd.

Wanneer is een FG verplicht?

Art. 37 van de AVG stelt een FG verplicht voor:

  • overheden en publieke organisaties (rijksoverheid, gemeenten en provincies, maar ook zorg- en onderwijsinstellingen), ongeacht het type gegevens dat zij verwerken. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.
  • organisaties die als kernactiviteit op grote schaal individuen volgen of diens activiteiten in kaart brengen (bijvoorbeeld door profiling, cameratoezicht of personeelvolgsystemen).
  • organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken (zoals gezondheidsgegevens en gegevens over ras, politieke opvatting, geloofsovertuiging, seksuele geaardheid of strafrechtelijk verleden)

Waaraan moet een aanmelding FG voldoen?

FG-aanmeldingen moeten via een speciaal op de website van de AP opgenomen “aanmeldingsformulier functionaris voor de gegevensbescherming (FG)” bij de AP worden gedaan.

Let op: eerdere FG-aanmeldingen waarvoor niet dit speciale webformulier van de AP is gebruikt zijn per 25 mei 2018 vervallen. Ook een vrijwillig aangestelde FG moet met dit webfomulier worden aangemeld.

Doorstaat úw bedrijf de toets?

Inmiddels heeft de AP als volgende stap aangekondigd in de private sector tot controle van FG-aanmeldingen over te gaan.

Het is dus aanbevolen binnen uw organisatie niet alleen na te gaan of aan de verplichting tot het aanmelden van de FG is voldaan, maar ook of dit met het door de AP voorgeschreven webformulier is gebeurd.

Mocht u nog vragen hebben over dit onderwerp, dan kunt u contact opnemen met Astrid van Noort.

Auteur

Bewust over privacy

Bewust over privacy 1000 465 Ekelmans Advocaten
Bewust over privacy
Leestijd: < 1 minuut
Lesedauer: < 1 Minute
Reading time: < 1 minute
Expertise:

In Globe, magazine voor internationaal ondernemen, een artikel van Astrid van Noort en Anita Nijboer over privacy. Eind mei treedt er nieuwe privacywetgeving in werking.

Bedrijven moeten dan hun gegevensverwerking goed op orde hebben als ze het risico op hoge boetes of reputatieschade willen vermijden. Dit artikel gaat in op de noodzaak voor ondernemers om zich bewust te zijn van deze nieuwe wetgeving, welke maatregelen zij moeten treffen, hoe het zit met de bewijslast en het internationale gegevensverkeer.

Lees hier het artikel.

Mocht u nog vragen hebben over dit onderwerp, dan kunt u contact opnemen met Astrid van Noort of ons team Privacy Desk.

Contact

Ekelmans Advocaten N.V. gebruikt noodzakelijke en analytische cookies om ervoor te zorgen dat onze website zo goed mogelijk functioneert en om het gebruik van onze website te analyseren en te verbeteren. Wij gebruiken geen cookies voor marketingdoeleinden. Lees hier meer over in onze privacyverklaring en cookieverklaring