Algemene privacyverklaring RIVM

Het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) gebruikt persoonsgegevens. In deze algemene privacyverklaring vertellen we u bijvoorbeeld waarom wij uw persoonsgegevens gebruiken en waarom wij dat ook mogen doen. We vertellen u ook wat uw privacyrechten zijn. En waar u vragen kunt stellen over privacy en de bescherming van uw persoonsgegevens.

Inhoudsopgave

Waarom het RIVM persoonsgegevens gebruikt
Van wie het RIVM persoonsgegevens gebruik
Welke soorten persoonsgegevens het RIVM gebruikt
Hoe het RIVM aan persoonsgegevens komt
De wetten en regels over het gebruik van persoonsgegevens door het RIVM
Het bewaren van persoonsgegevens
Het delen van persoonsgegevens
Uw privacyrechten
Wat we doen om persoonsgegevens te beveiligen
Vragen of klachten over het gebruik van persoonsgegevens
Wijzigingen van deze privacyverklaring

Privacy gaat over het recht van mensen op de bescherming van hun privéleven. Bij privacy hoort ook de bescherming van persoonsgegevens. Persoonsgegevens zijn alle gegevens die gaan over een persoon of die te herleiden zijn tot een persoon. Denk aan een huisadres, telefoonnummer of e-mailadres.

Wij vinden het belangrijk om goed en zorgvuldig om te gaan met gevoelige informatie over personen. Als wij persoonsgegevens gebruiken, houden we ons dus ook aan de wetten en regels hierover. De belangrijkste wet over het gebruik van persoonsgegevens is de Algemene verordening gegevensbescherming (AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming)).

Het RIVM is een agentschap (zelfstandig onderdeel) van het ministerie van Volksgezondheid, Welzijn en Sport (VWS Ministerie van Volksgezondheid, Welzijn en Sport (Ministerie van Volksgezondheid, Welzijn en Sport )). De minister van VWS is verantwoordelijk voor het gebruik van persoonsgegevens door het RIVM. Dat betekent niet dat de persoonsgegevens die wij gebruiken bij de minister zijn. De persoonsgegevens die wij gebruiken, liggen in principe bij onszelf.

Specifieke privacyverklaringen van het RIVM

Wij hebben ook specifieke privacyverklaringen. Daarin vertellen we u meer over de manier waarop we uw persoonsgegevens gebruiken bij bepaalde onderwerpen.

De specifieke privacyverklaringen kunnen voor u belangrijk zijn, bijvoorbeeld omdat u meedoet aan het Rijksvaccinatieprogramma of een bepaald onderzoek of omdat wij u uitnodigen voor een vaccinatie tegen COVID-19. De specifieke privacyverklaring over uw situatie vult deze algemene privacyverklaring aan.

Het gebeurt ook vaak dat we u vertellen over het gebruik van uw persoonsgegevens in toestemmingsformulieren voor deelname aan onderzoeken. Ook die informatie kan deze algemene privacyverklaring aanvullen.

Waarom het RIVM persoonsgegevens gebruikt

Het RIVM werkt aan een gezonde bevolking en een duurzame, veilige en gezonde leefomgeving. De belangrijkste doelen waarvoor we persoonsgegevens gebruiken zijn:

Adviseren over een schone, gezonde en veilige leefomgeving
Het RIVM adviseert over hoe we onze leefomgeving schoon, gezond en veilig houden. We mogen persoonsgegevens gebruiken voor onderzoeken hierover en om onze adviezen op te baseren. Ook gegevens over gezondheid. We delen onze kennis over een schone, gezonde en veilige leefomgeving met anderen. Als wij persoonsgegevens delen met anderen, houden we ons aan de wet.

Voorkomen en bestrijden van infectieziekten
Infectieziekten zijn ziekten die worden veroorzaakt door bacteriën, virussen, schimmels of parasieten. Het RIVM verzamelt hier informatie over. We doen onderzoek en leggen uit hoe deze ziekten kunnen worden voorkomen en bestreden. We werken hierbij ook samen met andere organisaties. Om infectieziekten te voorkomen en bestrijden mogen we persoonsgegevens gebruiken en met andere organisaties delen. Ook gegevens over gezondheid.

Onderzoek voor goede zorg en een gezonde manier van leven en het uitvoeren van programma’s
Het RIVM onderzoekt wat nodig is voor goede zorg en een gezonde manier van leven. We geven daarover ook advies. En we voeren voor de overheid gezondheidsprogramma’s uit, zoals het Rijksvaccinatieprogramma. Verder voert RIVM de regie op verschillende bevolkingsonderzoeken om op tijd ziektes te ontdekken of te voorkomen. Voor deze programma’s en onderzoeken mag het RIVM persoonsgegevens gebruiken. Ook gegevens over gezondheid.

Een belangrijk deel van ons werk is wetenschappelijk onderzoek doen. Daarbij houden we altijd zoveel mogelijk rekening met privacy. Dat betekent dat we zo min mogelijk persoonsgegevens gebruiken. Wat wij over een onderzoek bekendmaken en in onze rapporten zetten is nooit te herleiden tot een persoon.

Bij onderzoek met proefpersonen geldt de Wet medisch-wetenschappelijk onderzoek met mensen (WMO Wet medisch-wetenschappelijk onderzoek met mensen (Wet medisch-wetenschappelijk onderzoek met mensen)). Onderzoek dat onder de WMO of de Embryowet valt, moet worden beoordeeld door een onafhankelijke commissie van deskundigen. Zo’n onderzoek mag niet beginnen zonder een positief oordeel van deze commissie. De Centrale Commissie Mensgebonden Onderzoek (CCMO Nederlands: Centrale Commissie Mensgebonden Onderzoek (Nederlands: Centrale Commissie Mensgebonden Onderzoek )) beoordeelt of de privacy van proefpersonen die meedoen aan medisch-wetenschappelijk onderzoek wordt beschermd.

Het RIVM neemt geen geautomatiseerde individuele besluiten op basis van profielen. Dat betekent dat wij niet door computers (dus zonder dat een mens ernaar kijkt) en op basis van profielen besluiten over u nemen.

Het RIVM gebruikt ook persoonsgegevens voor doelen die niet direct te maken hebben met onze wettelijke taken. Bijvoorbeeld om onze taak als werkgever te vervullen of om aan u een nieuwsbrief te sturen.

In de specifieke privacyverklaringen van het RIVM vindt u per onderwerp specifiekere informatie over de doelen waarvoor wij persoonsgegevens gebruiken.

Van wie het RIVM persoonsgegevens gebruikt

Als het nodig is voor onze taken, kunnen en mogen we persoonsgegevens gebruiken van iedereen. We gebruiken bijvoorbeeld persoonsgegevens van personen die meedoen aan onze onderzoeken of programma’s. In onze specifieke privacyverklaringen leest u hierover meer.

We kunnen ook persoonsgegevens gebruiken van personen die bij ons of bij onze leveranciers werken. En van mensen die onze kantoren bezoeken of die zich hebben aangemeld voor onze nieuwsbrieven.

Welke soorten persoonsgegevens het RIVM gebruikt

Een persoonsgegeven is informatie over een persoon of informatie die tot een persoon te herleiden is. Voorbeelden van persoonsgegevens zijn een huisadres, een Burgerservicenummer (BSN burgerservicenummer (burgerservicenummer)), een telefoonnummer of een e-mailadres.

Sommige persoonsgegevens zijn extra gevoelig, omdat het gebruik ervan veel invloed kan hebben op iemands leven. Dat zijn bijvoorbeeld gegevens over iemands ras, godsdienst of gezondheid. Deze bijzondere persoonsgegevens zijn extra beschermd door de wet.

Wij kunnen en mogen gewone en bijzondere persoonsgegevens gebruiken als dat nodig is voor onze taken. Hierbij houden we ons natuurlijk aan de wet. Het Burgerservicenummer (BSN) kunnen en mogen wij bijvoorbeeld gebruiken voor onze vaccinatieprogramma’s. We doen altijd ons best om zo min mogelijk persoonsgegevens te gebruiken.

De bijzondere persoonsgegevens die wij het meest gebruiken, zijn gegevens over gezondheid. Maar als het nodig is voor onze taken, kunnen en mogen we bijvoorbeeld ook gegevens over seksualiteit of ras gebruiken. Of genetische gegevens.

In specifieke privacyverklaringen van het RIVM leest u per onderwerp welk soort persoonsgegevens wij gebruiken. We doen altijd ons best om niet meer persoonsgegevens gebruiken dan nodig is om het doel te bereiken.

Hoe het RIVM aan persoonsgegevens komt

Het RIVM kan uw persoonsgegevens direct van u krijgen. Bijvoorbeeld omdat u ze voor een onderzoek waaraan u meedoet zelf aan ons heeft gegeven.

Het kan ook gebeuren dat wij uw persoonsgegevens niet direct van u krijgen, maar van een andere organisatie.

Een aantal voorbeelden:

Wij krijgen uw persoonsgegevens van professionele zorgverleners, zoals uw huisarts, de GGD Gemeentelijke Gezondheidsdienst (Gemeentelijke Gezondheidsdienst) of een ziekenhuis. Daarvoor moet u soms vooraf toestemming geven.
Wij ontvangen uw persoonsgegevens uit de Basisregistratie personen (BRP Basisregistratie personen (Basisregistratie personen)), als in de wet staat dat dat mag of moet.
Wij krijgen uw persoonsgegevens van samenwerkingspartners, zoals universiteiten, onderzoeksinstituten of het Centraal Bureau voor de Statistiek (CBS Centraal Bureau voor de Statistiek (Centraal Bureau voor de Statistiek)).

Wij kunnen uw persoonsgegevens ook op een andere manier ontvangen. In onze specifieke privacyverklaringen leest u per onderwerp over hoe wij aan uw persoonsgegevens komen.

De wetten en regels over het gebruik van persoonsgegevens door het RIVM

In de AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming) staat dat organisaties alleen persoonsgegevens mogen gebruiken als ze daar een geldige ‘grondslag’ voor hebben.

In de AVG worden zes grondslagen benoemd: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitaal belang van betrokkene of andere personen, algemeen belang (wettelijke of publieke taak) of gerechtvaardigd belang.

Het RIVM gebruikt alleen persoonsgegevens als dat mag van de wet. Vaak gebruiken wij persoonsgegevens omdat dat nodig is voor een van onze taken, dus voor het algemeen belang. Of op grond van een wettelijke verplichting. In deze gevallen mogen wij uw persoonsgegevens gebruiken zonder dat u daarvoor eerst toestemming hoeft te geven.

Onze taken staan in de Wet op het RIVM. Deze taken zijn soms uitgewerkt in andere wetten, zoals in de Wet publieke gezondheid (WPG). Of in opdrachten van de minister van VWS Ministerie van Volksgezondheid, Welzijn en Sport (Ministerie van Volksgezondheid, Welzijn en Sport ).

Het kan ook gebeuren dat uw medisch behandelaar ons vraagt om voor uw behandeling ‘diagnostisch onderzoek’ te doen. Uw behandelaar vraagt ons dan bijvoorbeeld om een ziekte of aandoening vast te stellen. De uitslag van ons diagnostisch onderzoek koppelen wij terug aan uw behandelaar. Om het diagnostisch onderzoek te kunnen doen hebben wij wel eerst gegevens van u nodig. Die gegevens krijgen wij van uw behandelaar. Uw toestemming is daarvoor niet nodig. Wij mogen deze gegevens verwerken in het kader van de ‘geneeskundige behandelingsovereenkomst’ tussen u en uw behandelaar. Welke gegevens dit zijn, hangt af van de vraag van uw behandelaar en het diagnostisch onderzoek dat wij moeten doen.

Soms gebruikt het RIVM uw persoonsgegevens omdat u daarvoor toestemming heeft gegeven. Dat is bijvoorbeeld zo als we u een nieuwsbrief sturen.

Als u werknemer of leverancier van het RIVM bent, mogen we uw persoonsgegevens ook gebruiken. Bijvoorbeeld omdat dit nodig is voor de uitvoering van uw arbeidsovereenkomst, voor een koopovereenkomst of vanwege een wettelijke verplichting die op ons rust.

In onze specifieke privacyverklaringen leest u per onderwerp welke grondslag het RIVM heeft om persoonsgegevens te gebruiken.

Toestemming voor deelname aan onderzoeken en toestemming om gegevens met ons te delen
Als u meedoet aan een onderzoek, hebben wij vaak uw ‘geïnformeerde toestemming’ nodig voor uw deelname aan het onderzoek. Dat betekent dat wij pas uw persoonsgegevens mogen verzamelen als:

wij u goed over het onderzoek hebben geïnformeerd, en;
u ons toestemming geeft voor deelname aan het onderzoek.

Vaak moet u toestemming geven aan een zorgverlener voordat die uw medische gegevens mag delen met het RIVM.
Ook als u bijvoorbeeld aan een zorgverlener toestemming geeft om gegevens te delen of als u ons toestemming geeft voor deelname aan een onderzoek, mogen wij uw persoonsgegevens alleen gebruiken als dat nodig is voor onze taken.

Als wij u vragen om uw toestemming, vertellen wij ook altijd hoe u die toestemming later weer kunt intrekken.

Het bewaren van persoonsgegevens

Het RIVM bewaart uw persoonsgegevens niet langer dan nodig is om onze taken goed uit te voeren.

Wij bewaren uw persoonsgegevens:

zo lang als nodig is voor het doel waarvoor ze verzameld zijn;
zo lang als wij dat op grond van de Archiefwet moeten en;
niet langer dan wij dat volgens de wet mogen.

Als wij persoonsgegevens gebruiken, geldt altijd een bewaartermijn. Deze staat soms in de wet. De bewaartermijn is afhankelijk van de taak waarvoor wij persoonsgegevens gebruiken.

Bij de meeste onderzoeken die wij doen, moeten wij persoonsgegevens bijvoorbeeld bewaren tot minimaal 10 of 15 jaar nadat het onderzoek klaar is.

In onze specifieke privacyverklaringen vindt u per onderwerp meer informatie over de bewaartermijn.

Delen van persoonsgegevens

In sommige gevallen mag of moet het RIVM persoonsgegevens delen met anderen. Als het RIVM persoonsgegevens deelt met andere organisaties zijn we zorgvuldig en houden we ons aan de regels van de AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming).

Het kan zijn dat wij uw persoonsgegevens delen met organisaties die uw persoonsgegevens gebruiken voor een eigen doel. Bijvoorbeeld andere onderzoeksinstellingen, universiteiten, ministeries of het Centraal Bureau voor de Statistiek (CBS Centraal Bureau voor de Statistiek (Centraal Bureau voor de Statistiek)). Het RIVM deelt uw persoonsgegevens alleen als dat mag of moet. En we maken altijd goede afspraken met de organisaties waarmee we persoonsgegevens delen. Als dat nodig is, zorgen we er samen voor dat uw privacy beschermd blijft.

Als we samenwerken met andere organisaties één doel hebben, maken we afspraken om uw privacy te beschermen.

Soms schakelen we ook andere partijen in om ons te helpen bij het bereiken van ons eigen doel. In de AVG heten zulke partijen verwerkers. Voorbeelden van zulke partijen zijn bedrijven die enquêtes of analyses voor ons doen en bedrijven die voor ons zorgen dat persoonsgegevens niet herleid kunnen worden tot personen. Wij maken met zulke partijen altijd schriftelijke afspraken. Zo weten we zeker dat ze zorgvuldig met uw persoonsgegevens omgaan.

Ook als het RIVM persoonsgegevens doorgeeft aan een ontvanger buiten Europa, leven we de AVG na. Dat is ook zo als we samenwerken met Aruba, Curaçao of Sint Maarten, of Bonaire, Sint Eustatius of Saba. Als het nodig is nemen we samen met de ontvanger extra maatregelen zodat uw persoonsgegevens net zo goed zijn beschermd als onder de AVG.

In specifieke privacyverklaringen van het RIVM vindt u per onderwerp een uitleg over het delen van persoonsgegevens.

Uw privacyrechten

Op grond van de AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming) heeft u een aantal rechten. In onze specifieke privacyverklaringen vindt u per onderwerp meer informatie over de rechten die u op grond van de AVG heeft en de manier waarop u daarvoor een AVG-verzoek kunt indienen. Voorbeelden hiervan zijn het Rijksvaccinatieprogramma, het corona-vaccinatieregister en sommige specifieke onderzoeken.

Hoe dien ik een algemeen AVG-verzoek in bij het RIVM?
Wilt u een algemeen AVG-verzoek bij ons indienen of heeft u hierover vragen? Stuur dan een e-mail naar AVG-RIVM@rivm.nl.

Als u een AVG-verzoek doet, behandelen wij dit binnen een maand. Als ons dat niet lukt, kunnen wij twee maanden uitstel krijgen. Wij laten u dit dan op tijd weten.

Op grond van de AVG kunt u:

vragen om inzage in de gegevens die het RIVM van u heeft;
verzoeken dat onjuiste gegevens over u worden gecorrigeerd;
verzoeken om informatie over u te laten verwijderen;
vragen om uw gegevens over te dragen aan een andere organisatie;
verzoeken het gebruik van uw persoonsgegevens te beperken;
bezwaar maken tegen het gebruik van uw persoonsgegevens.

Als u bij het RIVM een beroep doet op één of meer van deze rechten, moeten wij uw identiteit controleren. Wij stellen uw identiteit vast op de manier die voor u het meest privacyvriendelijk is. Hoe dat gaat, kan per onderwerp verschillen. Soms kunt u gebruik maken van DigID.

Als u een algemeen AVG-verzoek doet bij het RIVM, kunnen we u vragen om ons een kopie van uw identiteitsbewijs te sturen. Een geldig identiteitsbewijs is bijvoorbeeld uw paspoort of rijbewijs. Met de KopieID-app maakt u met uw smartphone veilig een kopie van uw identiteitsbewijs. U leest hier meer over de KopieID-app.

Soms vragen we u ook om zelf naar het RIVM te komen om u te identificeren. Bijvoorbeeld als uw verzoek gaat over bijzondere persoonsgegevens, strafrechtelijke gegevens of gegevens van minderjarigen. Als u zich persoonlijk komt identificeren, weten wij zeker dat wij deze gevoelige informatie aan de juiste persoon geven.

Als u een beroep doet op de hierboven genoemde rechten, betekent dat niet altijd dat u krijgt wat u vraagt. Soms moeten we een verzoek afwijzen. Bijvoorbeeld omdat in de AVG zelf een uitzondering wordt gemaakt. Of omdat uw gegevens niet herleidbaar zijn gemaakt voor wetenschappelijk onderzoek, zodat we die niet kunnen vinden en/of verwijderen. Vaak kunt u ons ook niet vragen om uw gegevens over te dragen aan een andere organisatie.

Wij kunnen de hierboven genoemde rechten alleen uitvoeren als wij uw persoonsgegevens ook echt hebben. De AVG is niet van toepassing op bedrijfsgegevens.

Wat we doen om persoonsgegevens te beveiligen

Het RIVM vindt het heel belangrijk om vertrouwelijk en zorgvuldig met persoonsgegevens om te gaan. Omdat we bij de overheid horen moeten we ons ook aan de Baseline Informatiebeveiliging Overheid (BIO) houden. Dat is de landelijke standaard op het gebied van informatiebeveiliging voor gemeenten, waterschappen, provincies en de rijksoverheid.

We doen bij het RIVM veel om persoonsgegevens te beveiligen en te beschermen. We versleutelen bijvoorbeeld persoonsgegevens en zorgen dat onze computers goed beveiligd zijn. We zorgen ook dat niet alle medewerkers zomaar bij alle persoonsgegevens kunnen. Al onze medewerkers hebben ook een geheimhoudingsplicht. En ze krijgen cursussen, presentaties, en uitleg over privacy en informatiebeveiliging, zodat ze steeds weten hoe ze veilig en zorgvuldig met persoonsgegevens om moeten gaan.

Vragen of klachten over het gebruik van persoonsgegevens

Heeft u vragen over deze privacyverklaring? Of vindt u dat het RIVM zich niet aan deze verklaring houdt of hield? Stuur dan een e-mail naar: AVG-RIVM@rivm.nl. Of stuur een brief naar het centrale Privacyteam van het RIVM, Antwoordnummer 3270, 3720 VB in Bilthoven.

Heeft u een klacht? Op onze website leest u meer over onze klachtenregeling en hoe u uw klacht schriftelijk bij ons kunt indienen. U kunt uw klacht ook indienen door een e-mail te sturen naar de Functionaris voor Gegevensbescherming (FG) van het ministerie van VWS Ministerie van Volksgezondheid, Welzijn en Sport (Ministerie van Volksgezondheid, Welzijn en Sport ): FG-VWS@minvws.nl.

De FG van het ministerie van VWS is onafhankelijk en controleert of het ministerie de regels van de AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming) toepast en naleeft. Omdat het RIVM onder het ministerie van VWS valt, controleert de FG van dat ministerie ook ons.

Op grond van de AVG mag u ook een klacht indienen bij de Autoriteit Persoonsgegevens. U kunt hiervoor contact opnemen met de Autoriteit Persoonsgegevens.

Wijzigingen van deze privacyverklaring

De wetten en regels over privacy veranderen vaak. Daarom passen wij deze algemene privacyverklaring regelmatig aan. Het is daarom verstandig om deze algemene privacyverklaring regelmatig opnieuw te bekijken. Zo blijft u op de hoogte van de manier waarop wij uw gegevens gebruiken.

Deze algemene privacyverklaring is voor het laatst aangepast op 1 mei 2023.

Versiebeheer algemene Privacyverklaring RIVM
1.0	24 mei 2018
2.0	1 mei 2023