Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Op de site van de Autoriteit Persoonsgegevens lees ik heel veel over het gebruik van foto’s en filmbeelden en vooral dat die alleen gebruikt mogen worden als ik daar toestemming voor heb gegeven. Mij is echter nooit om toestemming gevraagd. Wat nu?

Het is een gegeven dat dagelijks zeer veel films en foto’s gemaakt. Soms is daarvoor een aanleiding, maar soms is die er ook helemaal niet. Ook is het een gegeven dat als dat gebeurt, lang niet altijd nagedacht wordt over de wens van degene die wordt gefotografeerd of gefilmd. Laat staan dat om toestemming wordt gevraagd. Als dat je overkomt of overkomen is, ga dan het gesprek aan met de persoon die de opname heeft gemaakt, of de contactpersoon (of, indien aangesteld de FG) van de betreffende organisatie en probeer in goed overleg met elkaar tot een bevredigende oplossing te komen. Bij dat overleg is het van belang is dat alle betrokken partijen zich bewust zijn van

  • het feit dat je de AVG zowel kunt beschouwen vanuit de letter (juridisch) als de geest (de bedoeling);
  • die bedoeling richt zich op grondrechten m.b.t. de bescherming van privacyrechten van de betrokkene;
  • dat er voor zowel de verantwoordelijke als betrokkene nog altijd veel uitdagingen bestaan om naar de letter en in de geest van de AVG te handelen
  • de impact van de te nemen maatregelen omvangrijk is en dat soms niet valt te ontkomen aan het stellen van prioriteiten

Ja dat kan lastig zijn. Sowieso is de tekst van de GDPR / AVG soms al lastig te volgen. En helaas zijn de teksten op B1 niveau over dit onderwerp (nog) niet overvloedig voor handen, laat staan in meerdere talen. Zo er al een familielid of tolk voorhanden is, zal die ook moeite hebben met het onderwerp. Ik heb zo snel dus geen oplossing. Maar wellicht kun je iets met de site EUR-Lex van de Europese Unie. Die biedt namelijk niet alleen de mogelijkheid om de Verordening te raadplegen, maar ook in verschillende talen naast elkaar te leggen. Het is overigens de bedoeling dat symbolen op termijn een oplossing moeten bieden, maar die is nu nog niet voorhanden.

Nee natuurlijk niet. Als er maar in staat wat er in staan moet. En als bijzondere persoonsgegevens, zoals gegevens over de gezondheid en een BSN worden geregistreerd is dat meer dan als dat niet het geval is. Maar een privacyverklaring heeft echt niet formeel te zijn. Als je eens op zoek gaat tref je soms zeer toegankelijke en inspirerende verklaringen. Zoals deze van een theatergezelschap die me onlangs werd toegespeeld door een collega en waarnaar ik ter inspiratie graag verwijs.

Kernwoord(en): Privacyverklaring

Dat hangt af van de opdracht. Maar daar zal de accountant je ook over kunnen informeren. Als hij de salarisadministratie verzorgt, vervult hij die rol als verwerker en moet je dus inderdaad een verwerkersovereenkomst te sluiten.  Meer informatie tref je op de site van de Koninklijke Nederlandse Beroepsorganisatie van Accountants

In artikel 30 van de AVG staat wat er in het “Register van de verwerkingsactiviteiten” moet staan. Als de toezichthouder (Autoriteit Persoonsgegevens) daarom verzoekt dient die te worden overlegd. Veel van de inhoud kun je overigens gebruiken voor de privacyverklaring.

 

Op het moment dat u om toestemming is/wordt gevraagd moet voor u glashelder zijn waarvoor u die toestemming geeft. Uw zorgverlener zal u dus precies moeten kunnen zeggen welke gegevens van u de deur uit gaan. Kan hij dat niet dan rest u niets anders dan uw teleurstelling – misnoegen te laten blijken en uw toestemming onmiddellijk weer in te trekken. Er is immers geen sprake van een informed consent … de basis van een opt-in. Uw zorgverlener dient zich te realiseren dat ook de opt-in’s voor alle overige patiënten die aan hetzelfde onderzoek deelnemen niet rechtsgeldig zijn. Uw zorgverlener kan alleen verantwoordelijkheid nemen voor zaken die hem bekend zijn. Zijn verwerker moet hem in staat stellen zicht te hebben op de geëxporteerde data die klaar staan om te worden verzonden. De verwerker dient een verwerkingsverantwoordelijke in staat te stellen een export voor verzending te autoriseren of af te wijzen.

Impact van de AVG is dat inzichten veranderen. Processen die zich tot dusver als min of meer vanzelfsprekend voltrokken worden nu tegen het licht gehouden. Dat is feitelijk wat de verordening beoogt: het waarom. Betrokkenen hebben recht op transparantie (Artikel 12 AVG). Maak duidelijk dat je alle (tot dusver gangbare) processen waarmee (bijzondere) persoonsgegevens zijn gemoeid tegen het licht houdt en dat je behoefte hebt aan meer garanties voor jezelf als verwerkingsverantwoordelijke, voor betrokkenen die hun persoonsgegevens aan je hebben verstrekt en de toezichthouder. Maak daarbij gebruik van de informatie die aangereikt is tijdens de webinars, op deze site en die van overheidsinstanties. Leg je acties (en reacties!) vast als onderdeel van het tot stand brengen van je ISMS  Zie ook deze vraag en antwoord

Nee dat kan een koepel niet. Als je je verplaatst in de rol van betrokkene (patiënt, werknemer of lid van een vereniging) begrijp je misschien dat ook jouw belangen worden behartigd met deze verordening. Wat zorgkoepels kunnen doen is hun leden informeren en hen er van  te overtuigen dat ze er verstandig aan doen op dit punt snel hun verantwoordelijkheid te nemen. Het helpt misschien als je je realiseert dat dat feitelijk al veel eerder had moeten gebeuren.

Medewerkers hebben uiteraard hun eigen verantwoordelijkheid om de privacy van betrokkenen te borgen, maar het management van de organisatie waar men werkzaam is, heeft de rol van verwerkingsverantwoordelijke. In hoofdstuk 7  van de NEN7510 (deel II Beheersmaatregelen) in een maatregel (7.2.2) opgenomen om medewerkers passende bewustzijnsopleiding en training te geven. In het kader van de AVG en voor een betrokkene of toezichthouder dient echter helder te zijn wie de eindverantwoordelijke is. Die wordt ook genoemd in de privacyverklaring.

In Artikel 13 van de AVG wordt aangegeven wat in een privacyverklaring dient te zijn opgenomen.  Zie het overzicht op deze pagina. Die verklaring bevat veel elementen uit het verwerkingsregister (Artikel 30). Er is een gratis tool beschikbaar om deze samen te stellen.

Ja. Alle relaties waarvan u reeds persoonsgegevens hebt geregistreerd dient u te informeren. Dat kan door hen te verwijzen naar een privacyverklaring op de site. Om onduidelijkheid of problemen achteraf te voorkomen is het verstandig om vast te leggen dat men

  • is geïnformeerd
  • de inhoud van de verklaring heeft begrepen
  • en daarmee akkoord is gegaan

Om achteraf onduidelijkheid te voorkomen, kan er voor worden gekozen om de cliënt schriftelijk te laten verklaren dat kennis is genomen van de privacyverklaring, dat de inhoud daarvan duidelijk is en dat men daarmee akkoord gaat. Feitelijk dus een bevestiging dat sprake is van informed consent. Het ondertekenen van een dergelijke verklaring is echter niet verplicht.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport