De Algemene Verordening Gegevensbescherming (de AVG)

Vanaf 25 mei 2018 geldt in heel Europa, dus ook in Nederland, de Algemene Verordening Gegevensbescherming. De AVG Algemene Verordening Gegevensbescherming (Algemene Verordening Gegevensbescherming) gaat over privacy en stelt regels over hoe omgegaan moet worden met persoonsgegevens. Een persoonsgegeven is informatie over een persoon, waarmee deze persoon te identificeren is. Dit kan directe of indirecte informatie zijn. Iemands geboortedatum, adres of geslacht zijn voorbeelden van persoonsgegevens. Maar bijvoorbeeld ook gedetailleerde informatie over iemands gezondheid. In Nederland geldt, in aanvulling op de AVG, de Uitvoeringswet AVG. Voor zorgverleners is ook de Wet op de geneeskundige behandelingsovereenkomst (Wgbo Wet geneeskundige behandelingsovereenkomst (Wet geneeskundige behandelingsovereenkomst)) van belang, omdat daarin regels staan over het medisch dossier en het beroepsgeheim. 

Meldplicht datalekken 

De AVG verplicht ons (onder meer) persoonsgegevens te beveiligen door middel van passende technische en organisatorische maatregelen. Dit betekent dat we de gegevens niet alleen technisch moet beschermen tegen toegang door derden. Ook moeten we er bijvoorbeeld intern voor zorgen dat de gegevens uitsluitend toegankelijk zijn voor die onderdelen van de organisatie die de gegevens nodig hebben voor de uitvoering van hun taken. We moeten elke inbreuk op (technische of organisatorische) maatregelen die persoonsgegevens beveiligen tegen verlies of onrechtmatige verwerking  melden. Denk aan een hack of een technisch falen, maar ook aan verlies of diefstal van een laptop waarop persoonsgegevens staan. Een ‘datalek’ kan dus in vele vormen voorkomen. 

De meldplicht geldt alleen als de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (of een aanzienlijke kans daarop). Of er sprake is van een inbreuk, moet je zelf beoordelen, maar de Autoriteit geeft wel (op dit moment nog niet-definitieve) richtlijnen. 

Melden aan de Autoriteit en aan de betrokkene

Je moet de melding doen aan de Autoriteit Persoonsgegevens. Daarbij dien je niet alleen te melden om wat voor inbreuk het gaat en welke (mogelijke) gevolgen die heeft. Ook moet je melden welke maatregelen zijn en/of worden genomen om de gevolgen te verhelpen. Als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de desbetreffende persoon , dan moet ook de betrokkene in kennis worden gesteld van het lek. Als de gelekte gegevens (afdoende) versleuteld zijn, hoef je de betrokkene niet te informeren, maar wel de Autoriteit. 

Uitbesteding van gegevensverwerking 

Degene die verantwoordelijk is voor de gegevensbewerking is verplicht te zorgen voor een gedegen beveiliging én het te melden als dat is misgegaan. Heb je de gegevensverwerking uitbesteed aan een ander? Dan is de verwerker verantwoordelijk. Je moet je ervan bewust zijn dat bij een gebrekkige beveiliging de verantwoordelijke het boeterisico loopt. Het is daarom van groot belang dat je in de verwerkersovereenkomst goede afspraken maakt over de beveiliging en het melden van een datalek. 

Wat zijn persoonsgegevens? 

Persoonsgegevens zijn: naam- en adresgegevens, e-mailadressen, pasfoto's, maar ook bijvoorbeeld IP-adressen. 

Naast gewone persoonsgegevens kent de wet bijzondere persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Zulke gegevens mogen dan ook alleen onder zeer strenge voorwaarden worden verwerkt. Onder bijzondere of gevoelige persoonsgegevens vallen: gegevens over iemands ras, godsdienst, gezondheid, strafrechtelijk verleden of seksuele leven. Ook een lidmaatschap van een vakvereniging en het Burgerservicenummer (BSN Burgerservicenummer (Burgerservicenummer)) zijn bijzondere persoonsgegevens. 

Wanneer is er sprake van verwerking van persoonsgegevens? 

Onder verwerking wordt verstaan elke handeling in relatie tot persoonsgegevens. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. 
Je zou kunnen stellen dat alles wat iemand met een persoonsgegeven doet onder verwerken valt. 

Meer informatie is ook te vinden op pns.nl/juridische-informatie.