Ruben-Veenhuysen-1
 
NL / EN / DE

25 mei 2018 nadert…: bent u al AVG-proof?

Het is 2 voor 12… Over drie maanden wordt de Algemene Verordening Gegevensbescherming ("AVG")[1] van toepassing. Toch zijn er partijen werkzaam in de zorg die nu nog moeten beginnen met het implementeren van de verplichtingen die voortvloeien uit deze nieuwe Europese ‘wet’. Er blijken voorts nog veel zaken te zijn die voor verbetering vatbaar zijn[2].

Even het geheugen opfrissen

Vanaf 25 mei 2018 wordt de AVG van toepassing en dienen partijen die gegevens verwerken, bij de verwerking te voldoen aan de verplichtingen die voortvloeien uit de AVG. De AVG vervangt daarmee de Wet bescherming Persoonsgegevens ("Wbp").

De toezichthoudende autoriteit (Autoriteit Persoonsgegevens, hierna: “AP”) krijgt meer bevoegdheden om te handhaven en kan hogere boetes opleggen aan die partijen die gegevens verwerken zonder daarbij de AVG in acht te nemen. Deze boetes kunnen oplopen tot € 20 miljoen of 4% van de wereldwijde omzet!

Met de AVG komt onder meer de verplichting om de verwerkingen systematisch bij te houden en op te slaan bij de verwerkende partijen te liggen. Daarnaast krijgen burgers van wie de persoonsgegevens worden verwerkt meer mogelijkheden om:

1) te controleren of die persoonsgegevens wel op een juiste manier worden verwerkt; en

2) de persoonsgegevens te laten verwijderen als er geen reden is om ze te verwerken.

In deze bijdrage zal ik de belangrijkste verplichtingen nog eens de revue laten passeren, opdat u kunt nagaan of u daar al aan voldoet.

Functionaris Gegevensbescherming

Deze functionaris ('FG') bestaat al onder de Wbp, maar is facultatief: er geldt geen verplichting om deze aan te stellen. Onder de AVG wordt het aanwijzen van een FG voor organisaties die in de zorg werken nagenoeg altijd verplicht. In de gevallen waarin de verwerkende partij bij het verwerken regelmatig en stelselmatig de personen van wie de persoonsgegevens worden verwerkt op grote schaal moet observeren én wanneer de verwerkende partij hoofdzakelijk is belast met grootschalige verwerking van bijvoorbeeld gegevens die zien op de gezondheid van burgers, dan zal een FG moeten worden aangesteld.

De FG dient om intern te waarborgen dat aan de AVG wordt voldaan: door o.m. het informeren en het geven van advies, het toezien op de naleving van de AVG, het samenwerken met de AP en het optreden als contactpunt voor de AP geeft de FG invulling aan de genoemde waarborg.

Passende technische en organisatorische maatregelen

Voordat kan worden begonnen met het implementeren van de verplichtingen uit de AVG in de eigen organisatie, zal er een inventarisatie moeten worden gemaakt van de gegevensverwerkingen. Welke persoonsgegevens worden verwerkt, met welk doel worden ze verwerkt, van wie zijn de gegevens verkregen, wie heeft toegang tot de persoonsgegevens en met wie worden ze gedeeld.

Als die eerste inventarisatie is uitgevoerd kan (en moet!) in kaart worden gebracht hoe de beveiliging van de persoonsgegevens kan worden gewaarborgd. De AVG bepaalt alleen dat iedere organisatie passende technische en organisatorische maatregelen moet nemen om de beveiliging voldoende te waarborgen. Dit houdt in dat niet van iedere organisatie dezelfde beveiligingsmaatregelen kunnen worden gevergd, áls er maar maatregelen worden genomen.

Verwerkingsregister

Dit register is een nieuw instrument onder de AVG en komt in de plaats van de melding bij de toezichthoudende autoriteit. De verwerkende partijen zijn onder de AVG zelf gehouden om bij te houden welke persoonsgegevens zij verwerken, op basis van welke grondslag, etc.

Het aanleggen van dit register is niet altijd verplicht. Zo hoeven persoonsgegevens verwerkende partijen die minder dan 250 personen in dienst hebben niet aan deze verplichting te voldoen, tenzij het waarschijnlijk is dat de verwerking die zij verrichten risico's met zich brengen of de verwerking persoonsgegevens betreffende onder meer de gezondheid betreffen. Ook kleinere organisaties in de zorg zullen dus al snel verplicht zijn om een Verwerkingsregister aan te leggen.

Om het register aan te kunnen leggen zal moeten worden geïnventariseerd welke gegevens precies worden verwerkt, voor welke categorieën personen, wat het doel van de verwerkingen is, aan welke partijen de gegevens nog meer worden verstrekt, wat de (beoogde) bewaartermijnen zijn, etc.

Meldplicht Datalekken

In het geval dat er zich een datalek[3] voordoet, moet de gegevens verwerkende partij daarvan in beginsel melding doen bij de AP en - onder omstandigheden - ook de betrokkenen daaromtrent informeren. De gegevens van het voorval als zodanig moeten echter ook worden bijgehouden in een register datalekken. Aan de hand van dit register moet de AP kunnen controleren of een datalek al dan niet werd gemeld of er een mededeling aan de betrokkenen en - voor het geval dat dit niet werd gedaan - wat daarvoor de reden was.

Om dit allemaal goed te coördineren en vooral ook af te stemmen met mogelijke derde partijen met wie wordt samengewerkt en die - namens de hoofdverantwoordelijke partij - persoonsgegevens ontvangen en verwerken, is het aan te bevelen een Datalek Protocol op te stellen. In dit protocol wordt vastgelegd wie intern verantwoordelijk is om actie te ondernemen in geval van een datalek, welke informatie deze persoon moet verzamelen, wie verantwoordelijk is voor het nemen van het besluit om het datalek te melden, wie dit gaat doen en wie de registratie van de datalekken bijhoudt.

Privacybeleid

Een belangrijke verplichting bestaat uit het informeren van alle betrokkenen van wie persoonsgegevens worden verwerkt. Deze informatie moet transparant zijn en in begrijpelijke en toegankelijke vorm en in duidelijke en eenvoudige taal worden beschikbaar gesteld.

Ook partijen werkzaam in de zorg doen er dus verstandig aan een privacy beleid op te stellen dat voldoet aan deze voorwaarden. Het privacy beleid bevat in ieder geval de volgende informatie:

  • een beschrijving van de categorieën persoonsgegevens die worden verwerkt;
  • een beschrijving van de doeleinden waarvoor de persoonsgegevens worden verwerkt;
  • de verwerkingsgrondslagen;
  • welke rechten betrokkenen hebben en op welke wijze zij die rechten kunnen uitoefenen;
  • welke organisatorische en technische maatregelen zijn genomen om de persoonsgegevens te beveiligen;
  • een overzicht van de bewaartermijnen.

Conclusie

In deze wake-up call heb ik een overzicht gegeven van de belangrijkste onderwerpen waaraan ondernemingen en organisaties die werkzaam zijn in de zorg moeten denken om te voldoen aan de verplichtingen uit de AVG. Het is echter alleen nog maar het begin, uiteindelijk draait het er om dat iedere partij die met persoonsgegevens werkt zich bewust is van de gevoeligheid daarvan en de risico's die het oplevert als er niet zorgvuldig met persoonsgegevens wordt omgegaan. Daarin ligt dan ook de grootste uitdaging, om daaraan te voldoen.

Deze bijdrage werd geschreven door: mr. Ruben Veenhuysen, rveenhuysen@thuispartners.nl

[1] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

[2] ‘Beveiliging van patiëntgegevens’, adviesbureau PBLQ, Kamerstukken II 2016/17, 31765, 259.

[3] De officiële benaming van een Datalek is: een inbreuk in verband met persoonsgegevens en omvat: "een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens".

Algemene voorwaarden Disclaimer Privacyverklaring