Vragen en antwoorden

 of


Mijn rechten als betrokkene 

Ja. Verenigingen verwerken persoonsgegevens en zijn dus verwerkingsverantwoordelijke. Alle in de AVG opgenomen artikelen – maar ook alle artikelen in de huidige Wbp (!) – zijn dus ook op verenigingen van toepassing.

Ja. Personen die overwegen om lid van een vereniging te worden – maar ook bestaande leden – moeten weten wat er met hun persoonsgegevens gebeurt. Op deze pagina kun je zien wat er in een privacyverklaring moet staan.

De term zekerheidsniveau heeft te maken met de zekerheid over iemands identiteit. Als iemand via een netwerk toegang wordt gegeven tot persoonsgegevens is het van belang om zeker te stellen dat alleen diegene toegang heeft die daartoe bevoegd is. Technologische ontwikkelingen, toenemende risico’s en de toenemende gevolgschade, zorgen voor een evolutie, waardoor de eenvoudige combinatie van een gebruikersnaam en wachtwoord (niveau 1. basis) is vervangen door het scannen van een QR-code en invoer van een pincode (bij gebruik van een app) of met een sms bericht naar een geverifieerde mobiele telefoon (niveau 2. midden) wat ook wel 2 factor authenticatie of 2FA wordt genoemd.

Dat was voldoende voor de toegang tot medische gegevens, maar inmiddels volstaat ook dat niet meer en wordt feitelijk niveau 3. substantieel verlangd, waarbij de methodiek wordt uitgebreid met een (eenmalig) controle op een geldig identiteitsbewijs. Omdat de daarvoor noodzakelijke middelen nog niet grootschalig en gebruiksvriendelijk voor handen zijn – en er bovendien een ander systeem (Idensys) is ontwikkeld – volstaat voorlopig nog niveau 2 (dus 2 FA) voor de toegang tot bijzondere persoonsgegevens zoals gegevens over gezondheid. Zie deze pagina voor meer informatie.

Ja. Alle relaties waarvan u reeds persoonsgegevens hebt geregistreerd dient u te informeren. Dat kan door hen te verwijzen naar een privacyverklaring op de site. Om onduidelijkheid of problemen achteraf te voorkomen is het verstandig om vast te leggen dat men

  • is geïnformeerd
  • de inhoud van de verklaring heeft begrepen
  • en daarmee akkoord is gegaan

Ja, zie ook het antwoord op deze vraag

In Artikel 13 van de AVG wordt aangegeven wat in een privacyverklaring dient te zijn opgenomen.  Zie het overzicht op deze pagina. Die verklaring bevat veel elementen uit het verwerkingsregister (Artikel 30). Er is een gratis tool beschikbaar om deze samen te stellen.

Dat is inderdaad een bekend gegeven. Hoewel dit door sommige leveranciers wordt ontkent zorgt dit voor een ‘vendor lock-in’. Artikel 20 van de AVG is bedoeld om betrokkenen “drempelloos” over te kunnen laten stappen naar een andere dienstverlener. Artikel 20 draagt daarmee ook bij aan een oplossing voor zowel de verwerkingsverantwoordelijke als u als verwerker.

Nee. Zoals in reactie op een andere vraag gesteld kan de invloed van een FG van veel factoren afhankelijk zijn.  Niet alleen de competenties van de FG spelen een rol, maar ook de randvoorwaarden waarin de FG zijn rol kan vervullen.

Impact van de AVG is dat inzichten veranderen. Processen die zich tot dusver als min of meer vanzelfsprekend voltrokken worden nu tegen het licht gehouden. Dat is feitelijk wat de verordening beoogt: het waarom. Betrokkenen hebben recht op transparantie (Artikel 12 AVG). Maak duidelijk dat je alle (tot dusver gangbare) processen waarmee (bijzondere) persoonsgegevens zijn gemoeid tegen het licht houdt en dat je behoefte hebt aan meer garanties voor jezelf als verwerkingsverantwoordelijke, voor betrokkenen die hun persoonsgegevens aan je hebben verstrekt en de toezichthouder. Maak daarbij gebruik van de informatie die aangereikt is tijdens de webinars, op deze site en die van overheidsinstanties. Leg je acties (en reacties!) vast als onderdeel van het tot stand brengen van je ISMS  Zie ook deze vraag en antwoord

Het recht van inzage (AVG artikel 15) biedt veel van de bouwstenen voor de privacyverklaring. In overweging 63 op pagina 12 van de AVG wordt dit nader geduid:

Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren.

Dit houdt ook in dat betrokkenen het recht dienen te hebben op inzage in hun persoonsgegevens betreffende hun gezondheid, zoals de gegevens in hun medisch dossier, dat informatie bevat over bijvoorbeeld diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en verrichte behandelingen of ingrepen. Elke betrokkene dient dan ook het recht te hebben, te weten en te worden meegedeeld voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoe lang zij worden bewaard, wie de persoonsgegevens ontvangt, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de persoonsgegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zijn.

Ja dat is de Wet Cliëntenrechten bij elektronische verwerking van gegevens in de zorg. In die wet worden de rechten van de patiënt en de plichten van de zorgverlener genoemd.(zie dit document en in het bijzonder de matrices). De in het document aangegeven termijn waarop de patiënt kan beschikken over een elektronische versie van zijn gegevens (2020) strookt niet met artikel 20 van de AVG die op 25-05-2018 van kracht wordt. Omdat in geval de verordening boven de wet gaat is snel duidelijkheid gewenst en aanleiding voor overleg op diverse niveau’s.

De wet Cliëntenrechten bij elektronische verwerking van gegevens van gegevens treedt op 1 juli 2017 in werking. Enkele wettelijke bepalingen zijn daarvan uitgezonderd: de bepalingen die patiënten het recht geven op elektronische inzage en elektronisch afschrift en het recht gespeci ceerd toestemming te geven. Deze wettelijke bepalingen treden op 1 juli 2020 in werking. Zorgverleners krijgen dus nog even de tijd om aan die specifieke wettelijke bepalingen te voldoen. zie voor een verdere toelichting rijksoverheid.nl

De AVG (maar ook de huidige Wbp) verlangt, dat u als betrokkene weet wie toegang heeft tot uw persoonsgegevens. Zeker als dat gegevens over uw gezondheid zijn. De wet verlangt ook dat u daarover geïnformeerd bent. Uit uw vraag blijkt dat dat (nog) niet het geval is. Vraag uw behandelaar daarom hoe het zit.

Wat het laatste deel van uw vraag betreft.. u bent degene die zeggenschap heeft over de toegang tot uw dossiergegevens. Wettelijk gezien zijn alleen zorgaanbieders die een behandelrelatie met u hebben daartoe aangewezen. In de praktijk blijkt het echter (nu nog) niet altijd mogelijk om te voorkomen dat ook andere medewerkers in de praktijk toegang uw dossier hebben. Uw behandelaar kan (feitelijk moet) u daarover informeren. Wellicht kan hij daarbij ook al laten weten wanneer dat wel goed geregeld is. Uw behandelaar moet registreren dat u van één en ander op de hoogte bent gesteld, dat u zich daarmee akkoord heeft verklaard en op welk moment (datum-tijdstip) u dat heeft gedaan. In dat geval spreekt men van informed consent.

Op het moment dat u om toestemming is/wordt gevraagd moet voor u glashelder zijn waarvoor u die toestemming geeft. Uw zorgverlener zal u dus precies moeten kunnen zeggen welke gegevens van u de deur uit gaan. Kan hij dat niet dan rest u niets anders dan uw teleurstelling – misnoegen te laten blijken en uw toestemming onmiddellijk weer in te trekken. Er is immers geen sprake van een informed consent … de basis van een opt-in. Uw zorgverlener dient zich te realiseren dat ook de opt-in’s voor alle overige patiënten die aan hetzelfde onderzoek deelnemen niet rechtsgeldig zijn. Uw zorgverlener kan alleen verantwoordelijkheid nemen voor zaken die hem bekend zijn. Zijn verwerker moet hem in staat stellen zicht te hebben op de geëxporteerde data die klaar staan om te worden verzonden. De verwerker dient een verwerkingsverantwoordelijke in staat te stellen een export voor verzending te autoriseren of af te wijzen.

Hoewel artikel 17 van de AVG stelt dat een betrokkene dat van een verwerkingsverantwoordelijke mag verlangen (en dat de laatste daartoe verplicht is), geldt die verplichting niet onder alle omstandigheden. Artikel 17 lid 3 beschrijft dat het “recht op vergetelheid” niet van toepassing is als sprake is van een algemeen belang op het gebied van de volksgezondheid.

Dat algemeen belang wordt onder meer beschreven in Artikel 9 lid 2h: “de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg

Op de site van de Autoriteit Persoonsgegevens wordt vermeld wanneer en hoe u een organisatie kunt vragen om uw persoonsgegevens te wissen en wanneer u dat recht niet kunt uitoefenen.

Zie in dit verband ook artikel 455 van de WGBO (Wet Geneeskundige Behandelingsovereenkomst)

Nee dat is niet nodig. De uitwisseling tussen zorgverleners die een behandelrelatie met een patiënt hebben vloeit voort uit de wettelijke taken als zorgverlener. De AVG verlangt niet dat iedere patiënt zich daar nog eens akkoord over verklaard en dat je dat ook nog eens vastlegt. Uiteraard heeft iedere patiënt wel het recht om te weten wat er met hun gegevens gebeurt en wat er over en weer inhoudelijk wordt uitgewisseld tussen zorgverleners die bij hun behandeling zijn betrokken. Bestaat er geen specifieke rechtsgrond voor de overdracht dan is een informed consent (specifieke toestemming op basis van juiste en volledige informatie) nodig. Op rijksoverheid.nl tref je aanvullende informatie over patiëntenrecht

Kernwoord(en): Opt-in, Toestemming

Op de site van de Autoriteit Persoonsgegevens wordt vermeld wanneer en hoe u een organisatie kunt vragen om uw persoonsgegevens te wissen en wanneer u dat recht niet kunt uitoefenen.  De Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) verlangt van een zorgverlener dat de dossiergegevens 15 jaar worden bewaard. Zie in dit verband ook artikel 455 van de WGBO (Wet Geneeskundige Behandelingsovereenkomst)

De term 2FA wordt doorgaans gebruikt voor de toegang tot vertrouwelijke gegevens via een netwerk. Om meer zekerheid te krijgen over de identiteit van iemand die fysiek toegang zoekt tot een omgeving (met vertrouwelijke gegevens) wordt gebruik gemaakt van specifieke fysieke kenmerken: biometrische gegevens. Denk daarbij aan een irisscan of je vingerafdruk. Op de site van de Autoriteit Persoonsgegevens tref je naast extra informatie ook antwoorden op vragen over biometrie.

Als de zorgen van “allerlei wegen” op feiten zijn gebaseerd kan hiervan melding worden gemaakt aan de Autoriteit Persoonsgegevens via de daartoe speciaal ingerichte pagina. Het is misschien ook goed dat “allerlei wegen” zich realiseert, dat niet anonieme gegevens alleen door Organisatie X kunnen worden doorgespeeld als die met- dan wel  zonder – medeweten door een verwerkingsverantwoordelijke zijn verstrekt. Zie in dat verband ook de reactie op deze vraag

Persoonlijke werkaantekeningen ook wel geheugensteuntjes genoemd zijn niet bedoeld voor andere ogen dan de de zorgverlener zelf. Ze maken dus geen deel uit van het medisch dossier en vallen dus buiten het inzagerecht van de patiënt.  Medische diagnoses (denk ook aan de authenticiteit – de bron) en conclusies van de zorgverlener op basis van eigen bevindingen maken wel deel uit van het dossier en daarvoor geldt dus wel het inzagerecht.

Nee. Zie ook het antwoord op de vraag over het inzagerecht (artikel 15).

Met het intrekken van uw toestemming bewijst u uw zorgverlener misschien wel een dienst. Uw besluit kan wellicht bijdragen aan betere afspraken tussen hem en de partij die uw gegevens verzamelt of in wiens opdracht uw gegevens worden verzameld. Laat in uw bericht aan uw zorgverlener duidelijk blijken aan welke zekerheden u behoefte heeft.

Uit uw toelichting blijkt dat de betreffende persoon niet in dienst is en dat u (mede daarom)  de toestemmingsverklaring niet wenst te tekenen. U voelt zich ook onder druk gezet. Het is vervelend voor uw zorgverlener, maar hij mag niet van uw verlangen om de toestemmingsverklaring te ondertekenen.

  1. De administratieve kracht heeft geen behandelingsrelatie met u
  2. Er is geen gezagsverhouding tussen de verwerkingsverantwoordelijke en de administratieve kracht.

Zie in dit verband ook deze FAQ

Nee dat kan niet. Tenzij sprake is van opzet, grove of ernstige nalatigheid (die dan wel door de werkgever moet worden aangetoond) kan je als werknemer niet persoonlijk aansprakelijk wordt gesteld voor de gevolgen van een datalek. Dit soort incidenten komen voor rekening van de werkgever (artikel 6:170 BW).

Kernwoord(en): Aansprakelijkheid

Zorgverleners moeten kunnen aantonen dat aan de identificatieplicht is voldaan. Om dat te doen wordt het het type en het nummer van het identiteitsbewijs in de administratie vastgelegd. Kopie of scan maken  (waarbij alle persoonsgegevens zichtbaar zijn) is niet toegestaan.  Zie ook de site van de Autoriteit Persoonsgegevens.

Ja. Sinds 1 juni 2009 is iedere zorgaanbieder wettelijk verplicht om het Burgerservicenummer (BSN) in zijn administratie op te nemen en te gebruiken bij de uitwisseling van gegevens. Dit is geregeld in de Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg (WABVPZ).

De wetgever stelt wel voorwaarden aan het gebruik van het BSN. Via het Besluit elektronische gegevensverwerking door zorgaanbieders worden nadere regels gesteld over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders. Zorgaanbieders zijn verplicht om te voldoen aan de NEN normen voor informatiebeveiliging  (NEN 7510, 7511 en 7512).

 

Geanonimiseerde gegevens zijn geen persoonsgegevens. Voor het verstrekken van anonieme gegevens hoeft uw zorgverlener dan ook geen toestemming te vragen. Als dat wel gebeurt, is dat dus met elkaar in tegenspraak. Er zijn echter onderzoeken bekend die met het verstrekken van anonieme gegevens zijn gestart, maar die, door het uitvragen van meer persoonsgegevens inmiddels wel tot een persoon herleidbaar zijn. Daarmee zijn het persoonsgegevens en is wel expliciete toestemming vereist. Zie hier de daaraan te stellen eisen.


Mijn plichten als verwerkingsverantwoordelijke

Er worden veel vragen gesteld die beginnen met het werkwoord “mogen” of “moeten“. Dus: Mogen … moeten wij, nu de AVG van kracht is, dit of dat (nog) doen? Misschien goed om je te realiseren dat  je veelal niet echt iemand anders nodig hebt om antwoord op vragen te krijgen als je jezelf consequent de volgende vragen voorlegt:

  1. Is sprake van een rechtmatige verwerking?
  2. Beschik ik over de expliciete toestemming van betrokkene(n) als dat wordt verlangd?  
  3. Bestaan (of ontstaan) voor een betrokkene (patiënt, medewerker of lid) vermijdbare risico’s bij deze handeling of verwerking?
  4. Heb ik voldoende inzicht in de eventuele gevolgen voor de betrokkene(n) en mijn organisatie?
  5. Als het antwoord op vraag 3 JA luidt, kan/wil ik (ook ethisch gezien!) de betrokkene(n) en mijn organisatie aan die risico’s blootstellen?
  6. Ben ik ook bereid om de daaruit eventueel voortvloeiende consequenties (boetes, reputatie- of imagoschade) te aanvaarden?

Vooral voor organisaties die nog moeten starten is het veel. Waar te beginnen. Uiteraard met het verwerkingsregister. Maar ook het  op orde hebben van de informatiebeveiliging. Voorwaarde voor het (verplicht) gebruik van BSN in de zorg is (al enige jaren) de implementatie van de norm voor informatiebeveiliging NEN7510 (zie dit bericht).

Het van kracht worden van de AVG op 25-05-2018 en het besef dat implementatie van de NEN7510 een vereiste is  zorgt hier en daar voor paniek. Vooral bij de confrontatie met uitgebreide risicoanalyses en de omvang van deel 2 (Beheersmaatregelen) van de NEN7510.

Het is misschien goed om te weten dat er nog veel moet gebeuren voordat alle zorgorganisaties aantoonbaar aan de AVG zullen voldoen. Dat neemt niet weg dat je moet beseffen dat als geen acties worden ondernomen, je niet moet rekenen op begrip van de toezichthouder en betrokkenen.

  • Als eerste stap is het goed om op een zo kort mogelijke termijn te streven naar minimaal level 2 van de Privacy Maturity Index.
  • De inhoud (en uitgebreidheid) van een risicoanalyse is afhankelijk van vele (eigen organisatie specifieke) variabelen. Hanteer het principe SMART (Specifiek Meetbaar Acceptabel Realistisch en Tijdgebonden) bij het bepalen van de scope voordat je met die risicoanalyse aan de slag gaat
  • Documenteer alles wat je onderneemt
  • Dat SMART principe is ook van belang bij het documenteren van de maatregelen je graag wilt nemen maar niet kunt nemen door gebrek aan capaciteit, financiën of invloed.

 

De nieuwe aanmeldprocedure voor de Functionaris voor de Gegevensbescherming via de site van de Autoriteit Persoonsgegevens die op 4 april is geïntroduceerd (zie deze vraag) functioneert nog niet helemaal volgens verwachting. Tijdens een overleg met de AP op 18-04 j.l. is door de Autoriteit gemeld dat alle aanmeldingen nog deze maand zullen worden bevestigd. 

Als je op zoek bent naar een FG kan ik je daarbij misschien van dienst zijn. Stuur me even een berichtje. Via mijn lidmaatschap van het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming ken ik een aantal FG’s die kennis hebben van de zorg.

Tot voor kort kon je daarvoor een speciaal aanmeldformulier gebruiken. Vanaf 04-04-2018 moet dat via een daartoe ingerichte pagina op de site van de AP. Tegelijkertijd wordt het huidige FG register opgeschoond. In verband met de AVG wil de AP nu bijvoorbeeld ook weten of het aanstellen van de FG op vrijwillige basis geschied of dat sprake is van een verplichting tot aanmelding. Alle FG’s moeten daarom opnieuw worden aangemeld bij de AP (Art. 37 lid 7)

Ook het te raadplegen register op de site van de AP verdwijnt. Op grond van de AVG zijn verantwoordelijken en verwerkers dan namelijk verplicht om zelf de contactgegevens van hun FG te publiceren.

Aanmelden is mogelijk via het aanmeldingsformulier functionaris voor de gegevensbescherming (FG). Let op: alle FG-aanmeldingen (ook die recentelijk zijn gedaan), komen dus per 25 mei 2018 te vervallen!

De AVG is op dit punt op dit moment (nog) niet geheel duidelijk. Bij de toets of je als organisatie verplicht bent zijn 2 criteria van belang. Is sprake van een kernactiviteit en vindt verwerking plaats op grote schaal. In de AVG wordt aangegeven dat een ziekenhuis wel verplicht is om een FG aan te stellen, maar een individuele huisarts niet. Over samenwerkingsverbanden van meerdere zorgprofessionals worden echter geen uitspraken gedaan. Deze onduidelijkheid is gemeld bij een overlegorgaan van AP’s op Europees niveau (WP-29). Gevraagd is om daarover op de kortst mogelijke termijn (via een richtlijn) helderheid te verschaffen.

Om achteraf onduidelijkheid te voorkomen, kan er voor worden gekozen om de cliënt schriftelijk te laten verklaren dat kennis is genomen van de privacyverklaring, dat de inhoud daarvan duidelijk is en dat men daarmee akkoord gaat. Feitelijk dus een bevestiging dat sprake is van informed consent. Het ondertekenen van een dergelijke verklaring is echter niet verplicht.

Ja. Verenigingen verwerken persoonsgegevens en zijn dus verwerkingsverantwoordelijke. Alle in de AVG opgenomen artikelen – maar ook alle artikelen in de huidige Wbp (!) – zijn dus ook op verenigingen van toepassing.

De term zekerheidsniveau heeft te maken met de zekerheid over iemands identiteit. Als iemand via een netwerk toegang wordt gegeven tot persoonsgegevens is het van belang om zeker te stellen dat alleen diegene toegang heeft die daartoe bevoegd is. Technologische ontwikkelingen, toenemende risico’s en de toenemende gevolgschade, zorgen voor een evolutie, waardoor de eenvoudige combinatie van een gebruikersnaam en wachtwoord (niveau 1. basis) is vervangen door het scannen van een QR-code en invoer van een pincode (bij gebruik van een app) of met een sms bericht naar een geverifieerde mobiele telefoon (niveau 2. midden) wat ook wel 2 factor authenticatie of 2FA wordt genoemd.

Dat was voldoende voor de toegang tot medische gegevens, maar inmiddels volstaat ook dat niet meer en wordt feitelijk niveau 3. substantieel verlangd, waarbij de methodiek wordt uitgebreid met een (eenmalig) controle op een geldig identiteitsbewijs. Omdat de daarvoor noodzakelijke middelen nog niet grootschalig en gebruiksvriendelijk voor handen zijn – en er bovendien een ander systeem (Idensys) is ontwikkeld – volstaat voorlopig nog niveau 2 (dus 2 FA) voor de toegang tot bijzondere persoonsgegevens zoals gegevens over gezondheid. Zie deze pagina voor meer informatie.

In tegenstelling van wat commerciële bedrijven beweren kan de (bestuurlijke) eindverantwoordelijkheid nooit worden overgedragen.

 

Kernwoord(en): Artikel 24

Vrijwel ieder risico is te verzekeren. Verzekeringsproducten die worden aangeprezen om de risico’s te dekken nemen snel in omvang toe. De premies zijn doorgaans hoog en een grondige bestudering van de  voorwaarden leert vaak dat de hoogte van een eventuele uitkering bij een incident sterk afhankelijk is van de maatregelen die de verwerkingsverantwoordelijke zelf heeft genomen maar met name verzuimd heeft te nemen.

Jazeker. Voor een verwerker gelden dezelfde plichten als voor een verwerkingsverantwoordelijke.

Als je cliënten via je site in staat stelt te communiceren liggen risico’s op de loer. Dus om die reden had de persoon of organisatie die je website beheert al maatregelen moeten nemen of te adviseren om een SSL certificaat (een “slotje”) te installeren. Maar het zijn niet alleen risico’s.

  • De meeste browsers waarschuwen gebruikers als men een site benadert die niet van een slotje is voorzien. Dat is niet goed voor het vertrouwen in een organisatie.
  • Om bezoekers te beschermen toont Google in de eerste pagina’s van een zoekresultaat uitsluitend sites met een SSL certificaat.

Kortom .. argumenten genoeg om die relatief eenvoudige en zeker niet kostbare maatregel te nemen.

Sinds WhatsApp is overgestapt op het gebruik van end-to-end-encryptie (april 2016) is veel van de aanvankelijke bezwaren (over inzicht in de inhoud van berichten) weggenomen. End-to-end encryptie werkt als volgt. Door WhatsApp wordt  automatisch een publieke en geheime sleutel aan een account gekoppeld. Die publieke sleutel wordt naar de centrale server gestuurd. Als A een bericht naar B wil sturen wordt het bericht bij A versleuteld met de combinatie van de geheime sleutel van A en de publieke sleutel van B die op de server staat. Via de server gaat het bericht naar B . Het bericht is alleen te ontsleutelen met de geheime sleutel van B die zich dus alleen bij B bevindt. Bij end-to-end-encryptie is een berichtje dus van het ene eindpunt tot het andere – oftewel van zender tot ontvanger – versleuteld. Vandaar de term ‘end-to-end’. Is WA daarmee veilig? Hoewel de inhoud van de berichten is versleuteld, is het nog steeds mogelijk om op de centrale server te zien wie met wie communiceert en vanaf welk IP-adres. De leverancier van WhatsApp kan die informatie gebruiken om een profiel van A en B bij te houden. Van WhatsApp is bekend dat veel metadata van gebruikers wordt opgeslagen. Ook biedt WhatsApp de mogelijkheid om een backup van je (ontsleutelde) berichten te bewaren op Google Drive of iCloud van Apple. Langs die weg kunnen berichten ook in verkeerde handen vallen. Je bent voor de beveiliging van deze backups volledig overgeleverd aan Google of Apple. Meer over de end-to-end encryptie van WhatsApp lees je hier.

Ja. Alle relaties waarvan u reeds persoonsgegevens hebt geregistreerd dient u te informeren. Dat kan door hen te verwijzen naar een privacyverklaring op de site. Om onduidelijkheid of problemen achteraf te voorkomen is het verstandig om vast te leggen dat men

  • is geïnformeerd
  • de inhoud van de verklaring heeft begrepen
  • en daarmee akkoord is gegaan

In Artikel 13 van de AVG wordt aangegeven wat in een privacyverklaring dient te zijn opgenomen.  Zie het overzicht op deze pagina. Die verklaring bevat veel elementen uit het verwerkingsregister (Artikel 30). Er is een gratis tool beschikbaar om deze samen te stellen.

Die vraag wordt heel vaak gesteld en heeft van doen met de uitgebreidheid en detaillering van de NEN7510. Dat roept soms weerstanden op en een gevoel door de bomen het bos niet meer te zien. Die detaillering van de NEN7510 is er echter niet voor niets.

Iedere organisatie is uniek. Om een metafoor te gebruiken: Wat voor de ene organisatie een open deur is, is voor de andere een blinde muur. Een eenvoudig afvinklijstje betekent elementen weglaten. Bij dat weglaten moeten keuzes worden gemaakt. Keuzes die juist bij specifieke situaties kunnen opbreken en tot zeer vervelende gevolgen kunnen leiden.

De NEN 7510 bevat veel hoofdstukken en kan voor iedere organisatie (van solist  tot zeer grote instelling) worden gebruikt. Een mogelijke prioritering tref je op deze pagina.

Voor een eenmalig startbedrag en/of een klein maandelijks bedrag zorgen wij er voor dat u AVG proof bent”. Partijen die dat beweren maken dankbaar gebruik van de matige affiniteit met ICT in bepaalde sectoren en misbruik van de angst voor een boete of imagobeschadiging. De rol van een verwerkingsverantwoordelijke is helder. Die verantwoordelijkheid kan niet door een andere partij kan worden overgenomen!

Kernwoord(en): Artikel 24, AVGproof, ISMS

De NEN 75* normen (van belang voor artikel 32 van de AVG) kun je gratis downloaden via de NEN normshop.

Tenzij extra maatregelen worden genomen zoals end-to-end encryptie (zie ook de toelichting in het antwoord op de vraag over WhatsApp) kunnen onbevoegden kennis nemen van de inhoud van een bericht. Daarnaast is op mailservers zonder moeite na te gaan wie met wie communiceert. Om dit te voorkomen dient voor een verantwoorde en veilige uitwisseling gebruik te worden gemaakt van een omgeving die specifiek is ingericht voor veilige overdracht van vertrouwelijke gegevens. Binnen MedMij worden daarvoor de randvoorwaarden in kaart gebracht en wordt getest in proefomgevingen die voldoen aan de in de AVG gestelde randvoorwaarden.

Als je doelt op leveranciers die een rol vervullen bij de verwerking van persoonsgegevens is het antwoord JA. Die overeenkomst is nodig om je in staat te stellen aantoonbaar te voldoen aan de AVG. De AVG gaat in artikel 28.4 zelfs expliciet in op de inhoud van de overeen te komen afspraken.

Ja die is er. Actiz, GGZ Nederland, NFU, NVZ en VGN verenigd in de Brancheorganisaties Zorg (BoZ) hebben een standaard modelverwerkersovereenkomst ontwikkeld.

Medewerkers hebben uiteraard hun eigen verantwoordelijkheid om de privacy van betrokkenen te borgen, maar het management van de organisatie waar men werkzaam is, is  verwerkingsverantwoordelijke. In hoofdstuk 7  van de NEN7510 (deel II Beheersmaatregelen) in een maatregel (7.2.2) opgenomen om medewerkers passende bewustzijnsopleiding en training te geven. In het kader van de AVG en voor een betrokkene of toezichthouder dient echter helder te zijn wie de eindverantwoordelijke is. Die wordt ook genoemd in de privacyverklaring.

Als die wens tot aanpassing het gevolg is van je risicoanalyse en de door jou als noodzakelijk gekwalificeerde maatregelen om aantoonbaar aan de AVG te voldoen, maakt dan schriftelijk (of via een bericht) aan de leverancier duidelijk waarom je wilt dat de overeenkomst wordt aangepast. Het kan geen kwaad om te verwijzen naar artikel 28  van de AVG. Verlang van de verwerker ook een schriftelijke reactie waarin hij uiteenzet waarom hij niet wil of kan voldoen aan je verzoek. Als je in de reactie aanleiding ziet tot nadere stappen, leg dat dan in je documentatie die onderdeel is van je informatiebeveiligingsplan vast. Leg in relatie tot artikel 28.3 ook vast welke vervolgstappen je overweegt.

Een inschatting maken van de benodigde tijd is lastig omdat die voor vele variabelen wordt bepaald. Als al is gestart met het implementeren van de norm voor informatiebeveiliging NEN7510 is het een heel ander verhaal dan wanneer dat nog niet het geval is. Ook de omvang en inrichting van de organisatie spelen een rol. Het feit of sprake is van meerdere vestigingen, keuze van digitale middelen, de inhoud van bestaande overeenkomsten met verwerkers.

Voor een gemiddelde praktijk van een 4-tal collega’s moet je, gelet op de datum van 25-05 toch al snel rekening houden met een dag in de week. Er is een besloten LinkedIn forum ingericht dat is bedoeld om ervaringen uit te wisselen met collega’s die al langer met de AVG aan de slag zijn. Als je connectie met me maakt kan ik je voor dat forum aanmelden.

Vraag 3 van de Regelhulp AVG   luidt:

3. Heeft u een functionaris gegevensbescherming nodig?

Onder de AVG kunt u verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen uw organisatie toezicht houdt op de toepassing en naleving van de AVG. Als u één of meerdere van onderstaande vragen met ‘ja’ beantwoordt, bent u in elk geval verplicht om een FG aan te stellen.

Verwerkt u bijzondere en/of strafrechtelijke persoonsgegevens op grote schaal en is dit een kernactiviteit van uw organisatie?

Als zorgverlener verwerkt u bijzondere persoonsgegevens. Echter is onduidelijk wat met “op grote schaal” wordt bedoeld. Verwijzend naar een andere vraag moet ik het antwoord (nog) schuldig blijven.

Dat er heel veel verplichtingen zijn waar je als zorgaanbieder moet voldoen is bekend. Er wordt gesproken over oplossingen voor de doorgeschoten administratieve verplichtingen. Het realiseren van oplossingen, waarbij ICT efficiënter en veilig wordt ingezet (en gegevens kunnen worden hergebruikt) kosten meer tijd dan wenselijk is. Maar over de vraag, of je als zorgverlener wel iets beter te doen hebt, dan je bezig te houden met de verplichtingen die voortvloeien uit de AVG verschillen we echt van mening. Zeker als je je realiseert dat patiënten dagelijks hun vertrouwen geven in de impliciete veronderstelling (en verwachting) dat hun gegevens in veilige handen zijn. Het op orde hebben van je informatiebeveiliging is een kwaliteitsaspect. Het niet op orde hebben van je informatiebeveiliging kan voor een patiënt dramatische gevolgen hebben.

Nee dat kan een koepel niet. Als je je verplaatst in de rol van betrokkene (patiënt, werknemer of lid van een vereniging) begrijp je misschien dat ook jouw belangen worden behartigd met deze verordening. Wat zorgkoepels kunnen doen is hun leden informeren en hen er van  te overtuigen dat ze er verstandig aan doen op dit punt snel hun verantwoordelijkheid te nemen. Het helpt misschien als je je realiseert dat dat feitelijk al veel eerder had moeten gebeuren.

Nee, tenzij extra maatregelen genomen worden (zoals end-to-end encryptie) is het uitwisselen van vertrouwelijke gegevens via e-mail niet veilig. Organisaties die op deze wijze hun uitwisselingsprocessen hebben ingericht doen er verstandig aan om daar direct mee te stoppen en in gezamenlijkheid maatregelen te nemen om de samenhangende risico’s het hoofd te bieden en naar alternatieven te zoeken voor een veilige uitwisseling van gevoelige gegevens. Als initiatieven van communicatiepartners uitblijven neem dan in het belang van je patiënten zelf het initiatief om dit aan de orde te stellen.

Tenzij extra maatregelen worden genomen om te voorkomen dat onbevoegden kennis nemen van vertrouwelijke gegevens is het niet verstandig. Probeer uw patiënt daarvan te overtuigen en wijs op de risico’s. Bijvoorbeeld door te wijzen op dit animatiefilmpje over identiteitsfraude .

Eén van de manieren die wel wordt toegepast is de vertrouwelijke gegevens in een apart versleuteld document op te nemen en de patiënt via een ander medium (dus bijvoorbeeld SMS) te voorzien van de sleutel.

Op termijn beoogt het afsprakenstelsel van MedMij een veilige overdracht tussen zorgverlener en patiënt mogelijk te maken.

Dat is inderdaad een bekend gegeven. Hoewel dit door sommige leveranciers wordt ontkent zorgt dit voor een ‘vendor lock-in’. Artikel 20 van de AVG is bedoeld om betrokkenen “drempelloos” over te kunnen laten stappen naar een andere dienstverlener. Artikel 20 draagt daarmee ook bij aan een oplossing voor zowel de verwerkingsverantwoordelijke als u als verwerker.

Wellicht biedt dit lijstje met verwijzingen uitkomst?

Zo niet … laat het me dan gerust even weten.

Als je gewend bent om in te loggen met gebruikersnaam en wachtwoord dan is twee factor authenticatie inderdaad een extra handeling. Die is er echter niet voor niets.  De wettelijke verplichting van het gebruik van 2 FA werd nogmaals onderstreept door een publicatie van het College Persoonsgegevens (nu Autoriteit Persoonsgegevens) in 2013 waarbij huisartsen zich gedwongen zagen deze in te voeren. Al dan niet onder druk van hun klanten bieden sommige EPD leveranciers de mogelijkheid om 2FA uit te schakelen. Niet goed dus. Weerstand bieden en duidelijk maken dat 2 FA wettelijk verplicht is zou echter een betere oplossing zijn.

Twee factor authenticatie, ook wel 2FA genoemd is een manier om meer zekerheid te krijgen over de identiteit van iemand die toegang zoekt tot een omgeving met vertrouwelijke gegevens. Het is een uitbreiding van het gebruik van gebruikersnaam en wachtwoord. Er zijn verschillende oplossingen (zekerheidsniveau’s) om de mate waarin die zekerheid is gewenst (over iemands elektronische identiteit) te borgen. Op deze pagina tref je aanvullende informatie.

Veel eerstelijns zorgaanbieders hebben een aansluiting op ZorgMail. VANAD stelt langs die weg ook de communicatie met gemeenten te kunnen faciliteren (zie deze pagina). Ervaringen zijn mij niet bekend, maar ik zal die vraag uitzetten.

Ben je in de zorg werkzaam en wil je kennis en ervaringen delen met collega’s die voor dezelfde uitdagingen staan en zo mogelijk al iets verder zijn met het implementeren van de NEN7510, dan kun je wellicht je voordeel doen via een Siilo forum. Dit forum vervangt een eerder daarvoor ingericht LinkedIn forum. Ook jou meld ik daar graag voor aan. Heb je Siilo geïnstalleerd maar kun je mij of de groep zo snel niet vinden? https://app.siilo.com/qr/b6ffda6d

Kernwoord(en): Ervaringen, Siilo forum

Dank voor het signaal! De pagina met links naar de NEN normen is aangepast

Kernwoord(en): NEN7510, NEN7512

Dat kan samenhangen met het type certificaat. Als je constateert dat je praktijknaam zichtbaar is, is het certificaat duurder dan wanneer je de praktijknaam niet ziet. Als het hetzelfde type certificaat is, zou ik die vraag in ieder geval aan de partij stellen die de site host.  Zie voor meer uitleg over de verschillen deze pagina van TransIP

Kernwoord(en): SSL, SSL certificaat

Ik weet niet van wie je die informatie hebt, maar die is onjuist. Het staat je uiteraard vrij om dat te doen maar certificeren voor NEN7510 is niet verplicht (en zeker niet goedkoop).

Kernwoord(en): Certificering, NEN7510

Net als WhatsApp (zie een andere vraag) maakt ook Siilo gebruik van end-to-end-encryptie. Er zijn wel wat verschillen. Siilo is ontwikkeld voor een veilige overdracht tussen zorgaanbieders. Het is dus niet mogelijk om met patiënten te communiceren. Siilo biedt een aantal extra maatregelen om gegevens te beveiligen. Bijvoorbeeld door een aparte map voor afbeeldingen, alle correspondentie versleuteld op te slaan en correspondentie na 30 dagen automatisch te wissen tenzij je daar zelf een stokje voor steekt. Volgens recente mededelingen (mei 2018) maken nu rond 70.000 zorgverleners van Siilo gebruik.  (Klik hier voor meer info over de beveiliging)

Theoretisch kan dat. Praktisch gezien heeft dat wel een aantal consequenties. Uiteraard dient de FG te beschikken over de nodige competenties. Op de site van de Autoriteit Persoonsgegevens wordt aangegeven wat een FG moet weten en kunnen.  Een FG dient in staat te zijn/te worden gesteld om zijn rol als onafhankelijk toezichthouder en adviseur uit te voeren. Ook zijn positie binnen een organisatie dient onmiskenbaar aantoonbaar onafhankelijk te zijn.  Door de  toezichthouder worden ook een aantal voorwaarden genoemd waaraan moet worden voldaan om die onafhankelijkheid te borgen.

  • De FG mag geen instructies krijgen hoe hij zijn taken als FG moet uitvoeren.
  • De FG mag niet worden ontslagen of worden gestraft als gevolg van de uitoefening van zijn FG-taken.
  • Er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere taken of functies van de FG.

Om die belangenverstrengeling te voorkomen, mag de FG binnen de organisatie niet ook een functie hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt. Dit kan bijvoorbeeld zo zijn als de FG een managementpositie vervult, zoals hoofd financiën, strategie, marketing, IT of HRM.

De praktijk leert, dat meer dan eens de signalen of adviezen van een FG  worden genegeerd of ondergeschikt worden gemaakt aan andere prioriteiten. Dat leidt soms tot spanningen en conflicten tussen een FG en het management van een organisatie. Daar moet het management mee om kunnen gaan, maar ook een FG.

Stel vast wie de verwerkingsverantwoordelijke is (dus de opdrachtgever voor de verwerker). Als je dat zelf bent dien je te beschikken over een overeenkomst. De AVG stelt voorwaarden aan de inhoud van een dergelijke overeenkomst. Als die overeenkomst ontbreekt en/of sprake is van een min of meer gedwongen opdrachtgeverschap ga dan na hoe die tot stand gekomen is. Leg alles (dus ook de communicatie met betrokken instanties) zo zorgvuldig mogelijk vast in het kader van artikel 30 van de AVG (verwerkingen in kaart brengen) en het tot stand brengen van het ISMS. Zonder het door jou gewenste inzicht ben je niet in staat / kan niet van je worden verlangd om de verantwoordelijkheid te nemen die je cliënten/patiënten van je (moeten kunnen) verwachten.

Impact van de AVG is dat inzichten veranderen. Processen die zich tot dusver als min of meer vanzelfsprekend voltrokken worden nu tegen het licht gehouden. Dat is feitelijk wat de verordening beoogt: het waarom. Betrokkenen hebben recht op transparantie (Artikel 12 AVG). Maak duidelijk dat je alle (tot dusver gangbare) processen waarmee (bijzondere) persoonsgegevens zijn gemoeid tegen het licht houdt en dat je behoefte hebt aan meer garanties voor jezelf als verwerkingsverantwoordelijke, voor betrokkenen die hun persoonsgegevens aan je hebben verstrekt en de toezichthouder. Maak daarbij gebruik van de informatie die aangereikt is tijdens de webinars, op deze site en die van overheidsinstanties. Leg je acties (en reacties!) vast als onderdeel van het tot stand brengen van je ISMS  Zie ook deze vraag en antwoord

Ja dat is de Wet Cliëntenrechten bij elektronische verwerking van gegevens in de zorg. In die wet worden de rechten van de patiënt en de plichten van de zorgverlener genoemd.(zie dit document en in het bijzonder de matrices). De in het document aangegeven termijn waarop de patiënt kan beschikken over een elektronische versie van zijn gegevens (2020) strookt niet met artikel 20 van de AVG die op 25-05-2018 van kracht wordt. Omdat in geval de verordening boven de wet gaat is snel duidelijkheid gewenst en aanleiding voor overleg op diverse niveau’s.

De wet Cliëntenrechten bij elektronische verwerking van gegevens van gegevens treedt op 1 juli 2017 in werking. Enkele wettelijke bepalingen zijn daarvan uitgezonderd: de bepalingen die patiënten het recht geven op elektronische inzage en elektronisch afschrift en het recht gespeci ceerd toestemming te geven. Deze wettelijke bepalingen treden op 1 juli 2020 in werking. Zorgverleners krijgen dus nog even de tijd om aan die specifieke wettelijke bepalingen te voldoen. zie voor een verdere toelichting rijksoverheid.nl

Er wordt niet voldaan aan Artikel 25 (Privacy by Design/Default). Als je dat zelf in de beheersinstellingen van je EPD kunt wijzigen: direct doen! Als je dat niet kunt direct je leverancier er op aanspreken. Maar ook als blijkt dat je dat zelf in de beheersinstellingen kunt regelen. Standaard moet dat vinkje echt op UIT staan!

Op het moment dat u om toestemming is/wordt gevraagd moet voor u glashelder zijn waarvoor u die toestemming geeft. Uw zorgverlener zal u dus precies moeten kunnen zeggen welke gegevens van u de deur uit gaan. Kan hij dat niet dan rest u niets anders dan uw teleurstelling – misnoegen te laten blijken en uw toestemming onmiddellijk weer in te trekken. Er is immers geen sprake van een informed consent … de basis van een opt-in. Uw zorgverlener dient zich te realiseren dat ook de opt-in’s voor alle overige patiënten die aan hetzelfde onderzoek deelnemen niet rechtsgeldig zijn. Uw zorgverlener kan alleen verantwoordelijkheid nemen voor zaken die hem bekend zijn. Zijn verwerker moet hem in staat stellen zicht te hebben op de geëxporteerde data die klaar staan om te worden verzonden. De verwerker dient een verwerkingsverantwoordelijke in staat te stellen een export voor verzending te autoriseren of af te wijzen.

Als een aanmeldproces via een site verloopt en op die site om persoonsgegevens gevraagd wordt is een privacyverklaring verplicht. Maar ook als dat laatste niet het geval is, mag van zorgverleners verwacht worden om middels een privacyverklaring op de site aan te geven dat (welke) maatregelen genomen zijn om de gegevens te beschermen. De beslissing om vertrouwelijke gegevens met iemand te delen is er immers één die nogal wat impact heeft. Lang niet altijd bestaat de gelegenheid om voor het aangaan van een behandelingsovereenkomst uitgebreid te onderzoeken of een zorgverlener voldoende maatregelen heeft genomen.

Op de site van de Autoriteit Persoonsgegevens wordt aangegeven wat de competenties (dienen te) zijn van een Functionaris voor de Gegevensbescherming, onder welke condities deze zijn werkzaamheden moet kunnen vervullen en wordt de onafhankelijke rol van een FG benadrukt.

In artikel 30 van de AVG staat wat er in het “Register van de verwerkingsactiviteiten” moet staan. Als de toezichthouder (Autoriteit Persoonsgegevens) daarom verzoekt dient die te worden overlegd. Veel van de inhoud kunt u gebruiken voor de privacyverklaring.

 

Nee dat mag inderdaad niet. Gegevens over gezondheid zijn “bijzondere” persoonsgegevens. Staan die gegevens online dan moet diegene die toegang zoekt moet iets extra’s doen om meer zekerheid te hebben over degene die de gegevens benadert. Bijvoorbeeld door een QR code te scannen, of een code invoeren die via SMS is toegestuurd naar een bekend mobiel nummer. We spreken dan over een ander zekerheidsniveau. In dit geval door middel van 2 factor authenticatie of 2FA. Ga hierover in overleg met uw zorgverlener. Voor meer informatie over zekerheidsniveaus kun je terecht op deze pagina of dit document.

Hoewel artikel 17 van de AVG stelt dat een betrokkene dat van een verwerkingsverantwoordelijke mag verlangen (en dat de laatste daartoe verplicht is), geldt die verplichting niet onder alle omstandigheden. Artikel 17 lid 3 beschrijft dat het “recht op vergetelheid” niet van toepassing is als sprake is van een algemeen belang op het gebied van de volksgezondheid.

Dat algemeen belang wordt onder meer beschreven in Artikel 9 lid 2h: “de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg

Op de site van de Autoriteit Persoonsgegevens wordt vermeld wanneer en hoe u een organisatie kunt vragen om uw persoonsgegevens te wissen en wanneer u dat recht niet kunt uitoefenen.

Zie in dit verband ook artikel 455 van de WGBO (Wet Geneeskundige Behandelingsovereenkomst)

Nee dat is niet nodig. De uitwisseling tussen zorgverleners die een behandelrelatie met een patiënt hebben vloeit voort uit de wettelijke taken als zorgverlener. De AVG verlangt niet dat iedere patiënt zich daar nog eens akkoord over verklaard en dat je dat ook nog eens vastlegt. Uiteraard heeft iedere patiënt wel het recht om te weten wat er met hun gegevens gebeurt en wat er over en weer inhoudelijk wordt uitgewisseld tussen zorgverleners die bij hun behandeling zijn betrokken. Bestaat er geen specifieke rechtsgrond voor de overdracht dan is een informed consent (specifieke toestemming op basis van juiste en volledige informatie) nodig. Op rijksoverheid.nl tref je aanvullende informatie over patiëntenrecht

Kernwoord(en): Opt-in, Toestemming

Op de site van de Autoriteit Persoonsgegevens wordt vermeld wanneer en hoe u een organisatie kunt vragen om uw persoonsgegevens te wissen en wanneer u dat recht niet kunt uitoefenen.  De Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) verlangt van een zorgverlener dat de dossiergegevens 15 jaar worden bewaard. Zie in dit verband ook artikel 455 van de WGBO (Wet Geneeskundige Behandelingsovereenkomst)

Dat er geen (in dit geval bijzondere) persoonsgegevens worden uitgewisseld doet niets af aan het feit dat je deze in beheer hebt. Ik zou me goed kunnen voorstellen dat in jouw situatie de maatregelen om de risico’s te minimaliseren van beperkte omvang kunnen zijn, maar het antwoord is JA. Je hebt inderdaad de plicht om de passende technische en organisatorische maatregelen te nemen die van jou als verwerkingsverantwoordelijke verwacht worden om te kunnen waarborgen (en aantonen) dat aan de AVG wordt voldaan. Iets anders geformuleerd klinkt het misschien iets vriendelijker: je voormalig patiënten moeten er op kunnen vertrouwen dat hun (bijzondere) persoonsgegevens nog steeds veilig bij je zijn.

Nee. Een verwerkersovereenkomst sluit je met een persoon of organisatie die ten behoeve van jou (als de verwerkingsverantwoordelijke) persoonsgegevens verwerkt. Daarvan is geen sprake. De WGBO (Wet Geneeskundige Behandelingsovereenkomst) ziet toe op de samenwerking met iedere professional die een behandelrelatie heeft met de betreffende patiënt. De AVG verandert daar niets aan.

Verwijzend naar deze sheets gaat het bij “categorieën van betrokkenen”  bijvoorbeeld over “(personeels)leden” of “patiënten”. Bij “categorieën van gegevens” over bijvoorbeeld: “naw gegevens (naam, adres, woonplaats)”, “gegevens over de gezondheid”, “gegevens benodigd voor personeelsadministratie” etc. Resultaat van de gegevens inventarisatie kan worden gebruikt voor het privacy/informatiebeveiligingsbeleid.

De term 2FA wordt doorgaans gebruikt voor de toegang tot vertrouwelijke gegevens via een netwerk. Om meer zekerheid te krijgen over de identiteit van iemand die fysiek toegang zoekt tot een omgeving (met vertrouwelijke gegevens) wordt gebruik gemaakt van specifieke fysieke kenmerken: biometrische gegevens. Denk daarbij aan een irisscan of je vingerafdruk. Op de site van de Autoriteit Persoonsgegevens tref je naast extra informatie ook antwoorden op vragen over biometrie.

De NEN Norm voor Informatiebeveiliging voor de Zorg (NEN7510) zou je als zodanig kunnen beschouwen. Zie ook de recentelijke publicatie (november 2017) in de Staatscourant. Je kunt die norm (sinds 2014 gratis) downloaden via de NEN normshop.

Kernwoord(en): Artikel 24, NEN7510, NEN7512, NEN7513

Dat hangt af van de opdracht. Maar daar zal de accountant je ook over kunnen informeren. Als hij de salarisadministratie verzorgt, vervult hij die rol als verwerker en moet je dus inderdaad een verwerkersovereenkomst te sluiten.  Meer informatie tref je op de site van de Koninklijke Nederlandse Beroepsorganisatie van Accountants

Als de zorgen van “allerlei wegen” op feiten zijn gebaseerd kan hiervan melding worden gemaakt aan de Autoriteit Persoonsgegevens via de daartoe speciaal ingerichte pagina. Het is misschien ook goed dat “allerlei wegen” zich realiseert, dat niet anonieme gegevens alleen door Organisatie X kunnen worden doorgespeeld als die met- dan wel  zonder – medeweten door een verwerkingsverantwoordelijke zijn verstrekt. Zie in dat verband ook de reactie op deze vraag

Nee. Het is niet nodig om een verwerkersovereenkomst met een zorgverzekeraar te sluiten. Het wettelijk kader dat toeziet op de interacties met een zorgverzekeraar is de Zorgverzekeringswet.

Kernwoord(en): Verwerkersovereenkomst

Als werkgever ben je wettelijk verplicht om persoonsgegevens te verwerken. Daarmee is die verwerking rechtmatig (Artikel 6) en is geen aparte toestemmingsverklaring nodig. 

Als verwerkingsverantwoordelijke heb je vastgesteld op welke wijze je persoonsgegevens wilt verwerken. Voor dat doel heb je een overeenkomst gesloten met de EPD leverancier gesloten om die verwerking vorm te geven. Anders gesteld: de EPD leverancier stelt je in staat om persoonsgegevens te verwerken. Op de leverancier rusten dus de verplichtingen als verwerker. 

Je doelt waarschijnlijk op het juridisch advies in dit bericht. Dat is inderdaad een verrassende stellingname. Verrassend omdat in het eerste deel van de tekst de focus wordt gelegd op een externe begrenzing. Daarmee wordt, wellicht onbedoeld, een belangentegenstelling gecreëerd. Afbeelding: Anders Vasthouden van Wouter Hart
In het licht van de bedoeling van de AVG is dat niet verstandig.

Gelukkig wordt die belangentegenstelling in het laatste deel van de tekst genuanceerd door te benadrukken dat het belangrijk is dat iedere huisarts zelf zijn eigen professionele afweging dient te maken. Waarbij een appèl wordt gedaan op de eigen verantwoordelijkheid van de professional die er toe moet leiden dat niet het systeem maar de bedoeling leidend is. Dat heet Anders vasthouden.

Afbeelding uit Anders Vasthouden van Wouter Hart

 

Kernwoord(en): FG

De AVG verandert niets aan de bestaande regels van de WGBO (Wet Geneeskundige Behandelingsovereenkomst). Bestaande regels voor minderjarigen blijven dus gewoon van toepassing.

Persoonlijke werkaantekeningen ook wel geheugensteuntjes genoemd zijn niet bedoeld voor andere ogen dan de de zorgverlener zelf. Ze maken dus geen deel uit van het medisch dossier en vallen dus buiten het inzagerecht van de patiënt.  Medische diagnoses (denk ook aan de authenticiteit – de bron) en conclusies van de zorgverlener op basis van eigen bevindingen maken wel deel uit van het dossier en daarvoor geldt dus wel het inzagerecht.

Nee. Zie ook het antwoord op de vraag over het inzagerecht (artikel 15).

Onderdeel van de verantwoordingsplicht is dat men moet kunnen aantonen dat een betrokkene zijn of haar toestemming heeft gegeven. Met het begrip toestemming wordt bedoeld op: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de hem/haar betreffende verwerking van persoonsgegevens aanvaardt. Om een geldige toestemming aan te tonen kan dus niet worden volstaan met het zelf plaatsen van een vinkje. De woorden specifiek, geïnformeerd, en ondubbelzinnig spelen een cruciale rol bij de aantoonbaarheid. Volstrekt helder moet zijn op basis van welke informatie de betrokkene zijn/haar toestemming heeft gegeven. Bijvoorbeeld door deze te koppelen aan een kopie van de informatie die de betrokkene heeft ontvangen voorafgaand aan de gegeven toestemming. Artikel 7 regelt dat het intrekken van een toestemming even eenvoudig is als het geven daarvan.

Personeelsgegevens vallen onder de fiscale bewaarplicht en die is 7 jaar. Als onverhoopt overgestapt wordt op een ander computerprogramma en de gegevens kunnen niet eenvoudig worden overgezet is het verstandig om afspraken te maken met de belastingdienst. Zie ook deze pagina.

Kernwoord(en): (Beheers)maatregelen

Deze vraag is al eerder gesteld. De AVG verlangt dat je uitsluitend een beroep doet op verwerkers die afdoende garanties bieden en dat de verwerking geregeld wordt in een overeenkomst waarin een aantal waarborgen zijn opgenomen. Die waarborgen zullen ook de basis zijn waarop betrokkenen hun toestemming hebben gegeven. Zonder die waarborgen kun je dus niet voldoen aan de AVG en verliest de verkregen toestemming  zijn geldigheid. Onder die condities is het aanbieden van data niet verantwoord. Een organisatie kan jou contractueel niet verplichten om de wet te overtreden.

De Wet Geneeskundige Behandelingsovereenkomst (WGBO) is de wettelijke basis om (bijzondere) persoonsgegevens vast te leggen. De vorm is vrij. Hij hoeft dus niet schriftelijk te worden aangegaan. De WGBO verlangt dossiervoering en daarvoor is geen toestemming vereist. Samenvattend: de AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. De bijzondere omstandigheden die gelden voor minderjarigenen wilsonbekwame personen golden reeds voordat de AVG van toepassing werd en gelden dus nog steeds.

Zie voor details de huidige WGBO (Wet Geneeskundige Behandelingsovereenkomst)

De Wet Geneeskundige Behandelingsovereenkomst (WGBO) is de wettelijke basis om (bijzondere) persoonsgegevens vast te leggen. De vorm is vrij. Hij hoeft dus niet schriftelijk te worden aangegaan. De WGBO verlangt dossiervoering en daarvoor is geen toestemming vereist. Samenvattend: de AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. De bijzondere omstandigheden die gelden voor minderjarigen en wilsonbekwame personen golden reeds voordat de AVG van toepassing werd en gelden dus nog steeds.

Zie voor details de huidige WGBO (Wet Geneeskundige Behandelingsovereenkomst)

Op 31-05 heeft de Autoriteit Persoonsgegevens een nadere duiding gegeven aan het abstracte begrip ‘grootschaligheid’. (Zie berichtgeving). Het is verstandig om bij het vaststellen van het aantal personen waarvan je (bijzondere) persoonsgegevens verwerkt ook rekening te houden met persoonsgegevens in je archieven.

Als verwerkingsverantwoordelijke heb je de wettelijke plicht om persoonsgegevens te beveiligen. Nadat je de verwerkingen in kaart hebt gebracht (zie 2e sheet op deze pagina)  is de volgende stap om vast te stellen aan welke eventuele risico’s de gegevens worden blootgesteld (of zouden kunnen worden blootgesteld) en welke beveiligingsmaatregelen genomen moeten worden om ze tegen die risico’s te beschermen. Een PIA (Privacy Impact Assessment) of ook wel Data Protection Impact Assessment genoemd brengt die risico’s op een gestructureerde wijze in kaart. De norm voor informatiebeveiliging NEN7510 (die sinds juni 2009 verplicht is) helpt je daarbij.  Aanvullende informatie tref je op de site van de Autoriteit Persoonsgegevens

Zorgverleners moeten kunnen aantonen dat aan de identificatieplicht is voldaan. Om dat te doen wordt het het type en het nummer van het identiteitsbewijs in de administratie vastgelegd. Kopie of scan maken  (waarbij alle persoonsgegevens zichtbaar zijn) is niet toegestaan.  Zie ook de site van de Autoriteit Persoonsgegevens.

Nee natuurlijk niet. Als er maar in staat wat er in staan moet. En als bijzondere persoonsgegevens, zoals gegevens over de gezondheid en een BSN worden geregistreerd is dat meer dan als dat niet het geval is. Maar een privacyverklaring heeft echt niet formeel te zijn. Als je eens op zoek gaat tref je soms zeer toegankelijke en inspirerende verklaringen. Zoals deze van een theatergezelschap die me onlangs werd toegespeeld door een collega en waarnaar ik ter inspiratie graag verwijs.

Kernwoord(en): Privacyverklaring

De behoefte aan eenduidigheid en eenvoud is begrijpelijk, maar nee, dat zou strijdig zijn met artikel 7 van de AVG. Voor het verkrijgen (en registreren) van toestemming gelden strikte regels waaraan moet worden voldaan om de kwalificatie “rechtsgeldig” te verdienen. In verband met de vereiste specificiteit en ondubbelzinnigheid dienen toestemmingen dus afzonderlijk te worden verkregen en gedocumenteerd.

Ja. Sinds 1 juni 2009 is iedere zorgaanbieder wettelijk verplicht om het Burgerservicenummer (BSN) in zijn administratie op te nemen en te gebruiken bij de uitwisseling van gegevens. Dit is geregeld in de Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg (WABVPZ).

De wetgever stelt wel voorwaarden aan het gebruik van het BSN. Via het Besluit elektronische gegevensverwerking door zorgaanbieders worden nadere regels gesteld over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders. Zorgaanbieders zijn verplicht om te voldoen aan de NEN normen voor informatiebeveiliging  (NEN 7510, 7511 en 7512).

 

De AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. Zie dit document op de site van de KNMG. Zie in dit verband ook deze vraag

Geanonimiseerde gegevens zijn geen persoonsgegevens. Voor het verstrekken van anonieme gegevens hoeft uw zorgverlener dan ook geen toestemming te vragen. Als dat wel gebeurt, is dat dus met elkaar in tegenspraak. Er zijn echter onderzoeken bekend die met het verstrekken van anonieme gegevens zijn gestart, maar die, door het uitvragen van meer persoonsgegevens inmiddels wel tot een persoon herleidbaar zijn. Daarmee zijn het persoonsgegevens en is wel expliciete toestemming vereist. Zie hier de daaraan te stellen eisen.

Kun je je, als verwerkingsverantwoordelijke niet vinden in de inhoud van een verwerkersovereenkomst die je door een verwerker wordt aangeboden, ga dan niet akkoord. De AVG verwacht van een verwerkingsverantwoordelijke dat die de regie neemt. Dat kan door zelf het initiatief te nemen en gebruik te maken van de inmiddels zorg breed geaccepteerde modelovereenkomst. Als de beoogd verwerker zich niet kan vinden in de inhoud, is het zaak om de, met de verwerker gevoerde correspondentie goed vast te leggen (zie ook deze FAQ). Misschien is het ook goed om je te realiseren dat bij iedere verwerking sprake dient te zijn van rechtmatigheid en een verwerkingsverantwoordelijke die doel en middelen van de verwerking bepaalt. Dit ook in relatie tot de ruimte c.q. bewegingsvrijheid van een verwerker. De verantwoordelijke geeft antwoord op de vragen: welke gegevens worden verwerkt, hoe die worden verwerkt; wie er toegang tot die gegevens heeft en hoe lang ze worden bewaard (c.q. wanneer ze worden verwijderd). Als je zelf op al die vragen geen antwoord kunt geven of geen bepalende rol hebt, kun je de rol van verwerkingsverantwoordelijke niet vervullen en ligt die bij een ander. Zie ook deze FAQ op de site AVG helpdesk voor de Zorg

Artikel 28.3 (2e afbeelding op deze pagina) schrijft voor wat er in de bewerkersovereenkomst dient te zijn opgenomen. Het hebben van een goede verwerkersovereenkomst maakt onderdeel uit van de door de verwerkingsverantwoordelijke te treffen organisatorische maatregelen. Komt er geen verwerkersovereenkomst tot stand die voldoet aan de eisen die de AVG daaraan stelt, dan voldoe je niet aan de AVG en ben je strafbaar als je de persoonsgegevens verwerkt. 

Ja dat kan. Als je twijfels hebt of vermoedt dat risico’s onvoldoende zijn afgedekt ben je dat zelfs verplicht. Je bent dan immers niet in staat om de vereiste adequate technische en organisatorische beveiligingsmaatregelen te treffen. Overeenkomstig Artikel 36 van de AVG ben je dan verplicht om een voorafgaande raadpleging aan te vragen bij de AP. Een FG kan je hierin adviseren. De wettelijk vastgestelde behandeltermijn voor een voorafgaande raadpleging is maximaal 14 weken. Tijdens deze procedure mag nog niet worden begonnen met de verwerking! Op de site van de AP tref je een pagina met aanvullende informatie, vragen en antwoorden en het formulier waarmee je om de voorafgaande raadpleging verzoekt. Na invulling dient dat te worden gericht aan:

Autoriteit Persoonsgegevens
Verzoek voorafgaande raadpleging
Postbus 93374
2509 AJ DEN HAAG



Ik heb geen antwoord gevonden op mijn vraag: