Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

“In reactie op een vraag aan een organisatie kreeg ik te horen: we hebben een FG aangesteld, maakt u zich maar geen zorgen. Met die AVG zit het bij ons wel goed.” Kan ik daar dan op vertrouwen?

Nee, zeker niet. In tegendeel zou ik bijna zeggen, want als dat beeld bestaat binnen een organisatie, is er iets mis. Net zo min als het aanstellen van een vertrouwenspersoon in een organisatie er voor kan zorgen dat een vertrouwensconflict opgelost wordt, is het aanstellen van een FG een garantie dat aan de AVG wordt voldaan.
De organisatie moet zorgen en aantonen(!) dat het “met de AVG wel goed zit”. Dat is niet de taak van een FG. De taak van de FG is er op toe te zien dat die bewering klopt en dat inderdaad aan privacywetgeving wordt voldaan. Op dat punt verschilt zijn rol dus niet met die van de Autoriteit Persoonsgegevens. Overigens kan een FG die rol alleen vervullen als hij daartoe, vanuit een onafhankelijke positie in staat wordt gesteld. Is de FG in dienst bij de organisatie, dan dreigt die onafhankelijkheid soms wel eens in de verdrukking te komen. Dat kan dan een uitdaging betekenen voor zowel de organisatie, maar zeker ook voor de FG. Zie ook deze vraag over wat een FG moet weten en kunnen en deze over het bieden van zekerheid

In een brief van de AP aan de NVZ stelt de AP op 7 oktober 2016, dat “bij de patiënt-authenticatie voor communicatie met en onder verantwoordelijkheid van de zorgaanbieder in beginsel dient te worden uitgegaan van een ‘hoog betrouwbaarheidsniveau’ en dat in gevallen waar het gaat om gegevens waarop het medisch beroepsgeheim van de zorgverlener rust het ‘hoogste betrouwbaarheidsniveau’ vereist is.”

In de brief van de Autoriteit Persoonsgegevens aan de voorzitter van het Informatieberaad Zorg van 4 oktober 2018 wordt herhaald dat, “door het ontbreken van een brede beschikbaarheid van middelen die toezien op het vaststellen van betrouwbaarheidsniveau “substantieel” dan wel het voor de zorg vereiste “hoog”, de elektronische uitwisseling van gegevens over de gezondheid tussen zorgaanbieders en patiënten in beginsel niet kan plaatsvinden omdat de bescherming van persoonsgegevens, waaronder gegevens over gezondheid, dan onvoldoende is gewaarborgd ” In de brief wordt gesteld dat “brede beschikbaarheid van betrouwbaarheidsniveaus “substantieel” en “hoog” voor alle patiënten  nog enige tijd in beslag zal nemen.

In de brief wordt niet gesproken over de uitwisseling tussen zorgverleners. Voor zover ik weet beschikken die ook niet over de middelen om een passend betrouwbaarheidsniveau toe te passen. Is dat dan volgens de AP wel toegestaan?  

Hoewel de focus in de brieven waaraan u refereert lijkt te liggen op het raadplegen (de toegang tot gegevens – ook wel pull genoemd), heeft u me in een gesprek duidelijk gemaakt dat uw vraag ook betrekking heeft op versleuteling van de inhoud van berichten op een zodanige wijze dat zekerheid bestaat over de verzender en dat alleen de ontvanger kennis kan nemen van die inhoud (end-to-end encryptie). Die middelen zijn inderdaad nu nog niet breed beschikbaar. En ja, op dit moment is sprake is van uitwisseling van berichten zonder dat de vereiste zekerheid bestaat over verzender. En ja, het is niet uit te sluiten dat naast de beoogd ontvanger ook anderen van de inhoud van het bericht over u kennis nemen.  

Omdat het in de gezondheidszorg geen optie is om niet uit te wisselen, zullen verwerkingsverantwoordelijken dus moeten roeien met de riemen die men op dit moment heeft, waarbij ieder risico van onbevoegde kennisname zoveel mogelijk wordt uitgesloten. Of in AVG termen.. daartoe “passende technische en organisatorische maatregelen” moeten nemen. Met dat begrip passend wordt dus ook rekening gehouden met het ontbreken van die “breed beschikbare middelen” op dit moment.  

Zie voor aanvullende informatie ook deze pagina.

De nieuwe aanmeldprocedure voor de Functionaris voor de Gegevensbescherming via de site van de Autoriteit Persoonsgegevens die op 4 april is geïntroduceerd (zie deze vraag) functioneert nog niet helemaal volgens verwachting. Tijdens een overleg met de AP op 18-04 j.l. is door de Autoriteit gemeld dat alle aanmeldingen nog deze maand zullen worden bevestigd. 

Als de zorgen van “allerlei wegen” op feiten zijn gebaseerd kan hiervan melding worden gemaakt aan de Autoriteit Persoonsgegevens via de daartoe speciaal ingerichte pagina. Het is misschien ook goed dat “allerlei wegen” zich realiseert, dat niet anonieme gegevens alleen door Organisatie X kunnen worden doorgespeeld als die met- dan wel  zonder – medeweten door een verwerkingsverantwoordelijke zijn verstrekt. Zie in dat verband ook de reactie op deze vraag

Tot voor kort kon je daarvoor een speciaal aanmeldformulier gebruiken. Vanaf 04-04-2018 moet dat via een daartoe ingerichte pagina op de site van de AP. Tegelijkertijd wordt het huidige FG register opgeschoond. In verband met de AVG wil de AP nu bijvoorbeeld ook weten of het aanstellen van de FG op vrijwillige basis geschied of dat sprake is van een verplichting tot aanmelding. Alle FG’s moeten daarom opnieuw worden aangemeld bij de AP (Art. 37 lid 7)

Ook het te raadplegen register op de site van de AP verdwijnt. Op grond van de AVG zijn verantwoordelijken en verwerkers dan namelijk verplicht om zelf de contactgegevens van hun FG te publiceren.

Aanmelden is mogelijk via het aanmeldingsformulier functionaris voor de gegevensbescherming (FG). Let op: alle FG-aanmeldingen (ook die recentelijk zijn gedaan), komen dus per 25 mei 2018 te vervallen!

Op de site van de Autoriteit Persoonsgegevens wordt aangegeven wat de competenties (dienen te) zijn van een Functionaris voor de Gegevensbescherming, onder welke condities deze zijn werkzaamheden moet kunnen vervullen en wordt de onafhankelijke rol van een FG benadrukt.

Theoretisch kan dat. Praktisch gezien heeft dat wel een aantal consequenties. Uiteraard dient de FG te beschikken over de nodige competenties. Op de site van de Autoriteit Persoonsgegevens wordt aangegeven wat een FG moet weten en kunnen.  Een FG dient in staat te zijn/te worden gesteld om zijn rol als onafhankelijk toezichthouder en adviseur uit te voeren. Ook zijn positie binnen een organisatie dient onmiskenbaar aantoonbaar onafhankelijk te zijn.  Door de  toezichthouder worden ook een aantal voorwaarden genoemd waaraan moet worden voldaan om die onafhankelijkheid te borgen.

  • De FG mag geen instructies krijgen hoe hij zijn taken als FG moet uitvoeren.
  • De FG mag niet worden ontslagen of worden gestraft als gevolg van de uitoefening van zijn FG-taken.
  • Er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere taken of functies van de FG.

Om die belangenverstrengeling te voorkomen, mag de FG binnen de organisatie niet ook een functie hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt. Dit kan bijvoorbeeld zo zijn als de FG een managementpositie vervult, zoals hoofd financiën, strategie, marketing, IT of HRM.

De praktijk leert, dat meer dan eens de signalen of adviezen van een FG  worden genegeerd of ondergeschikt worden gemaakt aan andere prioriteiten. Dat leidt soms tot spanningen en conflicten tussen een FG en het management van een organisatie. Daar moet het management mee om kunnen gaan, maar ook een FG.

11-12-2018 Update
In aanvulling op het bericht van 31-05-2018 heeft de Autoriteit een aanvullend bericht gepubliceerd over het begrip grootschaligheid.

Op 31-05-2018 heeft de Autoriteit Persoonsgegevens een nadere duiding gegeven aan het abstracte begrip ‘grootschaligheid’. (Zie berichtgeving). Het is verstandig om bij het vaststellen van het aantal personen waarvan je (bijzondere) persoonsgegevens verwerkt ook rekening te houden met persoonsgegevens in je archieven.

De tekst van de AVG is op dit punt op dit moment (nog) niet geheel duidelijk. Aangegeven wordt dat een ziekenhuis wel verplicht is om een FG aan te stellen, maar een individuele huisarts niet. Over samenwerkingsverbanden van meerdere zorgprofessionals worden echter geen uitspraken gedaan. Een aantal criteria zijn van belang bij de toets of je als organisatie verplicht bent of niet. De aard van de gegevens (gegevens over gezondheid zijn bijzonder gevoelige gegevens), is de verwerking een kernactiviteit en vindt verwerking plaats op grote schaal. Een Europese richtlijn moet helderheid verschaffen maar doet dat niet echt. Via een speciale pagina van de Autoriteit Persoonsgegevens wordt iedereen geïnformeerd over de ontwikkelingen.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport