AVG Bewust

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362 of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Als ik een antwoord wil afstemmen met relevante stakeholders (collega FG’s, AP, leden van een Expert Community), kan daar mogelijk iets langer overheen gaan. Incidenteel tref je een zelfde vraag (en antwoord) onder VerantwoordingsplichtKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn rechten als betrokkene 

 of

Rechten

Op de site van de Autoriteit Persoonsgegevens lees ik heel veel over het gebruik van foto’s en filmbeelden en vooral dat die alleen gebruikt mogen worden als ik daar toestemming voor heb gegeven. Mij is echter nooit om toestemming gevraagd. Wat nu?

Het is een gegeven dat dagelijks zeer veel films en foto’s gemaakt. Soms is daarvoor een aanleiding, maar soms is die er ook helemaal niet. Ook is het een gegeven dat als dat gebeurt, lang niet altijd nagedacht wordt over de wens van degene die wordt gefotografeerd of gefilmd. Laat staan dat om toestemming wordt gevraagd. Als dat je overkomt of overkomen is, ga dan het gesprek aan met de persoon die de opname heeft gemaakt, of de contactpersoon (of, indien aangesteld de FG) van de betreffende organisatie en probeer in goed overleg met elkaar tot een bevredigende oplossing te komen. Bij dat overleg is het van belang is dat alle betrokken partijen zich bewust zijn van

  • het feit dat je de AVG zowel kunt beschouwen vanuit de letter (juridisch) als de geest (de bedoeling);
  • die bedoeling richt zich op grondrechten m.b.t. de bescherming van privacyrechten van de betrokkene;
  • dat er voor zowel de verantwoordelijke als betrokkene nog altijd veel uitdagingen bestaan om naar de letter en in de geest van de AVG te handelen
  • de impact van de te nemen maatregelen omvangrijk is en dat soms niet valt te ontkomen aan het stellen van prioriteiten

Ja dat kan lastig zijn. Sowieso is de tekst van de GDPR / AVG soms al lastig te volgen. En helaas zijn de teksten op B1 niveau over dit onderwerp (nog) niet overvloedig voor handen, laat staan in meerdere talen. Zo er al een familielid of tolk voorhanden is, zal die ook moeite hebben met het onderwerp. Ik heb zo snel dus geen oplossing. Maar wellicht kun je iets met de site EUR-Lex van de Europese Unie. Die biedt namelijk niet alleen de mogelijkheid om de Verordening te raadplegen, maar ook in verschillende talen naast elkaar te leggen. Het is overigens de bedoeling dat symbolen op termijn een oplossing moeten bieden, maar die is nu nog niet voorhanden.

Op het moment dat u om toestemming is/wordt gevraagd moet voor u glashelder zijn waarvoor u die toestemming geeft. Uw zorgverlener zal u dus precies moeten kunnen zeggen welke gegevens van u de deur uit gaan. Kan hij dat niet dan rest u niets anders dan uw teleurstelling – misnoegen te laten blijken en uw toestemming onmiddellijk weer in te trekken. Er is immers geen sprake van een informed consent … de basis van een opt-in. Uw zorgverlener dient zich te realiseren dat ook de opt-in’s voor alle overige patiënten die aan hetzelfde onderzoek deelnemen niet rechtsgeldig zijn. Uw zorgverlener kan alleen verantwoordelijkheid nemen voor zaken die hem bekend zijn. Zijn verwerker moet hem in staat stellen zicht te hebben op de geëxporteerde data die klaar staan om te worden verzonden. De verwerker dient een verwerkingsverantwoordelijke in staat te stellen een export voor verzending te autoriseren of af te wijzen.

De AVG verlangt, dat u als betrokkene weet wie toegang heeft tot uw persoonsgegevens. Zeker als dat gegevens over uw gezondheid zijn. De wet verlangt ook dat u daarover geïnformeerd bent. Uit uw vraag blijkt dat dat (nog) niet het geval is. Vraag uw behandelaar daarom hoe het zit.

Wat het laatste deel van uw vraag betreft.. u bent degene die zeggenschap heeft over de toegang tot uw dossiergegevens. Wettelijk gezien zijn alleen zorgaanbieders die een behandelrelatie met u hebben daartoe gerechtigd. In de praktijk blijkt het echter (nu nog) niet altijd mogelijk om te voorkomen dat ook andere medewerkers in de praktijk toegang uw dossier hebben. Uw behandelaar heeft de plicht u daarover te informeren. Wellicht kan hij daarbij ook al laten weten wanneer dat wel goed geregeld is. Uw behandelaar moet registreren dat u van één en ander op de hoogte bent gesteld, dat u zich daarmee akkoord heeft verklaard en op welk moment (datum-tijdstip) u dat heeft gedaan. In dat geval spreekt men van informed consent.

Het recht van inzage (AVG artikel 15) biedt veel van de bouwstenen voor de privacyverklaring. In overweging 63 op pagina 12 van de AVG wordt dit nader geduid:

Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren.

Dit houdt ook in dat betrokkenen het recht dienen te hebben op inzage in hun persoonsgegevens betreffende hun gezondheid, zoals de gegevens in hun medisch dossier, dat informatie bevat over bijvoorbeeld diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en verrichte behandelingen of ingrepen. Elke betrokkene dient dan ook het recht te hebben, te weten en te worden meegedeeld voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoe lang zij worden bewaard, wie de persoonsgegevens ontvangt, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de persoonsgegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zijn.

In Artikel 13 van de AVG wordt aangegeven wat in een privacyverklaring dient te zijn opgenomen.  Zie het overzicht op deze pagina. Die verklaring bevat veel elementen uit het verwerkingsregister (Artikel 30). Er is een gratis tool beschikbaar om deze samen te stellen.

Ja. Alle relaties waarvan u reeds persoonsgegevens hebt geregistreerd dient u te informeren. Dat kan door hen te verwijzen naar een privacyverklaring op de site. Om onduidelijkheid of problemen achteraf te voorkomen is het verstandig om vast te leggen dat men

  • is geïnformeerd
  • de inhoud van de verklaring heeft begrepen
  • en daarmee akkoord is gegaan

Ja. Personen die overwegen om lid van een vereniging te worden – maar ook bestaande leden – moeten weten wat er met hun persoonsgegevens gebeurt. Op deze pagina kun je zien wat er in een privacyverklaring moet staan.

Ja. Verenigingen verwerken persoonsgegevens en zijn dus verwerkingsverantwoordelijke. Alle in de AVG opgenomen artikelen zijn dus ook op verenigingen van toepassing.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport