Privacy

De laatste jaren is privacy een zeer actueel onderwerp. Wanneer vraagt u als verloskundig zorgverlener waarvoor toestemming en wat moet u waar registreren? De beslisschema’s kunnen hierbij helpen. Verder is op 1 januari 2016 de Wet bescherming persoonsgegevens (Wbp) gewijzigd. Wat betekent dat voor u, als verloskundig zorgverlener?

Beslisschema’s

De beslisschema’s geven antwoord op de volgende vragen: hoe weet u als verloskundig zorgverlener dat de zwangere toestemming geeft voor screening? Wat noteert u in haar dossier? Kan zij registratie in het informatiesysteem van de screening weigeren? Hoe geeft u als verloskundig zorgverlener gegevens door en wanneer doet u dat?

Meer informatie is ook te vinden op www.rivm.nl/pns/privacy.

Wet bescherming persoonsgegevens (Wbp) gewijzigd

Per 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) gewijzigd. De meest besproken wijziging ziet toe op de invoering van de zogenaamde meldplicht bij datalekken. Daarnaast heeft de Autoriteit Persoonsgegevens meer instrumenten gekregen voor sancties en is de boetebevoegdheid uitgebreid.

Wet meldplicht datalekken

De Wbp verplicht ons (onder meer) persoonsgegevens te beveiligen door middel van passende technische en organisatorische maatregelen. Dit betekent dat we de gegevens niet alleen technisch moet beschermen tegen toegang door derden, maar dat we er bijvoorbeeld ook intern voor moeten zorgen dat de gegevens uitsluitend toegankelijk zijn voor die onderdelen van de organisatie die de gegevens nodig hebben voor de uitvoering van hun taken. We dienen elke inbreuk op de (technische of organisatorische) maatregelen ter beveiliging tegen verlies of onrechtmatige verwerking van persoonsgegevens te melden. Denk bij een inbreuk aan een hack of een technisch falen, maar ook aan verlies of diefstal van een laptop waarop persoonsgegevens staan. Een ‘datalek’ kan dus in vele vormen voorkomen.

De meldplicht geldt alleen als de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (of een aanzienlijke kans daarop). Of er sprake is van een inbreuk, moet u zelf beoordelen, maar de Autoriteit geeft wel (op dit moment nog niet-definitieve) richtlijnen.

Melden aan de Autoriteit en aan de betrokkene

U moet de melding doen aan de Autoriteit persoonsgegevens. Daarbij dient u niet alleen te melden om wat voor inbreuk het gaat en welke (mogelijke) gevolgen die heeft, maar ook welke maatregelen zijn en/of worden genomen om de gevolgen te verhelpen. Als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon waar de gegevens betrekking op hebben, dan moet ook de betrokkene in kennis worden gesteld van het lek. Als de gelekte gegevens (afdoende) versleuteld zijn, hoeft u  geen melding te doen aan de betrokkene, maar wel aan de Autoriteit.

Uitbesteding van gegevensverwerking

Degene die verantwoordelijk is voor de gegevensbewerking is verplicht te zorgen voor een gedegen beveiliging én het te melden als dat is misgegaan. Heeft u de gegevensverwerking uitbesteed aan een ander? Dan is de bewerker verantwoordelijk. U moet zich ervan bewust zijn dat bij een gebrekkige beveiliging de verantwoordelijke het boeterisico loopt. Het is daarom van groot belang dat u in de bewerkersovereenkomst goede afspraken maakt over de beveiliging en het melden van een datalek.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn: naam- en adresgegevens, e-mailadressen, pasfoto's, maar ook bijvoorbeeld IP-adressen.

Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Zulke gegevens mogen dan ook alleen onder zeer strenge voorwaarden worden verwerkt. Onder bijzondere of gevoelige persoonsgegevens vallen: gegevens over iemands ras, godsdienst, gezondheid, strafrechtelijk verleden of seksuele leven. Ook een lidmaatschap van een vakvereniging en het Burgerservicenummer (BSN) zijn bijzondere persoonsgegevens.

Wanneer is er sprake van verwerking van persoonsgegevens?

Onder verwerking wordt verstaan elke handeling met betrekking tot persoonsgegevens. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.
Je zou kunnen stellen dat alles wat men met een persoonsgegeven doet onder verwerken valt.

TIPS

  • Controleer hoe op dit moment gegevens worden verwerkt binnen uw organisatie. Wordt er rekening gehouden met de nieuwe regelgeving of zijn er maatregelen nodig om aan de nieuwe regels te kunnen voldoen?
  • Zorg voor een juiste wijze van documenteren van gegevensverwerking en pas eventueel algemene voorwaarden en privacyverklaringen aan.
  • Controleer of partijen, waar uw organisatie gegevens mee deelt, ook voldoen aan de nieuwe regels. Vervang eventueel bewerkersovereenkomsten.
  • Indien er nu impliciete goedkeuring wordt gebruikt voor gegevensbewerking, regel dan vervangende toestemming.
RIVM De zorg voor morgen begint vandaag
Menu