AVG Bewust

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362 of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Als ik een antwoord wil afstemmen met relevante stakeholders (collega FG’s, AP, leden van een Expert Community), kan daar mogelijk iets langer overheen gaan. Incidenteel tref je een zelfde vraag (en antwoord) onder VerantwoordingsplichtKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn rechten als betrokkene 

 of

Rechten

“In reactie op een vraag aan een organisatie kreeg ik te horen: we hebben een FG aangesteld, maakt u zich maar geen zorgen. Met die AVG zit het bij ons wel goed.” Kan ik daar dan op vertrouwen?

Nee, zeker niet. In tegendeel zou ik bijna zeggen, want als dat beeld bestaat binnen een organisatie, is er iets mis. Net zo min als het aanstellen van een vertrouwenspersoon in een organisatie er voor kan zorgen dat een vertrouwensconflict opgelost wordt, is het aanstellen van een FG een garantie dat aan de AVG wordt voldaan.
De organisatie moet zorgen en aantonen(!) dat het “met de AVG wel goed zit”. Dat is niet de taak van een FG. De taak van de FG is er op toe te zien dat die bewering klopt en dat inderdaad aan privacywetgeving wordt voldaan. Op dat punt verschilt zijn rol dus niet met die van de Autoriteit Persoonsgegevens. Overigens kan een FG die rol alleen vervullen als hij daartoe, vanuit een onafhankelijke positie in staat wordt gesteld. Is de FG in dienst bij de organisatie, dan dreigt die onafhankelijkheid soms wel eens in de verdrukking te komen. Dat kan dan een uitdaging betekenen voor zowel de organisatie, maar zeker ook voor de FG. Zie ook deze vraag over wat een FG moet weten en kunnen en deze over het bieden van zekerheid

Op de site van de Autoriteit Persoonsgegevens lees ik heel veel over het gebruik van foto’s en filmbeelden en vooral dat die alleen gebruikt mogen worden als ik daar toestemming voor heb gegeven. Mij is echter nooit om toestemming gevraagd. Wat nu?

Het is een gegeven dat dagelijks zeer veel films en foto’s gemaakt. Soms is daarvoor een aanleiding, maar soms is die er ook helemaal niet. Ook is het een gegeven dat als dat gebeurt, lang niet altijd nagedacht wordt over de wens van degene die wordt gefotografeerd of gefilmd. Laat staan dat om toestemming wordt gevraagd. Als dat je overkomt of overkomen is, ga dan het gesprek aan met de persoon die de opname heeft gemaakt, of de contactpersoon (of, indien aangesteld de FG) van de betreffende organisatie en probeer in goed overleg met elkaar tot een bevredigende oplossing te komen. Bij dat overleg is het van belang is dat alle betrokken partijen zich bewust zijn van

  • het feit dat je de AVG zowel kunt beschouwen vanuit de letter (juridisch) als de geest (de bedoeling);
  • die bedoeling richt zich op grondrechten m.b.t. de bescherming van privacyrechten van de betrokkene;
  • dat er voor zowel de verantwoordelijke als betrokkene nog altijd veel uitdagingen bestaan om naar de letter en in de geest van de AVG te handelen
  • de impact van de te nemen maatregelen omvangrijk is en dat soms niet valt te ontkomen aan het stellen van prioriteiten

De Autoriteit Persoonsgegevens (AP) is de toezichthouder die waakt over onze privacy. Een Functionaris voor de Gegevensbescherming (FG) is iemand die er net als de AP op toeziet dat een organisatie voldoet aan de verplichtingen die voortvloeien uit privacywetgeving. Iedere organisatie die persoonsgegevens verwerkt kan een FG aanstellen. Sommige organisaties zijn het bij wet verplicht. De aanstelling is een feit na aanmelding bij de Autoriteit Persoonsgegevens (AP). Als zich calamiteiten voordoen dan zal de Autoriteit Persoonsgegevens veelal (ook) contact zoeken met de FG. De onafhankelijke positie van een FG moet dus zijn geborgd. Zie ook deze vraag

Ja dat kan lastig zijn. Sowieso is de tekst van de GDPR / AVG soms al lastig te volgen. En helaas zijn de teksten op B1 niveau over dit onderwerp (nog) niet overvloedig voor handen, laat staan in meerdere talen. Zo er al een familielid of tolk voorhanden is, zal die ook moeite hebben met het onderwerp. Ik heb zo snel dus geen oplossing. Maar wellicht kun je iets met de site EUR-Lex van de Europese Unie. Die biedt namelijk niet alleen de mogelijkheid om de Verordening te raadplegen, maar ook in verschillende talen naast elkaar te leggen. Het is overigens de bedoeling dat symbolen op termijn een oplossing moeten bieden, maar die is nu nog niet voorhanden.

Als uw zorgverlener aannemelijk kan maken dat er een ander, zwaarder wegend belang is dan het recht waarop u zich beroept, dan hoeft hij uw verzoek niet te honoreren. Uw zorgverlener moet rekening houden met de bewaarplicht van financiële gegevens en de bewaarplicht m.b.t. het medisch dossier. Maar ook ingeval het conflict tussen u beiden is geëscaleerd tot een juridisch conflict, kan hij zich beroepen op het eigen belang. In de KNMG richtlijn ‘Omgaan met medische gegevens’ worden nog meer voorbeelden gegeven. Er zijn wetsvoorstellen om de huidige wetgeving m.b.t. de bewaartermijn van gegevens aan te passen. Een korte samenvatting van een onlangs gepubliceerde nota van Minister Bruins treft u op deze site onder Thema’s achter het kopje Bewaarplicht en wissen.

Nee. Je zorgverlener is wel verplicht om je identiteit vast te stellen aan de hand van uw BSN nummer (zie ook deze vraag), maar kan dan volstaan met het overnemen van het nummer van het identiteitsbewijs zoals het nummer van je paspoort. In tegenstelling tot wat veel mensen denken, zijn er maar een paar organisaties die die wel verplicht zijn om een kopie van uw identiteitsbewijs te maken. Met het oog op risico’s is het sterk af te raden om je paspoort of rijbewijs zomaar af te geven om een kopietje te laten maken! Als je zelf een kopie maakt en het BSN afdekt of goed doorstreept of de KopieID app gebruikt kun je de risico’s op identiteitsfraude verkleinen. Zie ook dit filmpje en de informatie op deze pagina.

Update AP 13-02 met nadere toelichting

Jazeker heeft dat consequenties. Zowel voor jullie als voor de verwerker waarmee je een overeenkomst hebt. De vraag is ook gesteld aan de Autoriteit Persoonsgegevens. De AP heeft toegezegd begin 2019 meer duidelijkheid te zullen verschaffen. Op de site van de AVG Helpdesk Zorg Welzijn & Sport zijn een aantal vragen en antwoorden toegevoegd. https://www.avghelpdeskzorg.nl/onderwerpen/brexit

Als alternatief inlogmiddel naast DigiD is tot 31-12-2018 een pilot gedraaid met Idensys. Naast een aantal gemeenten en verzekeraars heeft een aantal zorgpartijen aan deze pilot deelgenomen. De ervaringen opgedaan tijdens deze pilot zijn van belang voor het programma Impuls eID dat moet voorzien in de brede uitrol van authenticatiemiddelen van voldoende hoog betrouwbaarheidsniveau door BZK. Zie deze pagina voor een uitgebreidere toelichting of direct naar de brief aan de 2e Kamer van Staatssecretaris Knops van BZK van 29-02-2019 over de voortgang en aanpak

Geen. Met zekerheidsniveau en betrouwbaarheidsniveau wordt hetzelfde bedoeld.

In een brief van de AP aan de NVZ stelt de AP op 7 oktober 2016, dat “bij de patiënt-authenticatie voor communicatie met en onder verantwoordelijkheid van de zorgaanbieder in beginsel dient te worden uitgegaan van een ‘hoog betrouwbaarheidsniveau’ en dat in gevallen waar het gaat om gegevens waarop het medisch beroepsgeheim van de zorgverlener rust het ‘hoogste betrouwbaarheidsniveau’ vereist is.”

In de brief van de Autoriteit Persoonsgegevens aan de voorzitter van het Informatieberaad Zorg van 4 oktober 2018 wordt herhaald dat, “door het ontbreken van een brede beschikbaarheid van middelen die toezien op het vaststellen van betrouwbaarheidsniveau “substantieel” dan wel het voor de zorg vereiste “hoog”, de elektronische uitwisseling van gegevens over de gezondheid tussen zorgaanbieders en patiënten in beginsel niet kan plaatsvinden omdat de bescherming van persoonsgegevens, waaronder gegevens over gezondheid, dan onvoldoende is gewaarborgd ” In de brief wordt gesteld dat “brede beschikbaarheid van betrouwbaarheidsniveaus “substantieel” en “hoog” voor alle patiënten  nog enige tijd in beslag zal nemen.

In de brief wordt niet gesproken over de uitwisseling tussen zorgverleners. Voor zover ik weet beschikken die ook niet over de middelen om een passend betrouwbaarheidsniveau toe te passen. Is dat dan volgens de AP wel toegestaan?  

Hoewel de focus in de brieven waaraan u refereert lijkt te liggen op het raadplegen (de toegang tot gegevens – ook wel pull genoemd), heeft u me in een gesprek duidelijk gemaakt dat uw vraag ook betrekking heeft op versleuteling van de inhoud van berichten op een zodanige wijze dat zekerheid bestaat over de verzender en dat alleen de ontvanger kennis kan nemen van die inhoud (end-to-end encryptie). Die middelen zijn inderdaad nu nog niet breed beschikbaar. En ja, op dit moment is sprake is van uitwisseling van berichten zonder dat de vereiste zekerheid bestaat over verzender. En ja, het is niet uit te sluiten dat naast de beoogd ontvanger ook anderen van de inhoud van het bericht over u kennis nemen.  

Omdat het in de gezondheidszorg geen optie is om niet uit te wisselen, zullen verwerkingsverantwoordelijken dus moeten roeien met de riemen die men op dit moment heeft, waarbij ieder risico van onbevoegde kennisname zoveel mogelijk wordt uitgesloten. Of in AVG termen.. daartoe “passende technische en organisatorische maatregelen” moeten nemen. Met dat begrip passend wordt dus ook rekening gehouden met het ontbreken van die “breed beschikbare middelen” op dit moment.  

Zie voor aanvullende informatie ook deze pagina.

Hoe lang blijft een eerder door mij gegeven toestemming geldig? Is voorzien in een herijking? 

In de tekst van een document op de site van de Autoriteit Persoonsgegevens staat: “De AVG verschaft geen specifieke termijn voor  hoe lang  toestemming geldig blijft.  Hoe lang toestemming  geldig  blijft,  hangt af  van de context,  de werkingssfeer van de oorspronkelijke toestemming en de verwachtingen van de betrokkene.  Wanneer de  verwerkingsactiviteiten veranderen of  in aanzienlijke mate  transformeren, is de oorspronkelijke toestemming niet meer geldig. Indien dit het geval is, moet opnieuw toestemming worden verkregen.

Geadviseerd wordt om toestemming “met passende tussenpozen” te  vernieuwen. Ook  hier helpt het verstrekken van alle informatie om  ervoor te  zorgen dat de betrokkene goed geïnformeerd blijft over hoe zijn of haar gegevens worden gebruikt, en hoe zijn of haar rechten kunnen worden uitgeoefend.

Kernwoord(en): Artikel 7, Toestemming

Regelmatig lees ik berichten over datalekken bij de overheid, banken en ziekenhuizen. Daarbij wordt dan uitvoerig aandacht besteed aan de gevolgen voor die organisatie. Zelden lees ik iets over de (mogelijke) gevolgen voor de groep betrokkenen. Waarom eigenlijk niet?

Goede vraag waar ik ook zo snel geen antwoord op kan geven. Maar misschien helpt het als deze vraag wat vaker wordt gesteld. In ieder geval is hier op verschillende overlegtafels aandacht voor gevraagd.

Kernwoord(en): Datalek, Gevolgen

Mijn verwerkingsverantwoordelijke laat weten dat hij “AVG gecertificeerd” is. Ik lees op de site van de Autoriteit Persoonsgegevens dat ik wordt misleid. Ook lees ik op de betreffende pagina van de de kreet “In de gaten houden” . Wat staat me te doen? 

Het is niet uit te sluiten dat de verwerkingsverantwoordelijke ook is misleid en in vertrouwen (en wellicht ook tegen betaling) dit certificaat heeft aanvaard. Stel dus de vraag in elk geval aan uw verwerkingsverantwoordelijke. Maak hem attent op het bericht van de toezichthouder en wellicht kunt u hier dan in gezamenlijkheid melding van maken bij de Autoriteit Persoonsgegevens. Dat kan via deze pagina. U bepaalt beiden zelf of u daar een klacht van maakt of een tip.

Mijn zorgverlener heeft zonder mijn toestemming dossiersgegevens van mij aan een andere zorgverlener verstrekt. Nu stelt hij dat hij dat voor het actief verstrekken van dossiergegevens (push) zonder mijn toestemming mag en dat mijn toestemming alleen is vereist als hij anderen rechtstreeks toegang geeft tot mijn dossiergegevens die in zijn systeem staan (pull). Is dat juist?

Een zorgverlener is vanaf juli 2017 verplicht om zijn cliënt te informeren over de elektronische gegevensuitwisseling en toestemming te vragen voor het beschikbaar stellen van de cliëntgegevens via een electronisch uitwisselingssysteem. Er wordt dus aan de cliënt gevraagd of hij ermee akkoord is dat andere zorgverleners (die hem behandelen) ook zijn medische gegevens via het elektronisch uitwisselingssysteem kunnen raadplegen. In alle gevallen geldt dat het zorgverleners betreffen die rechtstreeks bij de behandeling zijn betrokken. Eén en ander is al geregeld in 2017 via de Wet Cliëntenrechten bij elektronische gegevensverwerking in de zorg. Zie voor een verdere toelichting rijksoverheid.nl

Geanonimiseerde gegevens zijn geen persoonsgegevens. Voor het verstrekken van anonieme gegevens hoeft uw zorgverlener dan ook geen toestemming te vragen. Als dat wel gebeurt, is dat dus met elkaar in tegenspraak. Er zijn echter onderzoeken bekend die met het verstrekken van anonieme gegevens zijn gestart, maar die, door het uitvragen van meer persoonsgegevens inmiddels wel tot een persoon herleidbaar zijn. Daarmee zijn het persoonsgegevens en is wel expliciete toestemming vereist.

Ja, maar wel op een veilige manier. Pas nadat gecontroleerd is of u degene bent die hoort bij het BSN mag het BSN in de administratie worden opgenomen. De zorgverlener controleert dit aan de hand van uw identiteitsbewijs. Als een behandelingsovereenkomst tot stand is gekomen, is iedere zorgaanbieder sinds 1 juni 2009 wettelijk verplicht om het Burgerservicenummer (BSN) in zijn administratie op te nemen en te gebruiken bij de uitwisseling van gegevens. Dit is geregeld in de Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg (WABVPZ).

De wetgever stelt wel voorwaarden aan het gebruik van het BSN. Via het Besluit elektronische gegevensverwerking door zorgaanbieders worden nadere regels gesteld over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders. Zorgaanbieders zijn verplicht om te voldoen aan de NEN normen voor informatiebeveiliging  (NEN 7510, 7511 en 7512).

Uit uw toelichting blijkt dat de betreffende persoon niet in dienst is en dat u (mede daarom)  de toestemmingsverklaring niet wenst te tekenen. U voelt zich ook onder druk gezet. Het is vervelend voor uw zorgverlener, maar hij mag niet van uw verlangen om de toestemmingsverklaring te ondertekenen.

  1. De administratieve kracht heeft geen behandelingsrelatie met u
  2. Er is geen gezagsverhouding tussen de verwerkingsverantwoordelijke en de administratieve kracht.

Zie in dit verband ook deze FAQ

Zorgverleners moeten kunnen aantonen dat aan de identificatieplicht is voldaan. Om dat te doen wordt het het type en het nummer van het identiteitsbewijs in de administratie vastgelegd. Kopie of scan maken  (waarbij alle persoonsgegevens zichtbaar zijn) is niet toegestaan.  Zie ook de site van de Autoriteit Persoonsgegevens.

Nee dat kan niet. Tenzij sprake is van opzet, grove of ernstige nalatigheid (die dan wel door de werkgever moet worden aangetoond) kan je als werknemer niet persoonlijk aansprakelijk wordt gesteld voor de gevolgen van een datalek. Dit soort incidenten komen voor rekening van de werkgever (artikel 6:170 BW).

Kernwoord(en): Aansprakelijkheid

De Wet Geneeskundige Behandelingsovereenkomst (WGBO) is de wettelijke basis om (bijzondere) persoonsgegevens vast te leggen. De vorm is vrij. Hij hoeft dus niet schriftelijk te worden aangegaan. De WGBO verlangt dossiervoering en daarvoor is geen toestemming vereist. Samenvattend: de AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. De bijzondere omstandigheden die gelden voor minderjarigenen wilsonbekwame personen golden reeds voordat de AVG van toepassing werd en gelden dus nog steeds.

Zie voor details de huidige WGBO (Wet Geneeskundige Behandelingsovereenkomst)

Met het intrekken van uw toestemming bewijst u uw zorgverlener misschien wel een dienst. Uw besluit kan wellicht bijdragen aan betere afspraken tussen hem en de partij die uw gegevens verzamelt of in wiens opdracht uw gegevens worden verzameld. Laat in uw bericht aan uw zorgverlener duidelijk blijken aan welke zekerheden u behoefte heeft.

Persoonlijke werkaantekeningen ook wel geheugensteuntjes genoemd zijn niet bedoeld voor andere ogen dan de de zorgverlener zelf. Ze maken dus geen deel uit van het medisch dossier en vallen dus buiten het inzagerecht van de patiënt.  Medische diagnoses (denk ook aan de authenticiteit – de bron) en conclusies van de zorgverlener op basis van eigen bevindingen maken wel deel uit van het dossier en daarvoor geldt dus wel het inzagerecht.

Tweefactor-authenticatie (2FA) is een extra beveiliging voor toegang tot gegevens via een netwerk. Zie deze pagina voor meer informatie.

Om meer zekerheid te krijgen over de identiteit van iemand die fysiek toegang zoekt tot een computer, laptop of tablet wordt doorgaans gebruik gemaakt van specifieke fysieke kenmerken: biometrische gegevens. Denk daarbij aan een irisscan of je vingerafdruk.

Op de site van de Autoriteit Persoonsgegevens tref je naast extra informatie ook antwoorden op vragen over biometrie.

Als de sheets niet goed worden weergegeven maak je waarschijnlijk gebruik van de nieuwe browser Edge van MicroSoft.  Je zult zien dat als je de pagina’s benadert met Internet Explorer van MicroSoft, Safari, Firefox of Chrome dat de plaatjes dan prima zichtbaar zijn.

Op de site van de Autoriteit Persoonsgegevens wordt vermeld wanneer en hoe u een organisatie kunt vragen om uw persoonsgegevens te wissen en wanneer u dat recht niet kunt uitoefenen.  De Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) verlangt van een zorgverlener dat de dossiergegevens 15 jaar worden bewaard. Zie in dit verband ook artikel 455 van de WGBO (Wet Geneeskundige Behandelingsovereenkomst)

Op de site van de AVG Helpdesk Zorg, Welzijn en Sport wordt uitvoerig op het onderwerp toestemming ingegaan.

Kernwoord(en): Opt-in, Toestemming

Hoewel artikel 17 van de AVG stelt dat een betrokkene dat van een verwerkingsverantwoordelijke mag verlangen (en dat de laatste daartoe verplicht is), geldt die verplichting niet onder alle omstandigheden. Artikel 17 lid 3 beschrijft dat het “recht op vergetelheid” niet van toepassing is als sprake is van een algemeen belang op het gebied van de volksgezondheid.

Dat algemeen belang wordt onder meer beschreven in Artikel 9 lid 2h: “de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg

Op de site van de Autoriteit Persoonsgegevens wordt vermeld wanneer en hoe u een organisatie kunt vragen om uw persoonsgegevens te wissen en wanneer u dat recht niet kunt uitoefenen.

Zie in dit verband ook artikel 455 van de WGBO (Wet Geneeskundige Behandelingsovereenkomst)

Nee dat mag inderdaad niet. Gegevens over gezondheid zijn “bijzondere” persoonsgegevens. Staan die gegevens online dan moet diegene die toegang zoekt moet iets extra’s doen om meer zekerheid te hebben over degene die de gegevens benadert. Bijvoorbeeld door een QR code te scannen, of een code invoeren die via SMS is toegestuurd naar een bekend mobiel nummer. We spreken dan over een ander zekerheidsniveau. In dit geval door middel van 2 factor authenticatie of 2FA. Ga hierover in overleg met uw zorgverlener. Voor meer informatie over zekerheidsniveaus kun je terecht op deze pagina of dit document.

Op de site van de Autoriteit Persoonsgegevens wordt aangegeven wat de competenties (dienen te) zijn van een Functionaris voor de Gegevensbescherming, onder welke condities deze zijn werkzaamheden moet kunnen vervullen en wordt de onafhankelijke rol van een FG benadrukt.

Op het moment dat u om toestemming is/wordt gevraagd moet voor u glashelder zijn waarvoor u die toestemming geeft. Uw zorgverlener zal u dus precies moeten kunnen zeggen welke gegevens van u de deur uit gaan. Kan hij dat niet dan rest u niets anders dan uw teleurstelling – misnoegen te laten blijken en uw toestemming onmiddellijk weer in te trekken. Er is immers geen sprake van een informed consent … de basis van een opt-in. Uw zorgverlener dient zich te realiseren dat ook de opt-in’s voor alle overige patiënten die aan hetzelfde onderzoek deelnemen niet rechtsgeldig zijn. Uw zorgverlener kan alleen verantwoordelijkheid nemen voor zaken die hem bekend zijn. Zijn verwerker moet hem in staat stellen zicht te hebben op de geëxporteerde data die klaar staan om te worden verzonden. De verwerker dient een verwerkingsverantwoordelijke in staat te stellen een export voor verzending te autoriseren of af te wijzen.

De AVG verlangt, dat u als betrokkene weet wie toegang heeft tot uw persoonsgegevens. Zeker als dat gegevens over uw gezondheid zijn. De wet verlangt ook dat u daarover geïnformeerd bent. Uit uw vraag blijkt dat dat (nog) niet het geval is. Vraag uw behandelaar daarom hoe het zit.

Wat het laatste deel van uw vraag betreft.. u bent degene die zeggenschap heeft over de toegang tot uw dossiergegevens. Wettelijk gezien zijn alleen zorgaanbieders die een behandelrelatie met u hebben daartoe gerechtigd. In de praktijk blijkt het echter (nu nog) niet altijd mogelijk om te voorkomen dat ook andere medewerkers in de praktijk toegang uw dossier hebben. Uw behandelaar heeft de plicht u daarover te informeren. Wellicht kan hij daarbij ook al laten weten wanneer dat wel goed geregeld is. Uw behandelaar moet registreren dat u van één en ander op de hoogte bent gesteld, dat u zich daarmee akkoord heeft verklaard en op welk moment (datum-tijdstip) u dat heeft gedaan. In dat geval spreekt men van informed consent.

Ja dat is de Wet Cliëntenrechten bij elektronische verwerking van gegevens in de zorg. In die wet worden de rechten van de patiënt en de plichten van de zorgverlener genoemd. (zie dit document en in het bijzonder de matrices). De in het document aangegeven termijn waarop de patiënt kan beschikken over een elektronische versie van zijn gegevens (2020) strookt niet met artikel 20 van de AVG die op 25-05-2018 van kracht wordt. Omdat in geval de verordening boven de wet gaat is snel duidelijkheid gewenst en aanleiding voor overleg op diverse niveau’s.

De wet Cliëntenrechten bij elektronische verwerking van gegevens van gegevens treedt op 1 juli 2017 in werking. Enkele wettelijke bepalingen zijn daarvan uitgezonderd: de bepalingen die patiënten het recht geven op elektronische inzage en elektronisch afschrift en het recht gespeci ceerd toestemming te geven. Deze wettelijke bepalingen treden op 1 juli 2020 in werking. Zorgverleners krijgen dus nog even de tijd om aan die specifieke wettelijke bepalingen te voldoen. zie voor een verdere toelichting rijksoverheid.nl

Het recht van inzage (AVG artikel 15) biedt veel van de bouwstenen voor de privacyverklaring. In overweging 63 op pagina 12 van de AVG wordt dit nader geduid:

Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren.

Dit houdt ook in dat betrokkenen het recht dienen te hebben op inzage in hun persoonsgegevens betreffende hun gezondheid, zoals de gegevens in hun medisch dossier, dat informatie bevat over bijvoorbeeld diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en verrichte behandelingen of ingrepen. Elke betrokkene dient dan ook het recht te hebben, te weten en te worden meegedeeld voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoe lang zij worden bewaard, wie de persoonsgegevens ontvangt, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de persoonsgegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zijn.

Nee. Zoals in reactie op een andere vraag gesteld kan de invloed van een FG van veel factoren afhankelijk zijn.  Niet alleen de competenties van de FG spelen een rol, maar ook de randvoorwaarden waarin de FG zijn rol kan vervullen.

Is nog een uitdaging. Er zijn weliswaar een aantal oplossingen maar die hebben als nadeel dat ze “leveranciersgebonden” zijn. In het verlengde van een project “Veilige mail” onder auspiciën van het Informatieberaad Zorg heeft in december 2018 een groot aantal partijen een intentieverklaring ondertekend om te komen tot een veilige en gebruiksvriendelijke en leveranciersonafhankelijke berichtuitwisseling.

Dat is inderdaad een bekend gegeven. Hoewel dit door sommige leveranciers stelselmatig wordt ontkend, zorgt dit voor een ‘vendor lock-in’. Het is dus zaak om bij het aangaan van een overeenkomst met een verwerker ook goede ‘exit’ afspraken te maken, dan wel bestaande afspraken op dit punt tijdig te herzien.  Daarbij kan het wellicht helpen door te verwijzen naar  Artikel 20 van de AVG (bedoeld om betrokkenen “drempelloos” over te kunnen laten stappen naar een andere dienstverlener)

Tenzij extra maatregelen worden genomen zoals end-to-end encryptie kunnen onbevoegden kennis nemen van de inhoud van een bericht. Daarnaast is op mailservers zonder moeite na te gaan wie met wie communiceert. Om dit te voorkomen dient voor een verantwoorde en veilige uitwisseling gebruik te worden gemaakt van een omgeving die specifiek is ingericht voor veilige overdracht van vertrouwelijke gegevens. Binnen MedMij worden daarvoor de randvoorwaarden in kaart gebracht en wordt getest in proefomgevingen die voldoen aan de in de AVG gestelde randvoorwaarden. Ook heeft het Informatieberaad zorg het onderwerp ‘Veilige mail‘ geadresseerd en tenslotte is het Ministerie van BZK bezig het het vinden van een alternatief voor DIGID als digitaal paspoort.

In Artikel 13 van de AVG wordt aangegeven wat in een privacyverklaring dient te zijn opgenomen.  Zie het overzicht op deze pagina. Die verklaring bevat veel elementen uit het verwerkingsregister (Artikel 30). Er is een gratis tool beschikbaar om deze samen te stellen.

Ja. Alle relaties waarvan u reeds persoonsgegevens hebt geregistreerd dient u te informeren. Dat kan door hen te verwijzen naar een privacyverklaring op de site. Om onduidelijkheid of problemen achteraf te voorkomen is het verstandig om vast te leggen dat men

  • is geïnformeerd
  • de inhoud van de verklaring heeft begrepen
  • en daarmee akkoord is gegaan

De term zekerheidsniveau heeft te maken met de zekerheid over iemands identiteit. Ook wordt wel de term betrouwbaarheidsniveau gehanteerd. Als iemand via een netwerk toegang wordt gegeven tot persoonsgegevens is het van belang om zeker te stellen dat alleen diegene toegang heeft die daartoe bevoegd is. Technologische ontwikkelingen, toenemende risico’s en de toenemende gevolgschade, zorgen voor een evolutie, waardoor de eenvoudige combinatie van een gebruikersnaam en wachtwoord (niveau 1. basis) is vervangen door het scannen van een QR-code en invoer van een pincode (bij gebruik van een app) of met een sms bericht naar een geverifieerde mobiele telefoon (niveau 2. midden) wat ook wel 2 factor authenticatie of 2FA wordt genoemd.

Dat was voldoende voor de toegang tot medische gegevens, maar inmiddels volstaat ook dat niet meer en wordt feitelijk het hoogste niveau, niveau 4. hoog verlangd. Klik hier voor een overzicht met voorbeelden van vereiste betrouwbaarheidsniveau’s bij een aantal verschillende diensten.

Omdat de daarvoor noodzakelijke middelen nog niet grootschalig en gebruiksvriendelijk voor handen zijn – en er bovendien een ander systeem (Idensys) is ontwikkeld – volstaat voorlopig nog niveau 2 (dus 2 FA) voor de toegang tot bijzondere persoonsgegevens zoals gegevens over gezondheid. Zie deze pagina voor meer informatie.

Ja. Personen die overwegen om lid van een vereniging te worden – maar ook bestaande leden – moeten weten wat er met hun persoonsgegevens gebeurt. Op deze pagina kun je zien wat er in een privacyverklaring moet staan.

Ja. Verenigingen verwerken persoonsgegevens en zijn dus verwerkingsverantwoordelijke. Alle in de AVG opgenomen artikelen zijn dus ook op verenigingen van toepassing.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport