De laatste jaren is privacy een zeer actueel onderwerp. Wanneer vraagt u als verloskundig zorgverlener waarvoor toestemming en wat moet u waar registreren? De beslisschema’s kunnen hierbij helpen. Verder is op 25 mei 2018 de Algemene Verordening Gegevensbescherming (Avg) in werking getreden. Wat betekent dat voor u, als verloskundig zorgverlener?

Beslisschema's

De beslisschema’s geven antwoord op de volgende vragen: hoe weet u als verloskundig zorgverlener dat de zwangere toestemming geeft voor screeningonderzoek ? Wat noteert u in haar dossier? Kan zij registratie in het informatiesysteem van de screening weigeren? Hoe geeft u als verloskundig zorgverlener gegevens door en wanneer doet u dat?

De Algemene Verordening Gegevensbescherming (de AVGAlgemene Verordening Gegevensbescherming )

Vanaf 25 mei 2018 geldt in heel Europa, dus ook in Nederland, de Algemene Verordening Gegevensbescherming. De AVG gaat over privacy en stelt regels over hoe omgegaan moet worden met persoonsgegevens. Een persoonsgegeven is informatie over een persoon, waarmee deze persoon te identificeren is. Dit kan directe of indirecte informatie zijn. Iemands geboortedatum, adres of geslacht zijn voorbeelden van persoonsgegevens. Maar bijvoorbeeld ook gedetailleerde informatie over iemands gezondheid. In Nederland geldt, in aanvulling op de AVG, de Uitvoeringswet AVG. Voor zorgverleners is ook de Wet op de geneeskundige behandelingsovereenkomst (WgboWet geneeskundige behandelingsovereenkomst ) van belang, omdat daarin regels staan over het medisch dossier en het beroepsgeheim.

Meldplicht datalekken

De AVG verplicht ons (onder meer) persoonsgegevens te beveiligen door middel van passende technische en organisatorische maatregelen. Dit betekent dat we de gegevens niet alleen technisch moet beschermen tegen toegang door derden. Ook moeten we er bijvoorbeeld intern voor zorgen dat de gegevens uitsluitend toegankelijk zijn voor die onderdelen van de organisatie die de gegevens nodig hebben voor de uitvoering van hun taken. We moeten elke inbreuk op (technische of organisatorische) maatregelen die persoonsgegevens beveiligen tegen verlies of onrechtmatige verwerking  melden. Denk aan een hack of een technisch falen, maar ook aan verlies of diefstal van een laptop waarop persoonsgegevens staan. Een ‘datalek’ kan dus in vele vormen voorkomen.

De meldplicht geldt alleen als de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (of een aanzienlijke kans daarop). Of er sprake is van een inbreuk, moet u zelf beoordelen, maar de Autoriteit geeft wel (op dit moment nog niet-definitieve) richtlijnen.

Melden aan de Autoriteit en aan de betrokkene

U moet de melding doen aan de Autoriteit Persoonsgegevens. Daarbij dient u niet alleen te melden om wat voor inbreuk het gaat en welke (mogelijke) gevolgen die heeft. Ook moet u melden welke maatregelen zijn en/of worden genomen om de gevolgen te verhelpen. Als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de desbetreffende persoon , dan moet ook de betrokkene in kennis worden gesteld van het lek. Als de gelekte gegevens (afdoende) versleuteld zijn, hoeft u de betrokkene niet te informeren, maar wel de Autoriteit.

Uitbesteding van gegevensverwerking

Degene die verantwoordelijk is voor de gegevensbewerking is verplicht te zorgen voor een gedegen beveiliging én het te melden als dat is misgegaan. Heeft u de gegevensverwerking uitbesteed aan een ander? Dan is de verwerker verantwoordelijk. U moet zich ervan bewust zijn dat bij een gebrekkige beveiliging de verantwoordelijke het boeterisico loopt. Het is daarom van groot belang dat u in de verwerkersovereenkomst goede afspraken maakt over de beveiliging en het melden van een datalek.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn: naam- en adresgegevens, e-mailadressen, pasfoto's, maar ook bijvoorbeeld IP-adressen.

Naast gewone persoonsgegevens kent de wet bijzondere persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Zulke gegevens mogen dan ook alleen onder zeer strenge voorwaarden worden verwerkt. Onder bijzondere of gevoelige persoonsgegevens vallen: gegevens over iemands ras, godsdienst, gezondheid, strafrechtelijk verleden of seksuele leven. Ook een lidmaatschap van een vakvereniging en het Burgerservicenummer (BSNBurger Service Nummer ) zijn bijzondere persoonsgegevens.

Wanneer is er sprake van verwerking van persoonsgegevens?

Onder verwerking wordt verstaan elke handeling in relatie tot persoonsgegevens. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.
Je zou kunnen stellen dat alles wat iemand met een persoonsgegeven doet onder verwerken valt.

Tips

  • Controleer hoe op dit moment gegevens worden verwerkt binnen uw organisatie. Wordt er rekening gehouden met de nieuwe regelgeving, of zijn maatregelen nodig om aan de nieuwe regels te kunnen voldoen?
  • Zorg voor een juiste wijze van documenteren van gegevensverwerking en pas eventueel algemene voorwaarden en privacyverklaringen aan.
  • Controleer of partijen waar uw organisatie gegevens mee deelt, ook voldoen aan de nieuwe regels. Sluit zo nodig verwerkersovereenkomsten of pas bestaande overeenkomsten aan.