Het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) verwerkt persoonsgegevens. In deze algemene privacyverklaring vertellen we u waarom wij dat mogen en doen. We vertellen u ook wat uw privacyrechten zijn. En waar u vragen kunt stellen over uw persoonsgegevens en privacy. 

Inhoudsopgave

Wat zijn privacy en persoonsgegevens?

Privacy gaat over het recht op de bescherming van je privéleven. Bij privacy hoort ook de bescherming van persoonsgegevens. Persoonsgegevens zijn alle gegevens die over een persoon gaan, of die zijn te herleiden tot een persoon. Denk aan een huisadres, telefoonnummer of e-mailadres. Sommige persoonsgegevens zijn extra gevoelig, omdat het gebruik ervan veel invloed kan hebben op iemands leven. Dat zijn bijvoorbeeld gegevens over iemands godsdienst of gezondheid. Deze bijzondere persoonsgegevens zijn extra beschermd door de wet.

Wetten en regels: de AVG en de Wet op het RIVM

Wij vinden het belangrijk om goed en zorgvuldig om te gaan met gevoelige informatie over personen. Als wij persoonsgegevens verwerken, houden we ons aan de wetten en regels hierover. De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet die persoonsgegevens beschermt.  In Nederland is ook de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) belangrijk.

In de AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming) staat dat organisaties alleen persoonsgegevens mogen verwerken als ze dat rechtmatig en behoorlijk doen. Dit houdt bijvoorbeeld in dat er sprake moet zijn van een geldige ‘grondslag’. In de AVG worden zes grondslagen benoemd: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitaal belang van betrokkene of andere personen, de vervulling van een taak van algemeen belang of de uitoefening van openbaar gezag en gerechtvaardigd belang.

Het RIVM verwerkt alleen persoonsgegevens als dat mag van de wet. Vaak verwerkt het RIVM persoonsgegevens omdat dat nodig is voor een van de taken, dus voor het vervullen van een taak van algemeen belang of de uitoefening van openbaar gezag. Dit volgt vaak uit de Wet op het RIVM. Het RIVM mag dan uw persoonsgegevens verwerken zonder dat u daarvoor eerst toestemming hoeft te geven. Dat is ook het geval als het RIVM persoonsgegevens verwerkt op grond van een wettelijke verplichting.

RIVM als zelfstandig onderdeel van VWS

Het RIVM is een agentschap (zelfstandig onderdeel) van het ministerie van Volksgezondheid, Welzijn en Sport (VWS). De minister van VWS Ministerie van Volksgezondheid, Welzijn en Sport (Ministerie van Volksgezondheid, Welzijn en Sport) is verantwoordelijk voor het gebruik van persoonsgegevens door het RIVM. Maar dat betekent niet dat de persoonsgegevens die het RIVM verwerkt bij de minister zijn opgeslagen of dat de minister er toegang toe heeft.

Aanvullende privacyverklaringen van het RIVM

Het RIVM heeft ook aanvullende privacyverklaringen. Daarin staat hoe het RIVM uw persoonsgegevens verwerkt bij bepaalde onderwerpen, zoals de hielprikscreening of het Rijksvaccinatieprogramma.

De aanvullende privacyverklaringen kunnen belangrijk zijn voor u, bijvoorbeeld omdat u meedoet aan het Rijksvaccinatieprogramma, of een bepaald onderzoek, of omdat u bent uitgenodigd voor een vaccinatie tegen COVID-19. De aanvullende privacyverklaring vult de algemene privacyverklaring aan.

Als u meedoet aan een onderzoek krijgt u vaak een toestemmingsformulier, waarin staat hoe wordt omgegaan met uw persoonsgegevens. Zo’n toestemmingsformulier kan ook een aanvulling zijn op deze algemene privacyverklaring.

Waarom het RIVM persoonsgegevens verwerkt

 Het RIVM werkt aan een gezonde bevolking en een duurzame, veilige en gezonde leefomgeving. De belangrijkste doelen waarvoor we persoonsgegevens verwerken zijn:

Adviseren over een schone, gezonde en veilige leefomgeving
Het RIVM adviseert over hoe we de bevolking en leefomgeving schoon, gezond en veilig houden. We mogen persoonsgegevens verwerken voor onderzoeken die hierover gaan, en waarop we onze adviezen baseren. Dat mogen ook gegevens over gezondheid zijn. We delen onze kennis over een schone, gezonde en veilige leefomgeving met anderen. Daarbij kan het nodig zijn om persoonsgegevens te delen met anderen.

Voorkomen en bestrijden van infectieziekten
Infectieziekten worden veroorzaakt door bacteriën, virussen, schimmels of parasieten. Het RIVM verzamelt daar data en informatie over. We doen onderzoek naar infectieziekten en leggen uit hoe deze kunnen worden voorkomen en bestreden. We werken hierbij ook samen met andere organisaties. Om infectieziekten te voorkomen en bestrijden, mogen we persoonsgegevens verwerken en delen met andere organisaties. Dat mogen ook gegevens over gezondheid zijn.

Onderzoek voor goede zorg en een gezonde manier van leven en het uitvoeren van programma’s
Het RIVM onderzoekt wat nodig is voor goede zorg en een gezonde manier van leven. We geven daarover ook advies. En we voeren voor de overheid gezondheidsprogramma’s uit, zoals het Rijksvaccinatieprogramma.

Verder voert het RIVM de regie op verschillende bevolkingsonderzoeken om op tijd ziektes te ontdekken of te voorkomen. Voor deze programma’s en onderzoeken mag het RIVM persoonsgegevens verwerken. Ook gegevens over gezondheid. Het voeren van regie op bevolkingsonderzoeken houdt niet in dat wij ook beschikken over alle persoonsgegevens van deelnemers aan bevolkingsonderzoeken.

We houden rekening met privacy

Een belangrijk deel van ons werk is wetenschappelijk onderzoek. Daarbij houden we altijd rekening met privacy van deelnemers. Dat betekent dat we alleen noodzakelijke persoonsgegevens verwerken. Wat wij over een onderzoek bekendmaken en publiceren, is niet te herleiden tot personen.

We nemen geen geautomatiseerde besluiten

Het RIVM neemt geen geautomatiseerde besluiten over personen op basis van profielen. Dat betekent dat wij niet door computers (dus zonder dat een mens ernaar kijkt) en op basis van profielen besluiten over u nemen.

Persoonsgegevens voor andere doelen

Het RIVM kan ook persoonsgegevens verwerken voor doelen die niet direct te maken hebben met onze wettelijke taken. Bijvoorbeeld om u een nieuwsbrief te sturen.

Van wie het RIVM persoonsgegevens verwerkt

We verwerken bijvoorbeeld persoonsgegevens van personen die meedoen aan onze onderzoeken of programma’s (waaronder vaccinatieprogramma’s of prenatale screeningen) of van deelnemers aan wetenschappelijk onderzoek.

Bij onderzoek met deelnemers kan de Wet medisch-wetenschappelijk onderzoek met mensen (WMO) gelden. Onderzoek dat onder de WMO Wet medisch-wetenschappelijk onderzoek met mensen (Wet medisch-wetenschappelijk onderzoek met mensen) of de Embryowet valt, wordt beoordeeld door een onafhankelijke commissie van deskundigen. Deze commissie heet de Medische Ethische Toetsingscommissie (METc) of de Centrale Commissie Mensgebonden Onderzoek (CCMO). De METc of de CCMO Nederlands: Centrale Commissie Mensgebonden Onderzoek (Nederlands: Centrale Commissie Mensgebonden Onderzoek ) beoordeelt of de privacy van deelnemers bij medisch-wetenschappelijk onderzoek voldoende is beschermd. Zonder toestemming van de commissie mag een onderzoek niet beginnen.

We kunnen ook persoonsgegevens verwerken van personen die bij ons of bij onze leveranciers werken. En van mensen die onze kantoren bezoeken of die zich hebben aangemeld voor onze nieuwsbrieven.

Welke soorten persoonsgegevens het RIVM verwerkt

Wij kunnen en mogen gewone en bijzondere persoonsgegevens verwerken als dat nodig is voor onze wettelijke taken. Het Burgerservicenummer (BSN-nummer) bijvoorbeeld mogen we verwerken voor onze vaccinatieprogramma’s. We verwerken alleen de noodzakelijke persoonsgegevens.

De bijzondere persoonsgegevens die wij het meest verwerken, zijn gegevens over gezondheid. Maar als het nodig is voor onze taken, kunnen en mogen we bijvoorbeeld ook gegevens over seksualiteit, afkomst, genetische of andere bijzondere persoonsgegevens verwerken.

Hoe het RIVM aan persoonsgegevens komt

Het RIVM kan persoonsgegevens direct van u krijgen. Bijvoorbeeld omdat u ze aan ons gaf voor een onderzoek waaraan u mee heeft gedaan. 
Het kan ook gebeuren dat wij uw persoonsgegevens van een andere organisatie krijgen.

Een paar voorbeelden:
Wij krijgen uw persoonsgegevens van zorgverleners, zoals uw huisarts, de Gemeentelijke Gezondheidsdienst (GGD), een instelling binnen de Jeugdgezondheidszorg (JGZ-instelling) of een ziekenhuis. Daarvoor moet u soms vooraf toestemming geven, bijvoorbeeld om het medisch beroepsgeheim te kunnen doorbreken.

Wij ontvangen uw persoonsgegevens uit de Basisregistratie Personen (BRP), als in de wet staat dat dat mag of moet. Bijvoorbeeld om u uit te nodigen voor het Rijksvaccinatieprogramma, de neonatale screening of het bevolkingsonderzoek Prenatale Screening Infectieziekten en Erytrocytenimmunisatie.

De wettelijke taken van het RIVM

Onze taken staan in de Wet op het RIVM. Deze taken zijn soms uitgewerkt in andere wetten, zoals in de Wet publieke gezondheid (WPG). Of in opdracht van de minister van Volksgezondheid, Welzijn en Sport (VWS).
 

Verwerking van persoonsgegevens bij diagnostisch onderzoek

Het kan gebeuren dat uw zorgverlener ons vraagt om voor uw behandeling ‘diagnostisch onderzoek’ te doen. Uw behandelaar vraagt ons dan bijvoorbeeld om een ziekte of aandoening vast te stellen. De uitslag van ons diagnostisch onderzoek koppelen wij terug aan uw behandelaar.

Om het diagnostisch onderzoek te kunnen doen hebben wij wel eerst gegevens van u nodig. Die gegevens krijgen wij van uw behandelaar. Uw toestemming is daarvoor niet nodig. Wij mogen deze gegevens verwerken in het kader van de ‘geneeskundige behandelingsovereenkomst’ tussen u en uw behandelaar. Welke gegevens dat zijn, hangt af van de vraag van uw behandelaar en het diagnostisch onderzoek dat wij doen.

Verwerking van persoonsgegevens na toestemming

Soms verwerkt het RIVM uw persoonsgegevens omdat u daarvoor toestemming heeft gegeven. Dat is bijvoorbeeld als we u een nieuwsbrief sturen.

Als u meedoet aan een onderzoek, vragen wij u vaak om uw ‘geïnformeerde toestemming’. Dat betekent dat wij pas uw persoonsgegevens verzamelen als:

  • wij u goed over het onderzoek hebben geïnformeerd, en;
  • u ons toestemming geeft voor deelname aan het onderzoek.

Het kan gebeuren dat uw zorgverlener om toestemming vraagt voordat die uw medische gegevens mag delen met het RIVM. Dit kan bijvoorbeeld nodig zijn om het medisch beroepsgeheim te doorbreken.

Wij mogen uw persoonsgegevens alleen verwerken als dat nodig is voor onze taken. Ook als u bijvoorbeeld toestemming hebt gegeven aan een zorgverlener of aan ons om uw gegevens te delen.

Als wij u om uw toestemming vragen, vertellen wij ook altijd hoe u die toestemming later weer kunt intrekken. En wat daarvan de gevolgen zijn.

Het bewaren van persoonsgegevens

Het RIVM bewaart uw persoonsgegevens niet langer dan nodig om onze taken goed uit te voeren. 
Wij bewaren uw persoonsgegevens:

  • zo lang als nodig is voor het doel waarvoor ze verzameld zijn;
  • zo lang als wij dat op grond van de Archiefwet moeten en;
  • niet langer dan wij dat volgens de wet mogen.

Als wij persoonsgegevens verwerken, geldt altijd een bewaartermijn. De bewaartermijn is afhankelijk van de taak waarvoor wij persoonsgegevens verwerken. Bij de meeste onderzoeken die wij doen, moeten wij persoonsgegevens bewaren tot 20 jaar nadat het onderzoek klaar is. Voor ons volgen bewaartermijnen vaak uit wetten of regels, zoals de Wet op de geneeskundige behandelovereenkomst, de Archiefwet of selectielijsten.

Delen van persoonsgegevens

In sommige gevallen mag of moet het RIVM persoonsgegevens delen met anderen. Bijvoorbeeld met andere onderzoeksinstellingen, universiteiten, ministeries of het Centraal Bureau voor de Statistiek (CBS).

Als het RIVM persoonsgegevens deelt met andere organisaties zijn we zorgvuldig en houden we ons aan de regels van de AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming). We maken passende afspraken met de organisaties waarmee we persoonsgegevens delen. Als het nodig is, zorgen we er samen voor dat uw privacy beschermd blijft.

Afspraken met andere partijen

Soms schakelen we ook andere partijen in om ons te helpen. In de AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming) heten zulke partijen ‘verwerkers’. Voorbeelden van zulke partijen zijn bedrijven die enquêtes of analyses voor ons doen en bedrijven die voor ons zorgen dat persoonsgegevens moeilijker herleid kunnen worden tot personen. Wij maken met zulke partijen altijd schriftelijke afspraken. Zo weten we zeker dat ze zorgvuldig omgaan met uw persoonsgegevens.

Ook als het RIVM persoonsgegevens doorgeeft aan een ontvanger buiten Europa, leven we de AVG na. Als het nodig is, nemen we samen met de ontvanger extra maatregelen zodat uw persoonsgegevens net zo goed zijn beschermd als onder de AVG.

Uw privacyrechten

Op grond van de Algemene verordening gegevensbescherming (AVG) heeft u een aantal rechten. In onze specifieke privacyverklaringen vindt u per onderwerp meer informatie over die rechten en hoe u daarvoor een AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming)-verzoek kunt indienen. Voorbeelden hiervan zijn het Rijksvaccinatieprogramma, het COVID-vaccinatie Informatie- en Monitoringssysteem (CIMS) en sommige specifieke onderzoeken.

Welke AVG verzoeken zijn er?

Op grond van de AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming) kunt u:

  • verzoeken om inzage in de gegevens die het RIVM van u heeft;
  • verzoeken om onjuiste gegevens over u te wijzigen (rectificatie);
  • verzoeken om informatie over u te verwijderen;
  • verzoeken om uw gegevens over te dragen aan een andere organisatie (data-portabiliteit);1
  • verzoeken om het gebruik van uw persoonsgegevens te beperken;
  • bezwaar maken tegen het gebruik van uw persoonsgegevens.2
  1. Let wel, dit geldt alleen voor gegevens die op basis van uw toestemming (of overeenkomst) van u zijn verkregen.
  2. Bijvoorbeeld het afmelden voor een nieuwsbrief

Een AVG-verzoek indienen

Wilt u een AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming)-verzoek bij ons indienen of heeft u hierover vragen? Stuur dan een e-mail naar: AVG-RIVM@rivm.nl. Wij behandelen AVG-verzoeken binnen een maand. Als ons dat niet lukt, kunnen wij twee maanden uitstel vragen. Wij laten u dit dan op tijd weten.

Na een AVG-verzoek: vaststellen van uw identiteit

Als u een AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming)-verzoek doet bij het RIVM, moeten wij uw identiteit controleren. Wij stellen uw identiteit vast op de meest passende manier. Hoe dat gaat, kan per onderwerp verschillen. Soms kunt u gebruikmaken van DigID.

Bij algemene AVG-verzoeken zullen wij u doorgaans vragen om een kopie van uw identiteitsbewijs. Bijvoorbeeld uw paspoort of rijbewijs. Met de KopieID-app maakt u hier met uw smartphone veilig een kopie van. U leest hier meer over de KopieID-app.

In uitzonderlijke gevallen kan het voorkomen dat wij u bij een AVG-verzoek vragen om naar het RIVM te komen om uw identiteit vast te stellen. Bijvoorbeeld als uw verzoek gaat over bijzondere persoonsgegevens, of gegevens van minderjarigen. Als u zich persoonlijk komt identificeren, weten wij zeker dat wij deze gevoelige informatie aan de juiste persoon geven.

AVG-verzoek afwijzen

Soms moeten we een verzoek afwijzen. Bijvoorbeeld omdat in de AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming) zelf een uitzondering wordt gemaakt. Of omdat uw gegevens onherleidbaar zijn gemaakt voor wetenschappelijk onderzoek, zodat we die niet kunnen koppelen aan u. Of we verwerken geen gegevens van u.

Wat we doen om persoonsgegevens te beveiligen

Het RIVM vindt het belangrijk om vertrouwelijk en zorgvuldig met persoonsgegevens om te gaan. Omdat we bij de overheid horen, moeten we ons ook aan de Baseline Informatiebeveiliging Overheid (BIO) houden. Dat is de landelijke standaard op het gebied van informatiebeveiliging voor gemeenten, waterschappen, provincies en de rijksoverheid.

Het RIVM beveiligt en beschermt persoonsgegevens passend. We versleutelen bijvoorbeeld persoonsgegevens en zorgen dat onze computers goed beveiligd zijn. We zorgen ook dat niet alle medewerkers zomaar bij alle persoonsgegevens kunnen. Al onze medewerkers hebben ook een geheimhoudingsplicht. En ze krijgen cursussen, presentaties en uitleg over privacy en informatiebeveiliging, zodat ze weten hoe ze veilig en zorgvuldig met persoonsgegevens omgaan.

Vragen of klachten over het gebruik van persoonsgegevens

Heeft u vragen over deze privacyverklaring? Of vindt u dat het RIVM zich niet aan deze verklaring houdt of hield? Stuur dan een e-mail naar: AVG-RIVM@rivm.nl. Of stuur een brief naar het Centrale Privacyteam van het RIVM, Antwoordnummer 3270, 3720 VB in Bilthoven.

Heeft u een klacht over hoe het RIVM met uw gegevens is omgegaan? Op onze website leest u meer over onze klachtenregeling en hoe u uw klacht schriftelijk bij ons kunt indienen. U kunt uw klacht ook indienen door een e-mail te sturen naar AVG-RIVM@rivm.nl of de Functionaris voor Gegevensbescherming (FG) van het ministerie van Volksgezondheid, Welzijn en Sport (VWS): FG-VWS@minvws.nl.

De FG van het ministerie van VWS Ministerie van Volksgezondheid, Welzijn en Sport (Ministerie van Volksgezondheid, Welzijn en Sport) is onafhankelijk en houdt toezicht op het toepassen en naleven van de regels van de AVG algemene verordening gegevensbescherming (algemene verordening gegevensbescherming) door het ministerie. Omdat het RIVM onder het ministerie van VWS valt, houdt de FG van dat ministerie ook toezicht op ons.

Op grond van de AVG mag u ook een klacht indienen bij de Autoriteit Persoonsgegevens. U kunt hiervoor contact opnemen met de Autoriteit Persoonsgegevens.

Wijzigingen van deze privacyverklaring

Wij actualiseren deze privacyverklaring regelmatig. Dat doen we om deze te verbeteren of omdat de wetten en regels over privacy kunnen veranderen. 
Deze algemene privacyverklaring is voor het laatst aangepast op 1 december 2025.