Privacy

 

Nieuwe Europese privacyregels 

Met ingang van 25 mei 2018 zijn de nieuwe Europese Unie (EU) regels ter bescherming van persoonsgegevens van kracht, die ook hun impact hebben op de zorg. De EU wil de privacy van de Europese burgers beter beschermen met de Algemene Verordening Gegevensbescherming (AVG). Sinds de totstandkoming van de nationale en Europese privacyregels (de Europese richtlijn ter bescherming van persoonsgegevens uit 1995 en de Wet bescherming persoonsgegevens (Wbp) uit 2001) is de omvang van automatische verwerking van persoonsgegevens namelijk enorm toegenomen. Ook niet-Europese organisaties zoals Google, Apple, Microsoft en Facebook verwerken grote hoeveelheden persoonsgegevens van Europese burgers.
 

Uitvoeringswet AVG (UAVG)

De doorvertaling naar Nederlandse wetgeving heeft plaatsgevonden in de Uitvoeringswet AVG (UAVG) https://wetten.overheid.nl/BWBR0040940/2018-05-25. Daartoe is de Wbp vervangen. Organisaties die persoonsgegevens verwerken hebben meer verplichtingen gekregen. De nadruk ligt met deze wetgeving meer op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Van organisaties wordt een integraal privacy beleid gevraagd waarbij beveiliging én bescherming van persoonsgegevens onlosmakelijk met elkaar verbonden zijn. De impact op de organisatie vraagt daarom om privacy-bewustzijn op alle niveaus en toerusting van alle medewerkers. 
 

Verplichtingen AVG

Het is belangrijk om deze Europese verordening in het juiste perspectief te plaatsen. De standaard privacy-principes (data- en gebruiksminimalisatie, het vastleggen van persoonsgegevens voor een vooral bepaald doel (doelbinding), datakwaliteit, beveiliging, meldplicht datalekken, transparantie, rechten van betrokkenen en accountability) zijn niet gewijzigd. De AVG stelt nadere eisen en versterkt vooral de positie van de betrokkene(n), de natuurlijke persoon wiens persoonsgegevens worden verwerkt.
 
Ondanks het feit dat de AVG voor wat betreft de fundamentele beginselen niet wezenlijk afwijkt van de Wbp en dat naleving van de Wbp bij zorginstellingen al sinds 2001 vereist is, zullen (zorg)instellingen moeten nagaan of zij voor wat betreft de AVG aantoonbaar in control zijn. De AVG legt vooral meer nadruk op de verantwoordelijkheid van organisaties om aan te tonen dat zij zich aan de wet houden (verantwoordingsplicht). De aanstelling van een Functionaris Gegevensbescherming (FG), de registers van gegevensverwerkingen en de uitkomsten van een Privacy Impact Analyse (PIA) (of zijn daartoe belangrijke instrumenten. Deze elementen komen dan ook terug in de 10 stappen zoals door de Autoriteit Persoonsgegevens (AP) zijn geformuleerd ten behoeve van de implementatie van de AVG verplichtingen. Zie https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/in_10_stappen_voorbereid_op_de_avg.pdf
 

Privacy-bewustzijn 

De AVG en de uitvoeringswet (UAVG) geven alleen de kaders en een richting voor privacy-management. De organisatie moet zelf de belangenafweging maken, welke verwerkingen van persoonsgegevens voor de eigen bedrijfsvoering nodig zijn en hoe gelijktijdig te voldoen aan de verplichtingen die voortvloeien uit de privacy wet- en regelgeving. Dit vanuit het oogpunt dat de verwerkingsverantwoordelijke (de eindverantwoordelijke voor de verwerking) degene is die uiteindelijk het doel van en de middelen voor de verwerking(en) in de organisatie moet vaststellen en verplicht is deze met de nodige waarborgen te omkleden om zich in voorkomende gevallen (extern) te kunnen verantwoorden bij betrokkenen en de toezichthouder AP. Een belangrijk aandachtspunt bij de realisatie van privacy waarborgen binnen de instelling, is het bevorderen van zowel kennis als het privacy-bewustzijn bij de medewerkers. Bewustwording op het gebied van privacybescherming en gegevensbeveiliging is daarbij niet alleen aan juristen, ict-professionals en informatiebeveiligingsdeskundigen voorbehouden. Privacy-management vraagt om een systematische aanpak en borging analoog aan een kwaliteits- en veiligheidsmanagementsysteem.  
 

Boetes 

Schendingen van het privacy recht kunnen flinke boetes opleveren. Overtredingen van de eerste categorie kunnen worden bestraft met een geldboete van maximaal € 20.000.000,- of 4% van de wereldwijde omzet. Voor categorie 2-overtredingen is dit maximaal € 10.000.000,- of 2% van de wereldwijde omzet.  
 
De AVG introduceert twee categorieën overtredingen:  
1. overtredingen ten aanzien van fundamentele verplichtingen en  
2. overtredingen van administratief georiënteerde verplichtingen.  
 

Categorie 1-overtredingen 

Wanneer een verwerkingsverantwoordelijke of verwerker een overtreding begaat van de meer fundamentele verplichtingen uit de AVG dan kan deze worden bestraft met een boete van de hoogste categorie. Te denken valt aan schending van rechten van een betrokkene, zoals het recht van inzage, het recht op gegevenswissing en het recht op dataportabiliteit. Ook overtreding van de volgende punten valt onder deze categorie: 
Basisbeginselen van gegevensverwerking, waaronder de voorwaarden voor toestemming; 
Doorgiften van persoonsgegevens aan een derde land (buiten de Europese Economische Ruimte) en internationale organisaties; 
Verplichtingen die volgen uit nationale wetgeving, zoals ten aanzien van de vrijheid van meningsuiting en verwerking van persoonsgegevens in het arbeidsrecht; 
Niet-naleving van een bevel van de toezichthouder of een tijdelijke of definitieve verwerkingsbeperking of opschorting. 
 

Categorie 2-overtredingen 

De meeste andere overtredingen kunnen worden bestraft met een boete van het ‘lagere’ tarief. Dit geldt onder andere voor het niet voldoen aan de onderstaande onderwerpen die volgen uit de AVG: 
Toestemming van een kind voor diensten van de informatiemaatschappij; 
Privacy by design and default; 
Aanstelling van de privacy officer / functionaris gegevensbescherming; 
Melden van datalekken aan de AP en de betrokkene; 
Privacy Impact Assessment; 
Beveiligingsmaatregelen. 
 

Functionaris voor de gegevensbescherming 

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Deze functionaris moet binnen de organisatie toezicht houden op de toepassing en naleving van de AVG. Voor zorginstellingen is een FG verplicht omdat bijzondere persoonsgegevens op grote schaal worden verwerkt en dit een kernactiviteit van de organisatie is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.  
 

NVZ Kennisnet

De NVZ biedt, in samenwerking met en voor de leden, zorgspecifieke instrumenten ter ondersteuning van alle leden aan. Binnen diverse netwerken van leden (onder andere het netwerk van security en privacy officers) zijn al diverse producten ontwikkeld en worden door de NVZ op centraal niveau worden verspreid en gedeeld met alle leden. 
 
Via NVZ Kennisnet is een platform voor FG’s opengesteld. Alle FG’s die geregistreerd zijn bij de AP en werkzaam zijn bij NVZ lidinstellingen kunnen zich daar aanmelden en in een vertrouwelijke omgeving kennis delen en ervaringen uitwisselen. Ook worden meerdere keren per jaar netwerkbijeenkomsten georganiseerd en zullen werkgroepen gezamenlijk praktische knelpunten oppakken, adviezen opstellen en producten ontwikkelen.
 
Al langer bestaat het Netwerk Informatiebeveiliging van en voor NVZ-leden. De leden van dit netwerk wisselen actief kennis en ervaring uit als het gaat om de beveiliging van Informatie. Drie keer per jaar worden bijeenkomsten georganiseerd voor leden van het netwerk.