Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Op de site van de Autoriteit Persoonsgegevens lees ik heel veel over het gebruik van foto’s en filmbeelden en vooral dat die alleen gebruikt mogen worden als ik daar toestemming voor heb gegeven. Mij is echter nooit om toestemming gevraagd. Wat nu?

Het is een gegeven dat dagelijks zeer veel films en foto’s gemaakt. Soms is daarvoor een aanleiding, maar soms is die er ook helemaal niet. Ook is het een gegeven dat als dat gebeurt, lang niet altijd nagedacht wordt over de wens van degene die wordt gefotografeerd of gefilmd. Laat staan dat om toestemming wordt gevraagd. Als dat je overkomt of overkomen is, ga dan het gesprek aan met de persoon die de opname heeft gemaakt, of de contactpersoon (of, indien aangesteld de FG) van de betreffende organisatie en probeer in goed overleg met elkaar tot een bevredigende oplossing te komen. Bij dat overleg is het van belang is dat alle betrokken partijen zich bewust zijn van

  • het feit dat je de AVG zowel kunt beschouwen vanuit de letter (juridisch) als de geest (de bedoeling);
  • die bedoeling richt zich op grondrechten m.b.t. de bescherming van privacyrechten van de betrokkene;
  • dat er voor zowel de verantwoordelijke als betrokkene nog altijd veel uitdagingen bestaan om naar de letter en in de geest van de AVG te handelen
  • de impact van de te nemen maatregelen omvangrijk is en dat soms niet valt te ontkomen aan het stellen van prioriteiten

Ja dat kan lastig zijn. Sowieso is de tekst van de GDPR / AVG soms al lastig te volgen. En helaas zijn de teksten op B1 niveau over dit onderwerp (nog) niet overvloedig voor handen, laat staan in meerdere talen. Zo er al een familielid of tolk voorhanden is, zal die ook moeite hebben met het onderwerp. Ik heb zo snel dus geen oplossing. Maar wellicht kun je iets met de site EUR-Lex van de Europese Unie. Die biedt namelijk niet alleen de mogelijkheid om de Verordening te raadplegen, maar ook in verschillende talen naast elkaar te leggen. Het is overigens de bedoeling dat symbolen op termijn een oplossing moeten bieden, maar die is nu nog niet voorhanden.

Ik heb ergens gehoord/gelezen dat het beleid van het plaatsen van foto’s op FaceBook zou zijn versoepeld zolang er maar geen namen worden vermeld. Klopt dat?

Ik ben uiteraard benieuwd naar de bron, maar ga er maar van uit dat die informatie niet juist is. Op de site van de AVG Helpdesk Zorg, Welzijn & Sport tref je informatie over wanneer je toestemming moet vragen om foto’s te gebruiken en wanneer je ze mag doorsturen.

Overigens voltrekken de ontwikkelingen op het gebied van gezichtsherkenning zich zo snel en zijn de databases van een aantal partijen inmiddels zo rijk gevuld, dat het vermelden van een naam tegenwoordig niet eens meer nodig is. Zie de informatie en een bijzonder informerend filmpje op deze themapagina.

Hoe lang blijft een eerder door mij gegeven toestemming geldig? Is voorzien in een herijking? 

In de tekst van een document op de site van de Autoriteit Persoonsgegevens staat: “De AVG verschaft geen specifieke termijn voor  hoe lang  toestemming geldig blijft.  Hoe lang toestemming  geldig  blijft,  hangt af  van de context,  de werkingssfeer van de oorspronkelijke toestemming en de verwachtingen van de betrokkene.  Wanneer de  verwerkingsactiviteiten veranderen of  in aanzienlijke mate  transformeren, is de oorspronkelijke toestemming niet meer geldig. Indien dit het geval is, moet opnieuw toestemming worden verkregen.

Geadviseerd wordt om toestemming “met passende tussenpozen” te  vernieuwen. Ook  hier helpt het verstrekken van alle informatie om  ervoor te  zorgen dat de betrokkene goed geïnformeerd blijft over hoe zijn of haar gegevens worden gebruikt, en hoe zijn of haar rechten kunnen worden uitgeoefend.

Kernwoord(en): Artikel 7, Toestemming

Geanonimiseerde gegevens zijn geen persoonsgegevens. Voor het verstrekken van anonieme gegevens hoeft uw zorgverlener dan ook geen toestemming te vragen. Als dat wel gebeurt, is dat dus met elkaar in tegenspraak. Er zijn echter onderzoeken bekend die met het verstrekken van anonieme gegevens zijn gestart, maar die, door het uitvragen van meer persoonsgegevens inmiddels wel tot een persoon herleidbaar zijn. Daarmee zijn het persoonsgegevens en is wel expliciete toestemming vereist.

De AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. Zie dit document op de site van de KNMG. Zie in dit verband ook deze vraag

De behoefte aan eenduidigheid en eenvoud is begrijpelijk, maar nee, dat zou strijdig zijn met artikel 7 van de AVG. Voor het verkrijgen (en registreren) van toestemming gelden strikte regels waaraan moet worden voldaan om de kwalificatie “rechtsgeldig” te verdienen. In verband met de vereiste specificiteit en ondubbelzinnigheid dienen toestemmingen dus afzonderlijk te worden verkregen en gedocumenteerd.

Er worden veel vragen gesteld die beginnen met het werkwoord “mogen” of “moeten“. Dus: Mogen … moeten wij, nu de AVG van kracht is, dit of dat (nog) doen? Misschien goed om je te realiseren dat  je veelal niet echt iemand anders nodig hebt om antwoord op vragen te krijgen als je jezelf consequent de volgende vragen voorlegt:

  1. Is sprake van een rechtmatige verwerking?
  2. Beschik ik over de expliciete toestemming van betrokkene(n) als dat wordt verlangd?  
  3. Bestaan (of ontstaan) voor een betrokkene (patiënt, medewerker of lid) vermijdbare risico’s bij deze handeling of verwerking?
  4. Heb ik voldoende inzicht in de eventuele gevolgen voor de betrokkene(n) en mijn organisatie?
  5. Als het antwoord op vraag 3 JA luidt, kan/wil ik (ook ethisch gezien!) de betrokkene(n) en mijn organisatie aan die risico’s blootstellen?
  6. Ben ik ook bereid om de daaruit eventueel voortvloeiende consequenties (boetes, reputatie- of imagoschade) te aanvaarden?

De Wet Geneeskundige Behandelingsovereenkomst (WGBO) is de wettelijke basis om (bijzondere) persoonsgegevens vast te leggen. De vorm is vrij. Hij hoeft dus niet schriftelijk te worden aangegaan. De WGBO verlangt dossiervoering en daarvoor is geen toestemming vereist. Samenvattend: de AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. De bijzondere omstandigheden die gelden voor minderjarigen en wilsonbekwame personen golden reeds voordat de AVG van toepassing werd en gelden dus nog steeds.

Zie voor details de huidige WGBO (Wet Geneeskundige Behandelingsovereenkomst)

De Wet Geneeskundige Behandelingsovereenkomst (WGBO) is de wettelijke basis om (bijzondere) persoonsgegevens vast te leggen. De vorm is vrij. Hij hoeft dus niet schriftelijk te worden aangegaan. De WGBO verlangt dossiervoering en daarvoor is geen toestemming vereist. Samenvattend: de AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. De bijzondere omstandigheden die gelden voor minderjarigenen wilsonbekwame personen golden reeds voordat de AVG van toepassing werd en gelden dus nog steeds.

Zie voor details de huidige WGBO (Wet Geneeskundige Behandelingsovereenkomst)

Deze vraag is al eerder gesteld. De AVG verlangt dat je uitsluitend een beroep doet op verwerkers die afdoende garanties bieden en dat de verwerking geregeld wordt in een overeenkomst waarin een aantal waarborgen zijn opgenomen. Die waarborgen zullen ook de basis zijn waarop betrokkenen hun toestemming hebben gegeven. Zonder die waarborgen kun je dus niet voldoen aan de AVG en verliest de verkregen toestemming  zijn geldigheid. Onder die condities is het aanbieden van data niet verantwoord. Een organisatie kan jou contractueel niet verplichten om de wet te overtreden.

Onderdeel van de verantwoordingsplicht is dat men moet kunnen aantonen dat een betrokkene zijn of haar toestemming heeft gegeven. Met het begrip toestemming wordt bedoeld op: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de hem/haar betreffende verwerking van persoonsgegevens aanvaardt. Om een geldige toestemming aan te tonen kan dus niet worden volstaan met het zelf plaatsen van een vinkje. De woorden specifiek, geïnformeerd, en ondubbelzinnig spelen een cruciale rol bij de aantoonbaarheid. Volstrekt helder moet zijn op basis van welke informatie de betrokkene zijn/haar toestemming heeft gegeven. Bijvoorbeeld door deze te koppelen aan een kopie van de informatie die de betrokkene heeft ontvangen voorafgaand aan de gegeven toestemming. Artikel 7 regelt dat het intrekken van een toestemming even eenvoudig is als het geven daarvan.

De AVG verandert niets aan de bestaande regels van de WGBO (Wet Geneeskundige Behandelingsovereenkomst). Bestaande regels voor minderjarigen blijven dus gewoon van toepassing.

Als werkgever ben je wettelijk verplicht om persoonsgegevens te verwerken. Daarmee is die verwerking rechtmatig (Artikel 6) en is geen aparte toestemmingsverklaring nodig. 

Op de site van de AVG Helpdesk Zorg, Welzijn en Sport wordt uitvoerig op het onderwerp toestemming ingegaan.

Kernwoord(en): Opt-in, Toestemming

Er wordt niet voldaan aan Artikel 25 (Privacy by Design/Default). Als je dat zelf in de beheersinstellingen van je EPD kunt wijzigen: direct doen! Als je dat niet kunt direct je leverancier er op aanspreken. Maar ook als blijkt dat je dat zelf in de beheersinstellingen kunt regelen. Standaard moet dat vinkje echt op UIT staan!

Impact van de AVG is dat inzichten veranderen. Processen die zich tot dusver als min of meer vanzelfsprekend voltrokken worden nu tegen het licht gehouden. Dat is feitelijk wat de verordening beoogt: het waarom. Betrokkenen hebben recht op transparantie (Artikel 12 AVG). Maak duidelijk dat je alle (tot dusver gangbare) processen waarmee (bijzondere) persoonsgegevens zijn gemoeid tegen het licht houdt en dat je behoefte hebt aan meer garanties voor jezelf als verwerkingsverantwoordelijke, voor betrokkenen die hun persoonsgegevens aan je hebben verstrekt en de toezichthouder. Maak daarbij gebruik van de informatie die aangereikt is tijdens de webinars, op deze site en die van overheidsinstanties. Leg je acties (en reacties!) vast als onderdeel van het tot stand brengen van je ISMS  Zie ook deze vraag en antwoord

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport