Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Ja dat kan lastig zijn. Sowieso is de tekst van de GDPR / AVG soms al lastig te volgen. En helaas zijn de teksten op B1 niveau over dit onderwerp (nog) niet overvloedig voor handen, laat staan in meerdere talen. Zo er al een familielid of tolk voorhanden is, zal die ook moeite hebben met het onderwerp. Ik heb zo snel dus geen oplossing. Maar wellicht kun je iets met de site EUR-Lex van de Europese Unie. Die biedt namelijk niet alleen de mogelijkheid om de Verordening te raadplegen, maar ook in verschillende talen naast elkaar te leggen. Het is overigens de bedoeling dat symbolen op termijn een oplossing moeten bieden, maar die is nu nog niet voorhanden.

Geanonimiseerde gegevens zijn geen persoonsgegevens. Voor het verstrekken van anonieme gegevens hoeft uw zorgverlener dan ook geen toestemming te vragen. Als dat wel gebeurt, is dat dus met elkaar in tegenspraak. Er zijn echter onderzoeken bekend die met het verstrekken van anonieme gegevens zijn gestart, maar die, door het uitvragen van meer persoonsgegevens inmiddels wel tot een persoon herleidbaar zijn. Daarmee zijn het persoonsgegevens en is wel expliciete toestemming vereist.

Op de site van de AVG Helpdesk Zorg, Welzijn en Sport wordt uitvoerig op het onderwerp toestemming ingegaan.

Kernwoord(en): Opt-in, Toestemming

Op het moment dat u om toestemming is/wordt gevraagd moet voor u glashelder zijn waarvoor u die toestemming geeft. Uw zorgverlener zal u dus precies moeten kunnen zeggen welke gegevens van u de deur uit gaan. Kan hij dat niet dan rest u niets anders dan uw teleurstelling – misnoegen te laten blijken en uw toestemming onmiddellijk weer in te trekken. Er is immers geen sprake van een informed consent … de basis van een opt-in. Uw zorgverlener dient zich te realiseren dat ook de opt-in’s voor alle overige patiënten die aan hetzelfde onderzoek deelnemen niet rechtsgeldig zijn. Uw zorgverlener kan alleen verantwoordelijkheid nemen voor zaken die hem bekend zijn. Zijn verwerker moet hem in staat stellen zicht te hebben op de geëxporteerde data die klaar staan om te worden verzonden. De verwerker dient een verwerkingsverantwoordelijke in staat te stellen een export voor verzending te autoriseren of af te wijzen.

Er wordt niet voldaan aan Artikel 25 (Privacy by Design/Default). Als je dat zelf in de beheersinstellingen van je EPD kunt wijzigen: direct doen! Als je dat niet kunt direct je leverancier er op aanspreken. Maar ook als blijkt dat je dat zelf in de beheersinstellingen kunt regelen. Standaard moet dat vinkje echt op UIT staan!

Impact van de AVG is dat inzichten veranderen. Processen die zich tot dusver als min of meer vanzelfsprekend voltrokken worden nu tegen het licht gehouden. Dat is feitelijk wat de verordening beoogt: het waarom. Betrokkenen hebben recht op transparantie (Artikel 12 AVG). Maak duidelijk dat je alle (tot dusver gangbare) processen waarmee (bijzondere) persoonsgegevens zijn gemoeid tegen het licht houdt en dat je behoefte hebt aan meer garanties voor jezelf als verwerkingsverantwoordelijke, voor betrokkenen die hun persoonsgegevens aan je hebben verstrekt en de toezichthouder. Maak daarbij gebruik van de informatie die aangereikt is tijdens de webinars, op deze site en die van overheidsinstanties. Leg je acties (en reacties!) vast als onderdeel van het tot stand brengen van je ISMS  Zie ook deze vraag en antwoord

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport