Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Op de site van de Autoriteit Persoonsgegevens lees ik heel veel over het gebruik van foto’s en filmbeelden en vooral dat die alleen gebruikt mogen worden als ik daar toestemming voor heb gegeven. Mij is echter nooit om toestemming gevraagd. Wat nu?

Het is een gegeven dat dagelijks zeer veel films en foto’s gemaakt. Soms is daarvoor een aanleiding, maar soms is die er ook helemaal niet. Ook is het een gegeven dat als dat gebeurt, lang niet altijd nagedacht wordt over de wens van degene die wordt gefotografeerd of gefilmd. Laat staan dat om toestemming wordt gevraagd. Als dat je overkomt of overkomen is, ga dan het gesprek aan met de persoon die de opname heeft gemaakt, of de contactpersoon (of, indien aangesteld de FG) van de betreffende organisatie en probeer in goed overleg met elkaar tot een bevredigende oplossing te komen. Bij dat overleg is het van belang is dat alle betrokken partijen zich bewust zijn van

  • het feit dat je de AVG zowel kunt beschouwen vanuit de letter (juridisch) als de geest (de bedoeling);
  • die bedoeling richt zich op grondrechten m.b.t. de bescherming van privacyrechten van de betrokkene;
  • dat er voor zowel de verantwoordelijke als betrokkene nog altijd veel uitdagingen bestaan om naar de letter en in de geest van de AVG te handelen
  • de impact van de te nemen maatregelen omvangrijk is en dat soms niet valt te ontkomen aan het stellen van prioriteiten

Ja dat kan lastig zijn. Sowieso is de tekst van de GDPR / AVG soms al lastig te volgen. En helaas zijn de teksten op B1 niveau over dit onderwerp (nog) niet overvloedig voor handen, laat staan in meerdere talen. Zo er al een familielid of tolk voorhanden is, zal die ook moeite hebben met het onderwerp. Ik heb zo snel dus geen oplossing. Maar wellicht kun je iets met de site EUR-Lex van de Europese Unie. Die biedt namelijk niet alleen de mogelijkheid om de Verordening te raadplegen, maar ook in verschillende talen naast elkaar te leggen. Het is overigens de bedoeling dat symbolen op termijn een oplossing moeten bieden, maar die is nu nog niet voorhanden.

Geanonimiseerde gegevens zijn geen persoonsgegevens. Voor het verstrekken van anonieme gegevens hoeft uw zorgverlener dan ook geen toestemming te vragen. Als dat wel gebeurt, is dat dus met elkaar in tegenspraak. Er zijn echter onderzoeken bekend die met het verstrekken van anonieme gegevens zijn gestart, maar die, door het uitvragen van meer persoonsgegevens inmiddels wel tot een persoon herleidbaar zijn. Daarmee zijn het persoonsgegevens en is wel expliciete toestemming vereist.

De AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. Zie dit document op de site van de KNMG. Zie in dit verband ook deze vraag

De behoefte aan eenduidigheid en eenvoud is begrijpelijk, maar nee, dat zou strijdig zijn met artikel 7 van de AVG. Voor het verkrijgen (en registreren) van toestemming gelden strikte regels waaraan moet worden voldaan om de kwalificatie “rechtsgeldig” te verdienen. In verband met de vereiste specificiteit en ondubbelzinnigheid dienen toestemmingen dus afzonderlijk te worden verkregen en gedocumenteerd.

De Wet Geneeskundige Behandelingsovereenkomst (WGBO) is de wettelijke basis om (bijzondere) persoonsgegevens vast te leggen. De vorm is vrij. Hij hoeft dus niet schriftelijk te worden aangegaan. De WGBO verlangt dossiervoering en daarvoor is geen toestemming vereist. Samenvattend: de AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. De bijzondere omstandigheden die gelden voor minderjarigen en wilsonbekwame personen golden reeds voordat de AVG van toepassing werd en gelden dus nog steeds.

Zie voor details de huidige WGBO (Wet Geneeskundige Behandelingsovereenkomst)

De Wet Geneeskundige Behandelingsovereenkomst (WGBO) is de wettelijke basis om (bijzondere) persoonsgegevens vast te leggen. De vorm is vrij. Hij hoeft dus niet schriftelijk te worden aangegaan. De WGBO verlangt dossiervoering en daarvoor is geen toestemming vereist. Samenvattend: de AVG verandert niets aan de bestaande situatie waarin de WGBO de basis vormt. De bijzondere omstandigheden die gelden voor minderjarigenen wilsonbekwame personen golden reeds voordat de AVG van toepassing werd en gelden dus nog steeds.

Zie voor details de huidige WGBO (Wet Geneeskundige Behandelingsovereenkomst)

Deze vraag is al eerder gesteld. De AVG verlangt dat je uitsluitend een beroep doet op verwerkers die afdoende garanties bieden en dat de verwerking geregeld wordt in een overeenkomst waarin een aantal waarborgen zijn opgenomen. Die waarborgen zullen ook de basis zijn waarop betrokkenen hun toestemming hebben gegeven. Zonder die waarborgen kun je dus niet voldoen aan de AVG en verliest de verkregen toestemming  zijn geldigheid. Onder die condities is het aanbieden van data niet verantwoord. Een organisatie kan jou contractueel niet verplichten om de wet te overtreden.

Onderdeel van de verantwoordingsplicht is dat men moet kunnen aantonen dat een betrokkene zijn of haar toestemming heeft gegeven. Met het begrip toestemming wordt bedoeld op: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de hem/haar betreffende verwerking van persoonsgegevens aanvaardt. Om een geldige toestemming aan te tonen kan dus niet worden volstaan met het zelf plaatsen van een vinkje. De woorden specifiek, geïnformeerd, en ondubbelzinnig spelen een cruciale rol bij de aantoonbaarheid. Volstrekt helder moet zijn op basis van welke informatie de betrokkene zijn/haar toestemming heeft gegeven. Bijvoorbeeld door deze te koppelen aan een kopie van de informatie die de betrokkene heeft ontvangen voorafgaand aan de gegeven toestemming. Artikel 7 regelt dat het intrekken van een toestemming even eenvoudig is als het geven daarvan.

De AVG verandert niets aan de bestaande regels van de WGBO (Wet Geneeskundige Behandelingsovereenkomst). Bestaande regels voor minderjarigen blijven dus gewoon van toepassing.

Als werkgever ben je wettelijk verplicht om persoonsgegevens te verwerken. Daarmee is die verwerking rechtmatig (Artikel 6) en is geen aparte toestemmingsverklaring nodig. 

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport