Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Sinds het van kracht worden van de AVG is er wel wat veranderd. Van belang is wie de informatie opvraagt en hoe (via welk medium) men de informatie wenst. Je kunt op de site van de LHV terecht voor uitvoerige informatie. Nog uitgebreidere informatie tref je in het document Omgaan met medische gegevens van de KNMG

Geanonimiseerde gegevens zijn geen persoonsgegevens. Voor het verstrekken van anonieme gegevens hoeft uw zorgverlener dan ook geen toestemming te vragen. Als dat wel gebeurt, is dat dus met elkaar in tegenspraak. Er zijn echter onderzoeken bekend die met het verstrekken van anonieme gegevens zijn gestart, maar die, door het uitvragen van meer persoonsgegevens inmiddels wel tot een persoon herleidbaar zijn. Daarmee zijn het persoonsgegevens en is wel expliciete toestemming vereist.

Deze vraag is al eerder gesteld. De AVG verlangt dat je uitsluitend een beroep doet op verwerkers die afdoende garanties bieden en dat de verwerking geregeld wordt in een overeenkomst waarin een aantal waarborgen zijn opgenomen. Die waarborgen zullen ook de basis zijn waarop betrokkenen hun toestemming hebben gegeven. Zonder die waarborgen kun je dus niet voldoen aan de AVG en verliest de verkregen toestemming  zijn geldigheid. Onder die condities is het aanbieden van data niet verantwoord. Een organisatie kan jou contractueel niet verplichten om de wet te overtreden.

Als de zorgen van “allerlei wegen” op feiten zijn gebaseerd kan hiervan melding worden gemaakt aan de Autoriteit Persoonsgegevens via de daartoe speciaal ingerichte pagina. Het is misschien ook goed dat “allerlei wegen” zich realiseert, dat niet anonieme gegevens alleen door Organisatie X kunnen worden doorgespeeld als die met- dan wel  zonder – medeweten door een verwerkingsverantwoordelijke zijn verstrekt. Zie in dat verband ook de reactie op deze vraag

Op het moment dat u om toestemming is/wordt gevraagd moet voor u glashelder zijn waarvoor u die toestemming geeft. Uw zorgverlener zal u dus precies moeten kunnen zeggen welke gegevens van u de deur uit gaan. Kan hij dat niet dan rest u niets anders dan uw teleurstelling – misnoegen te laten blijken en uw toestemming onmiddellijk weer in te trekken. Er is immers geen sprake van een informed consent … de basis van een opt-in. Uw zorgverlener dient zich te realiseren dat ook de opt-in’s voor alle overige patiënten die aan hetzelfde onderzoek deelnemen niet rechtsgeldig zijn. Uw zorgverlener kan alleen verantwoordelijkheid nemen voor zaken die hem bekend zijn. Zijn verwerker moet hem in staat stellen zicht te hebben op de geëxporteerde data die klaar staan om te worden verzonden. De verwerker dient een verwerkingsverantwoordelijke in staat te stellen een export voor verzending te autoriseren of af te wijzen.

Impact van de AVG is dat inzichten veranderen. Processen die zich tot dusver als min of meer vanzelfsprekend voltrokken worden nu tegen het licht gehouden. Dat is feitelijk wat de verordening beoogt: het waarom. Betrokkenen hebben recht op transparantie (Artikel 12 AVG). Maak duidelijk dat je alle (tot dusver gangbare) processen waarmee (bijzondere) persoonsgegevens zijn gemoeid tegen het licht houdt en dat je behoefte hebt aan meer garanties voor jezelf als verwerkingsverantwoordelijke, voor betrokkenen die hun persoonsgegevens aan je hebben verstrekt en de toezichthouder. Maak daarbij gebruik van de informatie die aangereikt is tijdens de webinars, op deze site en die van overheidsinstanties. Leg je acties (en reacties!) vast als onderdeel van het tot stand brengen van je ISMS  Zie ook deze vraag en antwoord

Stel vast wie de verwerkingsverantwoordelijke is (dus de opdrachtgever voor de verwerker). Als je dat zelf bent dien je te beschikken over een overeenkomst. De AVG stelt voorwaarden aan de inhoud van een dergelijke overeenkomst. Als die overeenkomst ontbreekt en/of sprake is van een min of meer gedwongen opdrachtgeverschap ga dan na hoe die tot stand gekomen is. Leg alles (dus ook de communicatie met betrokken instanties) zo zorgvuldig mogelijk vast in het kader van artikel 30 van de AVG (verwerkingen in kaart brengen) en het tot stand brengen van het ISMS. Zonder het door jou gewenste inzicht ben je niet in staat / kan niet van je worden verlangd om de verantwoordelijkheid te nemen die je cliënten/patiënten van je (moeten kunnen) verwachten.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport