Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Nee. Je zorgverlener is wel verplicht om je identiteit vast te stellen aan de hand van uw BSN nummer (zie ook deze vraag), maar kan dan volstaan met het overnemen van het nummer van het identiteitsbewijs zoals het nummer van je paspoort. In tegenstelling tot wat veel mensen denken, zijn er maar een paar organisaties die die wel verplicht zijn om een kopie van uw identiteitsbewijs te maken. Met het oog op risico’s is het sterk af te raden om je paspoort of rijbewijs zomaar af te geven om een kopietje te laten maken! Als je zelf een kopie maakt en het BSN afdekt of goed doorstreept of de KopieID app gebruikt kun je de risico’s op identiteitsfraude verkleinen. Zie ook dit filmpje en de informatie op deze pagina.

Ja dat kan. Als je twijfels hebt of vermoedt dat risico’s onvoldoende zijn afgedekt ben je dat zelfs verplicht. Je bent dan immers niet in staat om de vereiste adequate technische en organisatorische beveiligingsmaatregelen te treffen. Overeenkomstig Artikel 36 van de AVG ben je dan verplicht om een voorafgaande raadpleging aan te vragen bij de AP. Een FG kan je hierin adviseren. De wettelijk vastgestelde behandeltermijn voor een voorafgaande raadpleging is maximaal 14 weken. Tijdens deze procedure mag nog niet worden begonnen met de verwerking! Op de site van de AP tref je een pagina met aanvullende informatie, vragen en antwoorden en het formulier waarmee je om de voorafgaande raadpleging verzoekt. Na invulling dient dat te worden gericht aan:

Autoriteit Persoonsgegevens
Verzoek voorafgaande raadpleging
Postbus 93374
2509 AJ DEN HAAG

Artikel 28.3 (2e afbeelding op deze pagina) schrijft voor wat er in de bewerkersovereenkomst dient te zijn opgenomen. Het hebben van een goede verwerkersovereenkomst maakt onderdeel uit van de door de verwerkingsverantwoordelijke te treffen organisatorische maatregelen. Komt er geen verwerkersovereenkomst tot stand die voldoet aan de eisen die de AVG daaraan stelt, dan voldoe je niet aan de AVG en ben je strafbaar als je de persoonsgegevens verwerkt. 

Kun je je, als verwerkingsverantwoordelijke niet vinden in de inhoud van een verwerkersovereenkomst die je door een verwerker wordt aangeboden, ga dan niet akkoord. De AVG verwacht van een verwerkingsverantwoordelijke dat die de regie neemt. Dat kan door zelf het initiatief te nemen en gebruik te maken van de inmiddels zorg breed geaccepteerde modelovereenkomst. Als de beoogd verwerker zich niet kan vinden in de inhoud, is het zaak om de, met de verwerker gevoerde correspondentie goed vast te leggen (zie ook deze FAQ). Misschien is het ook goed om je te realiseren dat bij iedere verwerking sprake dient te zijn van rechtmatigheid en een verwerkingsverantwoordelijke die doel en middelen van de verwerking bepaalt. Dit ook in relatie tot de ruimte c.q. bewegingsvrijheid van een verwerker. De verantwoordelijke geeft antwoord op de vragen: welke gegevens worden verwerkt, hoe die worden verwerkt; wie er toegang tot die gegevens heeft en hoe lang ze worden bewaard (c.q. wanneer ze worden verwijderd). Als je zelf op al die vragen geen antwoord kunt geven of geen bepalende rol hebt, kun je de rol van verwerkingsverantwoordelijke niet vervullen en ligt die bij een ander. Zie ook deze FAQ op de site AVG helpdesk voor de Zorg

Ja, maar wel op een veilige manier. Pas nadat gecontroleerd is of u degene bent die hoort bij het BSN mag het BSN in de administratie worden opgenomen. De zorgverlener controleert dit aan de hand van uw identiteitsbewijs. Als een behandelingsovereenkomst tot stand is gekomen, is iedere zorgaanbieder sinds 1 juni 2009 wettelijk verplicht om het Burgerservicenummer (BSN) in zijn administratie op te nemen en te gebruiken bij de uitwisseling van gegevens. Dit is geregeld in de Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg (WABVPZ).

De wetgever stelt wel voorwaarden aan het gebruik van het BSN. Via het Besluit elektronische gegevensverwerking door zorgaanbieders worden nadere regels gesteld over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders. Zorgaanbieders zijn verplicht om te voldoen aan de NEN normen voor informatiebeveiliging  (NEN 7510, 7511 en 7512).

Als verwerkingsverantwoordelijke heb je de wettelijke plicht om persoonsgegevens te beveiligen. Nadat je de verwerkingen in kaart hebt gebracht (zie 2e sheet op deze pagina)  is de volgende stap om vast te stellen aan welke eventuele risico’s de gegevens worden blootgesteld (of zouden kunnen worden blootgesteld) en welke beveiligingsmaatregelen genomen moeten worden om ze tegen die risico’s te beschermen. Een PIA (Privacy Impact Assessment) of ook wel Data Protection Impact Assessment genoemd brengt die risico’s op een gestructureerde wijze in kaart. De norm voor informatiebeveiliging NEN7510 (die sinds juni 2009 verplicht is) helpt je daarbij.  Aanvullende informatie tref je op de site van de Autoriteit Persoonsgegevens

11-12-2018 Update
In aanvulling op het bericht van 31-05-2018 heeft de Autoriteit een aanvullend bericht gepubliceerd over het begrip grootschaligheid.

Op 31-05-2018 heeft de Autoriteit Persoonsgegevens een nadere duiding gegeven aan het abstracte begrip ‘grootschaligheid’. (Zie berichtgeving). Het is verstandig om bij het vaststellen van het aantal personen waarvan je (bijzondere) persoonsgegevens verwerkt ook rekening te houden met persoonsgegevens in je archieven.

Er worden veel vragen gesteld die beginnen met het werkwoord “mogen” of “moeten“. Dus: Mogen … moeten wij, nu de AVG van kracht is, dit of dat (nog) doen? Misschien goed om je te realiseren dat  je veelal niet echt iemand anders nodig hebt om antwoord op vragen te krijgen als je jezelf consequent de volgende vragen voorlegt:

  1. Is sprake van een rechtmatige verwerking?
  2. Beschik ik over de expliciete toestemming van betrokkene(n) als dat wordt verlangd?  
  3. Bestaan (of ontstaan) voor een betrokkene (patiënt, medewerker of lid) vermijdbare risico’s bij deze handeling of verwerking?
  4. Heb ik voldoende inzicht in de eventuele gevolgen voor de betrokkene(n) en mijn organisatie?
  5. Als het antwoord op vraag 3 JA luidt, kan/wil ik (ook ethisch gezien!) de betrokkene(n) en mijn organisatie aan die risico’s blootstellen?
  6. Ben ik ook bereid om de daaruit eventueel voortvloeiende consequenties (boetes, reputatie- of imagoschade) te aanvaarden?

Personeelsgegevens vallen onder de fiscale bewaarplicht en die is 7 jaar. Als onverhoopt overgestapt wordt op een ander computerprogramma en de gegevens kunnen niet eenvoudig worden overgezet is het verstandig om afspraken te maken met de belastingdienst. Zie ook deze pagina.

Kernwoord(en): (Beheers)maatregelen

Vooral voor organisaties die nog moeten starten is het veel. Waar te beginnen. Uiteraard met het verwerkingsregister. Maar ook het  op orde hebben van de informatiebeveiliging. Voorwaarde voor het (verplicht) gebruik van BSN in de zorg is (al enige jaren) de implementatie van de norm voor informatiebeveiliging NEN7510 (zie dit bericht).

Het van kracht worden van de AVG op 25-05-2018 en het besef dat implementatie van de NEN7510 een vereiste is  zorgt hier en daar voor paniek. Vooral bij de confrontatie met uitgebreide risicoanalyses en de omvang van deel 2 (Beheersmaatregelen) van de NEN7510.

Het is misschien goed om te weten dat er nog veel moet gebeuren voordat alle zorgorganisaties aantoonbaar aan de AVG zullen voldoen. Dat neemt niet weg dat je moet beseffen dat als geen acties worden ondernomen, je niet moet rekenen op begrip van de toezichthouder en betrokkenen.

  • Als eerste stap is het goed om op een zo kort mogelijke termijn te streven naar minimaal level 2 van de Privacy Maturity Index.
  • De inhoud (en uitgebreidheid) van een risicoanalyse is afhankelijk van vele (eigen organisatie specifieke) variabelen. Hanteer het principe SMART (Specifiek Meetbaar Acceptabel Realistisch en Tijdgebonden) bij het bepalen van de scope voordat je met die risicoanalyse aan de slag gaat
  • Documenteer alles wat je onderneemt
  • Dat SMART principe is ook van belang bij het documenteren van de maatregelen je graag wilt nemen maar niet kunt nemen door gebrek aan capaciteit, financiën of invloed.

 

Dat er geen (in dit geval bijzondere) persoonsgegevens worden uitgewisseld doet niets af aan het feit dat je deze in beheer hebt. Ik zou me goed kunnen voorstellen dat in jouw situatie de maatregelen om de risico’s te minimaliseren van beperkte omvang kunnen zijn, maar het antwoord is JA. Je hebt inderdaad de plicht om de passende technische en organisatorische maatregelen te nemen die van jou als verwerkingsverantwoordelijke verwacht worden om te kunnen waarborgen (en aantonen) dat aan de AVG wordt voldaan. Iets anders geformuleerd klinkt het misschien iets vriendelijker: je voormalig patiënten moeten er op kunnen vertrouwen dat hun (bijzondere) persoonsgegevens nog steeds veilig bij je zijn.

Impact van de AVG is dat inzichten veranderen. Processen die zich tot dusver als min of meer vanzelfsprekend voltrokken worden nu tegen het licht gehouden. Dat is feitelijk wat de verordening beoogt: het waarom. Betrokkenen hebben recht op transparantie (Artikel 12 AVG). Maak duidelijk dat je alle (tot dusver gangbare) processen waarmee (bijzondere) persoonsgegevens zijn gemoeid tegen het licht houdt en dat je behoefte hebt aan meer garanties voor jezelf als verwerkingsverantwoordelijke, voor betrokkenen die hun persoonsgegevens aan je hebben verstrekt en de toezichthouder. Maak daarbij gebruik van de informatie die aangereikt is tijdens de webinars, op deze site en die van overheidsinstanties. Leg je acties (en reacties!) vast als onderdeel van het tot stand brengen van je ISMS  Zie ook deze vraag en antwoord

Als je gewend bent om in te loggen met gebruikersnaam en wachtwoord dan is twee factor authenticatie inderdaad een extra handeling. Die is er echter niet voor niets.  De wettelijke verplichting tot het gebruik van 2 FA werd reeds enige tijd geleden onderstreept door een publicatie van het College Persoonsgegevens (nu Autoriteit Persoonsgegevens) in 2013 waarbij huisartsen zich gedwongen zagen deze in te voeren. Al dan niet onder druk van hun klanten bieden sommige EPD leveranciers de mogelijkheid om 2FA uit te schakelen. Niet goed dus. Beter zou zijn dat de EPD leverancier zijn klanten duidelijk maakt dat 2 FA wettelijk verplicht is.

Medewerkers hebben uiteraard hun eigen verantwoordelijkheid om de privacy van betrokkenen te borgen, maar het management van de organisatie waar men werkzaam is, heeft de rol van verwerkingsverantwoordelijke. In hoofdstuk 7  van de NEN7510 (deel II Beheersmaatregelen) in een maatregel (7.2.2) opgenomen om medewerkers passende bewustzijnsopleiding en training te geven. In het kader van de AVG en voor een betrokkene of toezichthouder dient echter helder te zijn wie de eindverantwoordelijke is. Die wordt ook genoemd in de privacyverklaring.

Die vraag wordt heel vaak gesteld en heeft van doen met de uitgebreidheid en detaillering van de NEN7510. Dat roept soms weerstanden op en een gevoel door de bomen het bos niet meer te zien. Die detaillering van de NEN7510 is er echter niet voor niets.

Iedere organisatie is uniek. Om een metafoor te gebruiken: Wat voor de ene organisatie een open deur is, is voor de andere een blinde muur. Een eenvoudig afvinklijstje betekent elementen weglaten. Bij dat weglaten moeten keuzes worden gemaakt. Keuzes die juist bij specifieke situaties kunnen opbreken en tot zeer vervelende gevolgen kunnen leiden.

De NEN 7510 bevat veel hoofdstukken en kan voor iedere organisatie (van solist  tot zeer grote instelling) worden gebruikt. Een mogelijke prioritering tref je op deze pagina.

Als je cliënten via je site in staat stelt te communiceren liggen risico’s op de loer. Dus om die reden had de persoon of organisatie die je website beheert al maatregelen moeten nemen of te adviseren om een SSL certificaat (een “slotje”) te installeren. Maar het zijn niet alleen risico’s.

  • De meeste browsers waarschuwen gebruikers als men een site benadert die niet van een slotje is voorzien. Dat is niet goed voor het vertrouwen in een organisatie.
  • Om bezoekers te beschermen toont Google in de eerste pagina’s van een zoekresultaat uitsluitend sites met een SSL certificaat.

Kortom .. argumenten genoeg om die relatief eenvoudige en zeker niet kostbare maatregel te nemen.

Vrijwel ieder risico is te verzekeren. Verzekeringsproducten die worden aangeprezen om de risico’s te dekken nemen snel in omvang toe. De premies zijn doorgaans hoog en een grondige bestudering van de  voorwaarden leert vaak dat de hoogte van een eventuele uitkering bij een incident sterk afhankelijk is van de maatregelen die de verwerkingsverantwoordelijke zelf heeft genomen maar met name verzuimd heeft te nemen.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport