Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

11-12-2018 Update
In aanvulling op het bericht van 31-05-2018 heeft de Autoriteit een aanvullend bericht gepubliceerd over het begrip grootschaligheid.

Op 31-05-2018 heeft de Autoriteit Persoonsgegevens een nadere duiding gegeven aan het abstracte begrip ‘grootschaligheid’. (Zie berichtgeving). Het is verstandig om bij het vaststellen van het aantal personen waarvan je (bijzondere) persoonsgegevens verwerkt ook rekening te houden met persoonsgegevens in je archieven.

Je doelt waarschijnlijk op het juridisch advies in dit bericht. Dat is inderdaad een verrassende stellingname. Verrassend omdat in het eerste deel van de tekst de focus wordt gelegd op een externe begrenzing. Daarmee wordt, wellicht onbedoeld, een belangentegenstelling gecreëerd. Afbeelding: Anders Vasthouden van Wouter Hart
In het licht van de bedoeling van de AVG is dat niet verstandig.

Gelukkig wordt die belangentegenstelling in het laatste deel van de tekst genuanceerd door te benadrukken dat het belangrijk is dat iedere huisarts zelf zijn eigen professionele afweging dient te maken. Waarbij een appèl wordt gedaan op de eigen verantwoordelijkheid van de professional die er toe moet leiden dat niet het systeem maar de bedoeling leidend is. Dat heet Anders vasthouden.

Afbeelding uit Anders Vasthouden van Wouter Hart

 

Kernwoord(en): Artikel 37, FG, Grootschaligheid

Theoretisch kan dat. Praktisch gezien heeft dat wel een aantal consequenties. Uiteraard dient de FG te beschikken over de nodige competenties. Op de site van de Autoriteit Persoonsgegevens wordt aangegeven wat een FG moet weten en kunnen.  Een FG dient in staat te zijn/te worden gesteld om zijn rol als onafhankelijk toezichthouder en adviseur uit te voeren. Ook zijn positie binnen een organisatie dient onmiskenbaar aantoonbaar onafhankelijk te zijn.  Door de  toezichthouder worden ook een aantal voorwaarden genoemd waaraan moet worden voldaan om die onafhankelijkheid te borgen.

  • De FG mag geen instructies krijgen hoe hij zijn taken als FG moet uitvoeren.
  • De FG mag niet worden ontslagen of worden gestraft als gevolg van de uitoefening van zijn FG-taken.
  • Er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere taken of functies van de FG.

Om die belangenverstrengeling te voorkomen, mag de FG binnen de organisatie niet ook een functie hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt. Dit kan bijvoorbeeld zo zijn als de FG een managementpositie vervult, zoals hoofd financiën, strategie, marketing, IT of HRM.

De praktijk leert, dat meer dan eens de signalen of adviezen van een FG  worden genegeerd of ondergeschikt worden gemaakt aan andere prioriteiten. Dat leidt soms tot spanningen en conflicten tussen een FG en het management van een organisatie. Daar moet het management mee om kunnen gaan, maar ook een FG.

Vraag 3 van de Regelhulp AVG   luidt:

3. Heeft u een functionaris gegevensbescherming nodig?

Onder de AVG kunt u verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen uw organisatie toezicht houdt op de toepassing en naleving van de AVG. Als u één of meerdere van onderstaande vragen met ‘ja’ beantwoordt, bent u in elk geval verplicht om een FG aan te stellen.

Verwerkt u bijzondere en/of strafrechtelijke persoonsgegevens op grote schaal en is dit een kernactiviteit van uw organisatie?

Als zorgverlener verwerkt u bijzondere persoonsgegevens. Echter is onduidelijk wat met “op grote schaal” wordt bedoeld. Verwijzend naar een andere vraag moet ik het antwoord (nog) schuldig blijven.

Update: zie de meest recente berichtgeving over het begrip ‘grootschaligheid’ van de Autoriteit Persoonsgegevens.

11-12-2018 Update
In aanvulling op het bericht van 31-05-2018 heeft de Autoriteit een aanvullend bericht gepubliceerd over het begrip grootschaligheid.

Op 31-05-2018 heeft de Autoriteit Persoonsgegevens een nadere duiding gegeven aan het abstracte begrip ‘grootschaligheid’. (Zie berichtgeving). Het is verstandig om bij het vaststellen van het aantal personen waarvan je (bijzondere) persoonsgegevens verwerkt ook rekening te houden met persoonsgegevens in je archieven.

De tekst van de AVG is op dit punt op dit moment (nog) niet geheel duidelijk. Aangegeven wordt dat een ziekenhuis wel verplicht is om een FG aan te stellen, maar een individuele huisarts niet. Over samenwerkingsverbanden van meerdere zorgprofessionals worden echter geen uitspraken gedaan. Een aantal criteria zijn van belang bij de toets of je als organisatie verplicht bent of niet. De aard van de gegevens (gegevens over gezondheid zijn bijzonder gevoelige gegevens), is de verwerking een kernactiviteit en vindt verwerking plaats op grote schaal. Een Europese richtlijn moet helderheid verschaffen maar doet dat niet echt. Via een speciale pagina van de Autoriteit Persoonsgegevens wordt iedereen geïnformeerd over de ontwikkelingen.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport