AVG Bewust

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362 of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Als ik een antwoord wil afstemmen met relevante stakeholders (collega FG’s, AP, leden van een Expert Community), kan daar mogelijk iets langer overheen gaan. Incidenteel tref je een zelfde vraag (en antwoord) onder VerantwoordingsplichtKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn rechten als betrokkene 

 of

Rechten

“In reactie op een vraag aan een organisatie kreeg ik te horen: we hebben een FG aangesteld, maakt u zich maar geen zorgen. Met die AVG zit het bij ons wel goed.” Kan ik daar dan op vertrouwen?

Nee, zeker niet. In tegendeel zou ik bijna zeggen, want als dat beeld bestaat binnen een organisatie, is er iets mis. Net zo min als het aanstellen van een vertrouwenspersoon in een organisatie er voor kan zorgen dat een vertrouwensconflict opgelost wordt, is het aanstellen van een FG een garantie dat aan de AVG wordt voldaan.
De organisatie moet zorgen en aantonen(!) dat het “met de AVG wel goed zit”. Dat is niet de taak van een FG. De taak van de FG is er op toe te zien dat die bewering klopt en dat inderdaad aan privacywetgeving wordt voldaan. Op dat punt verschilt zijn rol dus niet met die van de Autoriteit Persoonsgegevens. Overigens kan een FG die rol alleen vervullen als hij daartoe, vanuit een onafhankelijke positie in staat wordt gesteld. Is de FG in dienst bij de organisatie, dan dreigt die onafhankelijkheid soms wel eens in de verdrukking te komen. Dat kan dan een uitdaging betekenen voor zowel de organisatie, maar zeker ook voor de FG. Zie ook deze vraag over wat een FG moet weten en kunnen en deze over het bieden van zekerheid

De Autoriteit Persoonsgegevens (AP) is de toezichthouder die waakt over onze privacy. Een Functionaris voor de Gegevensbescherming (FG) is iemand die er net als de AP op toeziet dat een organisatie voldoet aan de verplichtingen die voortvloeien uit privacywetgeving. Iedere organisatie die persoonsgegevens verwerkt kan een FG aanstellen. Sommige organisaties zijn het bij wet verplicht. De aanstelling is een feit na aanmelding bij de Autoriteit Persoonsgegevens (AP). Als zich calamiteiten voordoen dan zal de Autoriteit Persoonsgegevens veelal (ook) contact zoeken met de FG. De onafhankelijke positie van een FG moet dus zijn geborgd. Zie ook deze vraag

In een brief van de AP aan de NVZ stelt de AP op 7 oktober 2016, dat “bij de patiënt-authenticatie voor communicatie met en onder verantwoordelijkheid van de zorgaanbieder in beginsel dient te worden uitgegaan van een ‘hoog betrouwbaarheidsniveau’ en dat in gevallen waar het gaat om gegevens waarop het medisch beroepsgeheim van de zorgverlener rust het ‘hoogste betrouwbaarheidsniveau’ vereist is.”

In de brief van de Autoriteit Persoonsgegevens aan de voorzitter van het Informatieberaad Zorg van 4 oktober 2018 wordt herhaald dat, “door het ontbreken van een brede beschikbaarheid van middelen die toezien op het vaststellen van betrouwbaarheidsniveau “substantieel” dan wel het voor de zorg vereiste “hoog”, de elektronische uitwisseling van gegevens over de gezondheid tussen zorgaanbieders en patiënten in beginsel niet kan plaatsvinden omdat de bescherming van persoonsgegevens, waaronder gegevens over gezondheid, dan onvoldoende is gewaarborgd ” In de brief wordt gesteld dat “brede beschikbaarheid van betrouwbaarheidsniveaus “substantieel” en “hoog” voor alle patiënten  nog enige tijd in beslag zal nemen.

In de brief wordt niet gesproken over de uitwisseling tussen zorgverleners. Voor zover ik weet beschikken die ook niet over de middelen om een passend betrouwbaarheidsniveau toe te passen. Is dat dan volgens de AP wel toegestaan?  

Hoewel de focus in de brieven waaraan u refereert lijkt te liggen op het raadplegen (de toegang tot gegevens – ook wel pull genoemd), heeft u me in een gesprek duidelijk gemaakt dat uw vraag ook betrekking heeft op versleuteling van de inhoud van berichten op een zodanige wijze dat zekerheid bestaat over de verzender en dat alleen de ontvanger kennis kan nemen van die inhoud (end-to-end encryptie). Die middelen zijn inderdaad nu nog niet breed beschikbaar. En ja, op dit moment is sprake is van uitwisseling van berichten zonder dat de vereiste zekerheid bestaat over verzender. En ja, het is niet uit te sluiten dat naast de beoogd ontvanger ook anderen van de inhoud van het bericht over u kennis nemen.  

Omdat het in de gezondheidszorg geen optie is om niet uit te wisselen, zullen verwerkingsverantwoordelijken dus moeten roeien met de riemen die men op dit moment heeft, waarbij ieder risico van onbevoegde kennisname zoveel mogelijk wordt uitgesloten. Of in AVG termen.. daartoe “passende technische en organisatorische maatregelen” moeten nemen. Met dat begrip passend wordt dus ook rekening gehouden met het ontbreken van die “breed beschikbare middelen” op dit moment.  

Zie voor aanvullende informatie ook deze pagina.

Op de site van de Autoriteit Persoonsgegevens wordt aangegeven wat de competenties (dienen te) zijn van een Functionaris voor de Gegevensbescherming, onder welke condities deze zijn werkzaamheden moet kunnen vervullen en wordt de onafhankelijke rol van een FG benadrukt.

Nee. Zoals in reactie op een andere vraag gesteld kan de invloed van een FG van veel factoren afhankelijk zijn.  Niet alleen de competenties van de FG spelen een rol, maar ook de randvoorwaarden waarin de FG zijn rol kan vervullen.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport