WBP handleiding bij het invoeren van de Wet bescherming persoonsgegevens

Transcriptie

1 WBP handleiding bij het invoeren van de Wet bescherming persoonsgegevens - Nadere informatie over de WBP - Stappenplan t.b.v. invoering en implementatie - Handreiking voor het opstellen van een privacyreglement augustus 2001

2 Uitgave is een gezamenlijke uitgave van Arcares, brancheorganisatie verpleging & verzorging, GGz Nederland, NVZ vereniging van ziekenhuizen, Vereniging Gehandicaptenzorg Nederland en VOG ondernemersorganisatie voor welzijn, jeugdhulpverlening en kinderopvang. Bestelling Van deze uitgave kunt u onder vermelding van het publicatienummer en het gewenste aantal extra exemplaren bestellen bij uw brancheorganisatie: Arcares, brancheorganisatie verpleging & verzorging Afdeling verkoop publicaties Arcares, voor bestelformulieren: tel bestelnummer: GGz Nederland fax: bestelnummer: 148L NVZ, vereniging van ziekenhuizen SpectraFacility Afdeling Verkoop Publikaties Postbus GR Utrecht fax bestelnummer: VGN VGN afdeling publicaties Postbus AK Utrecht fax: akoetsveld@vgn.org VOG, ondernemersorganisatie voor welzijn, jeugdhulpverlening en kinderopvang oostveen@vog.nl fax: bestelnummer: OVE0046 Prijs Per exemplaar wordt een het volgende bedrag exclusief verzendkosten in rekening gebracht. Leden: f 10,- 4,54 Niet-leden: f 20,- 9,00 (excl. BTW) 2

3 Inhoud pagina 1. Inleiding 5 2. Nadere informatie over de wet 7 a. Nieuwe begrippen 7 b. Criteria voor de toelaatbaarheid van het verwerken van persoonsgegevens 9 c. Controle op het naleven van de WBP 13 bijlage: Grondslagen voor het verwerken van persoonsgegevens Stappenplan ter implementatie van de WBP Handreiking voor een privacyreglement 25 3

4 Voorwoord Op 1 september 2001 zal de Wet bescherming persoonsgegevens (WBP) in werking treden als opvolger van de Wet persoonsregistraties. De invoering van deze wet zal gevolgen hebben voor de verwerking van persoonsgegevens in instellingen. Arcares, GGz Nederland, NVZ vereniging van ziekenhuizen, Vereniging Gehandicaptenzorg Nederland en VOG onderneming voor welzijn, jeugdhulpverlening en kinderopvang, hebben ten behoeve van de invoering en implementatie van de wet enig materiaal vastgesteld dat in deze bundel is opgenomen. De bundel bevat achtereenvolgens: Nadere informatie over de WBP, Stappenplan ten behoeve van de invoering en implementatie en Handreiking voor het opstellen van een privacyreglement 1. De samenstellers, juristen werkzaam bij de onderscheiden brancheorganisaties, menen met het opstellen van deze bundel tegemoet te komen aan uw verzoek om adequaat materiaal. De samenstellers wensen u succes met uw werkzaamheden. 1 Voor de leden van de VOG ontvangen dienaangaande een aparte brochure. 4

5 1. Inleiding Wet bescherming persoonsgegevens In september 2001 zal een nieuwe wet in werking treden, die specifiek de bescherming van persoonsgegevens regelt: de Wet bescherming persoonsgegevens (WBP). Deze wet vervangt de wet die de bescherming van persoonsgegevens op dit moment regelt, namelijk de Wet persoonsregistraties (WPR). De nieuwe wet brengt een aantal wijzigingen met zich mee ten opzichte van de oude wet. Daarbij zullen de onder de WPR ontwikkelde instrumenten voor het omgaan met persoonsgegevens in de instelling goed gebruikt kunnen worden. Om de overgang van WPR naar WBP in uw instelling zo soepel mogelijk te laten verlopen, hebben de gezamenlijke brancheorganisaties voor instellingen in de sectoren zorg en welzijn informatiemateriaal ontwikkeld. Hierbij ontvangt u: - Een stappenplan met daarbij nadere informatie over de wet (inclusief bijlage) - Een handreiking voor een privacyreglement Deze informatie dient ter ondersteuning van de toepassing van de WBP in uw instelling. Naast deze informatie bieden bovengenoemde brancheorganisaties u de mogelijkheid gebruik te maken van de helpdesk WBP voor het beantwoorden van vragen over de praktische invoering van de wet. Het stappenplan In de nieuwe wet wordt niet alleen de bescherming geregeld van gegevens die in eengegevensbestand zijn vastgelegd, zoals in de WPR. Het gehele proces van gegevensverwerking, van het verzamelen tot het vastleggen en doorgeven van persoonsgegevens, dient volgens de nieuwe wet aan zorgvuldigheidseisen te voldoen. Met behulp van dit stappenplan kunt u de benodigde maatregelen nemen om uw verwerkingen van persoonsgegevens te inventariseren en in overeenstemming te brengen met de eisen van de wet. De WBP eist dat een instelling de verschillende verwerkingen van persoonsgegevens inzichtelijk maakt. Bepaalde gegevensverwerkingen moeten worden aangemeld bij het nieuw toezichthoudend orgaan, het College bescherming persoonsgegevens (CBP). Na de inwerkingtreding van de WBP op 1 september 2001 heeft u één jaar de tijd om de bestaande registraties die bij de huidige registratiekamer zijn aangemeld opnieuw aan te melden bij het CBP. 5

6 Handreiking voor een privacyreglement Onder de WPR diende de instelling voor de registraties van persoonsgegevens een reglement op te stellen. Onder de WBP is de reglementsplicht vervallen. Wel is er onder de WBP een uitgebreidere aanmeldingsverplichting ingevoerd dan onder de WPR het geval was. De brancheorganisaties krijgen van de leden echter vele verzoeken een reglement uit te geven. Besloten is daarom een handreiking voor een privacyreglement op te stellen. Deze handreiking is in het materiaal opgenomen. Helpdesk Voor de individuele ondersteuning van de leden is door de genoemde verenigingen een gezamenlijke helpdesk WBP opgericht. De helpdesk zal vragen beantwoorden van directies en bestuur van instellingen en van medewerkers die belast zijn met het implementeren van de wet in de organisatie. U kunt vanaf 3 september 2001 telefonisch of per contact opnemen met de medewerkers van deze helpdesk. De helpdesk is telefonisch te bereiken: Het adres is info@wbp-zorg-welzijn.nl De openingstijden zijn op werkdagen van 9.00 uur tot uur. Verder zal de helpdesk de leden van nadere informatie en uitleg over de WBP voorzien door te publiceren in de verschillende nieuwsbrieven die door de verenigingen worden uitgegeven. Aan de orde komen zeker vragen die veel aan de helpdesk worden gesteld. Ook zal de helpdesk op deze manier meer specifieke onderwerpen nader aan de orde kunnen stellen. 6

7 2. Nadere informatie over de wet a. Nieuwe begrippen Voor de toepassing van de WBP is een aantal begrippen belangrijk die in de WPR niet voorkomen of anders zijn omschreven. Deze nieuwe begrippen worden hier kort behandeld. Kennis hiervan is nodig voor een goede toepassing van het stappenplan. Persoonsgegevens: een gegeven is een persoonsgegeven in de zin van de WBP wanneer het gegeven informatie bevat over een geïdentificeerde of identificeerbare natuurlijke persoon. Geïdentificeerd wil zeggen dat degene op wie de gegevens betrekking hebben, zonder meer bekend is. Identificeerbaar wil zeggen dat uit de gegevens die zijn vastgelegd redelijkerwijs kan worden achterhaald om welke persoon het gaat. Een gegeven is een persoonsgegeven zodra het informatie geeft over iemand. Daarmee is zijn privacy in het geding. Het gegeven dat iemand voor een bepaald bedrijf werkt is bijvoorbeeld al een persoonsgegeven. Een gegeven is geen persoonsgegeven als de informatie niet gekoppeld kan worden aan een bepaalde persoon, zoals bijvoorbeeld het geval kan zijn bij gegevens die geanonimiseerd zijn. De inhoud van persoonsgegevens is onder de WBP ten opzichte van de WPR niet gewijzigd. Verwerking van persoonsgegevens: verwerking in de zin van de WBP is iedere handeling en ook ieder geheel van handelingen dat ten aanzien van persoonsgegevens wordt uitgevoerd. Onder verwerking worden in de eerste plaats diverse typen handelingen begrepen. Zo zijn verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, met elkaar in verband brengen, maar ook afschermen, uitwissen of vernietigen van gegevens allemaal vormen van verwerking. In de tweede plaats wordt onder verwerking het gehele samenhangende proces verstaan dat een bepaald soort persoonsgegevens onder verantwoordelijkheid van een organisatie doormaakt, vanaf het moment van verzamelen tot en met vernietiging. De verwerking van persoonsgegevens staat centraal in de WBP. Een verschil met de WPR is dat niet zozeer de bescherming is gericht op het gegevensbestand (de registratie). De WBP legt er vooral de nadruk op dat de activiteiten die rondom het gegevensbestand plaatsvinden, aan de in de wet gestelde zorgvuldigheidseisen moeten voldoen. Betrokkene: de betrokkene is degene op wie een persoonsgegeven betrekking heeft. Onder de WPR was dit de geregistreerde. Verantwoordelijke voor de gegevensverwerking: de verantwoordelijke voor de gegevensverwerking in de zin van de WBP is de natuurlijke persoon of de rechtspersoon die het doel en de middelen voor de gegevensverwerking vaststelt. De verantwoordelijke voor de gegevensverwerking dient ervoor te zorgen dat aan de eisen die de WBP stelt ten aanzien van het omgaan met persoonsgegevens, wordt voldaan. Onder de WPR werd gesproken van de houder van de registratie, die diende te zorgen voor naleving van de wet. De houder had 7

8 de verantwoording voor het zorgvuldig omgaan met de gegevens in het gegevensbestand. Ook de verantwoordelijke voor de gegevensverwerking is daarvoor onder de WBP verantwoordelijk. Het verschil is dat de verantwoordelijke nog meer dan voorheen actief moet zorgen dat de verwerkingen van de gegevens uit het gegevensbestand, zoals het verzamelen en het verstrekken, zorgvuldig en naar behoren geschieden Informatieplicht: de betrokkene moet door de instelling worden geïnformeerd over welke gegevens er over hem worden verzameld, wat het doel daarvan is, hoe in grote lijnen met de gegevens door de instelling wordt omgegaan en aan wie de gegevens buiten de instelling worden verstrekt. Hiermee krijgt de betrokkene inzicht in welke gegevens door wie over hem worden vastgelegd en gebruikt. De WPR legde de houder van een gegevensbestand deze verplichting ook al op. De betrokkene kon deze informatie achterhalen via het reglement van de instelling. De WBP vraagt van de verantwoordelijke voor de gegevensverwerking een actievere houding. De betrokkene zal persoonlijk informatie verstrekt moeten krijgen. Dit kan bijvoorbeeld door bij het eerste contact met de betrokkene een informatiefolder uit te reiken waarin is vermeld om welk soort gegevens het gaat, wat daar in grote lijnen binnen de instelling mee gebeurt, aan wie de gegevens worden verstrekt en wat de rechten zijn van de betrokkenen. College bescherming persoonsgegevens: Het CBP is het orgaan dat door de WBP wordt aangewezen om toe te zien op de verwerking van persoonsgegevens plaatsvindt overeenkomstig de wet. Onder de WPR werd dit toezicht uitgeoefend door de Registratiekamer. De Registratiekamer is met ingang van de nieuwe wet het CBP geworden. Naast de toezichthoudende taak heeft het CBP ook een adviserende taak. Bij het CBP zijn folders verkrijgbaar en kunnen vragen over de WBP worden gesteld. Voor informatie over de nieuwe wet kunt u kijken op de website van het CBP. U kunt ook telefonisch contact opnemen met de medewerkers van het CBP. Het telefonisch spreekuur is iedere werkdag van 9.00 tot uur, telefoonnummer Melding: De reglementsplicht op grond van de WPR wordt onder de nieuwe wet vervangen door de algemene verplichting om gegevens aan te melden. De WBP eist dat de verantwoordelijke de verschillende gegevensbestanden en de handelingen die daarmee plaatsvinden (de gegevensverwerking in de zin van de WBP) in kaart brengt. Per gegevensbestand dient een overzicht te worden gemaakt van gegevens, betrokkenen, doelstellingen, verwerkingen en degenen die deze verwerkingen uitvoeren. De WBP noemt dit melding. Deze meldingsplicht geldt alleen voor geautomatiseerde gegevens; niet geautomatiseerde gegevens hoeft u doorgaans niet te melden. Bepaalde soorten van veel voorkomende verwerkingen zijn vrijgesteld. Deze zijn opgesomd in het vrijstellingsbesluit (zie hierna). 8

9 U kunt uw gegevensverwerkingen aanmelden op de volgende manieren: - Met behulp van het het WBP-meldingsprogramma te vinden op de website van het CBP. - Door middel van het invullen van de WBP-diskette of het WBP-meldingsformulier. De diskette en het formulier zijn te telefonisch te bestellen, telefoonnummer en/of De registraties die op dit moment bij de registratiekamer bekend zijn dienen opnieuw te worden aangemeld. Voor het opnieuw aanmelden geldt een overgangstermijn van 1 jaar. U heeft dus tot 1 september 2002 de tijd om deze bestaande registraties opnieuw aan te melden volgens de nieuwe eisen van de WBP. Nieuwe verwerkingen en wijzigingen van bestaande verwerkingen moeten vanaf 1 september 2001 steeds vooraf worden gemeld. Vrijstelling: In het Vrijstellingsbesluit behorend bij de WBP is geregeld welke van deze geautomatiseerde verwerkingen van persoonsgegevens niet hoeven te worden aangemeld bij het CBP. Het gaat met name om verwerkingen voor standaarddoeleinden waarbij geen privacygevoelige gegevens zijn vastgelegd. Denk bijvoorbeeld aan een personeelsadministratie of een ledenadministratie. De zorgvuldigheidseisen van de WBP voor het werken met persoonsgegevens zijn niettemin onverkort van toepassing op vrijgestelde verwerkingen. Het feit dat een verwerking niet hoeft te worden aangemeld wil dus niet zeggen dat niet aan de WBP hoeft te worden voldaan: vrijgestelde verwerkingen vallen dus gewoon onder de WBP. Vrijgestelde verwerkingen hoeven niet, maar mogen altijd op eigen initatief van de verantwoordelijke worden aangemeld. Op de website van het CBP is een handreiking Vrijstellingsbesluit WBP online beschikbaar. Aan de hand van deze interactieve checklist kunt u nagaan of een gegevensverwerking vrijgesteld is van melding. WBP-privacyfunctionaris: Op grond van de WBP kunt u een privacyfunctionaris benoemen. U kunt uw gegevensverwerkingen dan bij deze persoon aanmelden in plaats van bij het CBP. De privacyfunctionaris kan door de verantwoordelijke worden benoemd, maar ook door een organisatie waarbij meer verantwoordelijken zijn aangesloten, bijvoorbeeld een brancheorganisatie. Vooralsnog zijn de brancheorganisaties in de zorg niet voornemens een dergelijke WBP-privacyfunctionaris te benoemen. Het CBP zal de bevoegdheden en de taken van de privacyfunctionaris nader definiëren en omschrijven in een brochure over de privacyfunctionaris. b. Criteria voor de toelaatbaarheid van het verwerken van persoonsgegevens De WBP bevat een aantal criteria om te beoordelen of de verwerking van persoonsgegevens door de instelling rechtmatig is. Deze zorgvuldigheidseisen worden hier genoemd en kort toegelicht. In het stappenplan komen deze opnieuw aan de orde. 9

10 Behoorlijke en zorgvuldige gegevensverwerking (art. 6 WBP) Volgens de WBP moeten de gegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Verwerkt worden wil zeggen: verzamelen, vastleggen, bewaren, gebruiken, verstrekken, enz. Verzamelen van persoonsgegevens dient een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel (art. 7 WBP) Aan het verzamelen van persoonsgegevens en daarmee het aanleggen van bestanden stelt de WBP specifieke zorgvuldigheidseisen. Persoonsgegevens worden voor een bepaald doel verzameld. De WBP legt de verantwoordelijke op ervoor te zorgen dat deze doeleinden welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Dit betekent dat zonder exacte doelomschrijving de instelling geen gegevens mag verzamelen. Deze doelomschrijvingen zijn verder nodig om een gegevensverwerking te kunnen aanmelden. Welbepaald betekent dat de omschrijvingen van de doeleinden voor de gegevenswerking die de verantwoordelijke hanteert, helder zijn. Een goede inventarisatie van doelen is belangrijk omdat, nadat de doelen zijn vastgesteld, de instelling deze tijdens het verwerkingsproces niet zonder meer weer kan veranderen of uitbreiden. Wel mogen onder omstandigheden gegevens die de instelling voor een bepaald doel heeft verzameld, ook voor andere doeleinden worden verwerkt. Zie hieronder bij verenigbaarheid van doelen. Het oorspronkelijk doel moet dan verenigbaar zijn met het nieuwe doel. Uitdrukkelijk omschreven houdt in dat voordat tot het verzamelen van gegevens wordt overgegaan de verantwoordelijke het doel waarvoor hij de gegevens verwerkt, op schrift vastlegt. In verband met de invoering van de WBP zal dat voor bestaande gegevensbestanden alsnog moeten gebeuren. Gerechtvaardigd wil zeggen dat het doel niet in strijd is met een wet, de openbare orde of de goede zeden. Verder zal het doel terug te voeren moeten zijn op een van de in de WBP genoemde grondslagen (zie volgende zorgvuldigheidseis). Grondslagen voor gegevensverwerking (art. 8 WBP) De WBP noemt zes geldige redenen om persoonsgegevens te verzamelen en te verwerken. De handelingen die ten aanzien van persoonsgegevens binnen de instelling plaatsvinden, moeten dus ieder op een of meer van deze legitimeringsgronden terug te voeren zijn. Een van deze gronden is toestemming van de betrokkene. Maar er zijn dus ook andere gronden voor het verzamelen en verwerken mogelijk, naast toestemming. In bijlage 1 worden deze grondslagen genoemd en wordt bij elke grondslag een nadere toelichting gegeven. 10

11 Grondslagen voor het verwerken van bijzondere persoonsgegevens (art WBP) De WBP heeft aparte gronden geformuleerd om persoonsgegevens te mogen verwerken als er sprake is van bijzondere persoonsgegevens. Met deze gegevens moet extra zorgvuldig worden omgegaan omdat zij extra privacygevoelig zijn. Deze gegevens mogen in principe niet worden verwerkt, tenzij om een van deze apart geformuleerde redenen. De WPR kende ook zulke speciale categorieën van gegevens en noemde deze gevoelige persoonsgegevens. In de WBP zijn als speciale categorieën van persoonsgegevens benoemd: 1. godsdienst of levensovertuiging; 2. ras; 3. politieke gezindheid; 4. gezondheid; 5. seksuele leven; 6. lidmaatschap van een vakvereniging; 7. strafrechtelijke persoonsgegevens; 8. persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod). In de bijlage worden de grondslagen voor deze bijzondere gegevens nadere beschreven en toegelicht. Gegevensverwerking is niet onverenigbaar met het doel waarvoor de gegevens zijn verzameld (art. 9 WBP) De verwerking moet in de eerste plaats zijn terug te voeren zijn op een of meer van de genoemde legitimeringsgronden (zie hierboven). In de tweede plaats geldt dat verwerking van de verzamelde persoonsgegevens niet onverenigbaar mag zijn met het doel waarvoor de gegevens zijn verzameld. Of er sprake is van een onverenigbare verwerking, hangt af van de omstandigheden van het geval. De WBP noemt een aantal factoren die daarbij van belang zijn. De factoren die de WBP noemt zijn: 1. De mate van verwantschap tussen het oorspronkelijke doel en het doel van de verwerking: hoe meer de twee doeleinden bij elkaar liggen, hoe eerder de verdere verwerking geoorloofd zal zijn. 2. De aard van de gegevens: hoe gevoeliger de gegevens zijn, des te minder snel mag worden aangenomen dat deze gegevens ook voor andere doeleinden mogen worden gebruikt. 3. De gevolgen van de beoogde verdere verwerking voor de betrokkene: als de gevolgen voor de betrokkene van de verdere verwerking ingrijpend zijn, moet sneller worden aangenomen dat de gegevens niet voor dat andere doel mogen worden gebruikt. Denk bijvoorbeeld aan de situatie waarin het gebruikt ertoe leidt dat over de betrokkene een beslissing wordt genomen. 4. De wijze waarop de gegevens zijn verkregen en de mate waarin daarbij passende waarborgen voor de betrokkene zijn genomen: als u de gegevens niet van de betrokkene zelf heeft verkregen, moet sneller worden aangenomen dat de gegevens niet voor dat andere doel mogen worden gebruikt. 11

12 Ook andere factoren die niet in de WBP worden genoemd, kunnen echter een rol spelen. Te denken is aan bijvoorbeeld de verwachting die een betrokkene redelijkerwijs heeft van het gebruik van zijn gegevens die worden vastgelegd. Steeds moeten alle mogelijk factoren worden meegewogen om zo tot een totaaloordeel te komen. Vooral wanneer persoonsgegevens nodig zijn voor onderzoek, kan de vraag naar verenigbaarheid aan de orde komen. Voor dat doel zijn immers de persoonsgegevens over het algemeen niet verzameld. De WBP bepaalt dat verdere verwerking voor historische, statistische of wetenschappelijke doeleinden is toegestaan. De instelling moet dan wel zorgen dat de onderzoeker met de gegevens zorgvuldig omgaat, bijvoorbeeld door het afgesproken gebruik te laten vastleggen in een overeenkomst. Verwerking voor onderzoek is weer niet toegestaan als de geheimhoudingsplicht van een hulpverlener verbiedt de gegevens te verstrekken. Voor onderzoek met cliëntgegevens bestaan specifieke bepalingen in specifieke wetgeving, zoals de WGBO. Deze regels hebben voorrang op de bepalingen van de WBP. Gegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor verzameld (art. 10 WBP) De WBP bepaalt dat de persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld en worden verwerkt. Daarnaast stelt bijzondere wetgeving specifieke eisen aan de bewaartermijnen. Deze specifieke bepalingen hebben voorrang boven de algemene bepalingen van de WBP. Zo stelt de WGBO dat patiëntgegevens 10 jaar moeten worden bewaard, te rekenen vanaf het tijdstip waarop zij zijn vastgelegd, en bepaalt het Besluit patiëntendossier BOPZ dat bescheiden moeten worden bewaard tot 5 jaar na beëindiging van hulpverlening aan een onvrijwillig opgenomen cliënt. De gegevens zijn toereikend, terzake dienend, niet bovenmatig, juist en nauwkeurig (art. 11 WBP) Het verzamelen en verwerken van gegevens moet toereikend, ter zake dienend en niet bovenmatig zijn. Kortom: er mogen niet meer gegevens worden verzameld en verwerkt dan nodig is. De instelling moet verder waarborgen dat de gegevens die verzameld en verwerkt worden, juist en nauwkeurig zijn. Uitdrukkelijke bevoegdheid en geheimhoudingplicht (art. 12 WBP) Degenen die met de persoonsgegevens van de instelling werken moeten daartoe door de instelling uitdrukkelijk de bevoegdheid hebben gekregen. Verder hebben deze medewerkers of bewerkers geheimhoudingsplicht over de informatie waartoe zij toegang hebben. Medewerkers voor wie niet al uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt is op grond van artikel 12 lid 2 ook verplicht tot geheimhouding van persoonsgegevens waarvan zij kennisnemen. 12

13 Passende technische en organisatorische maatregelen tegen verlies en onrechtmatige verwerking te beschermen (art. 13 WBP) Passende beveiliging betekent volgens de WBP dat de instelling in zijn keuze voor de methode van beveiliging de volgende elementen moet meewegen: 1. De risico s van de verwerking en de aard van de te beschermen gegevens: hoe gevoeliger de gegevens, hoe zwaarder de toegepaste beveiliging moet zijn. Zijn de gegevens minder gevoeilig, dan hoeven niet steeds de meest optimale beveiligingsmaatregelen te worden genomen. 2. De stand van de techniek en de kosten van de maatregelen: als de kosten van extra maatregelen uitzonderlijk hoog zijn ten opzichte van de toename in beveiligingsniveau, dan zijn die maatregelen niet passend en hoeft de instelling deze ook niet te nemen. Kan de instelling echter tegen geringe kosten komen tot een beduidend veiliger systeem, dan moet de instelling deze maatregelen nemen. De beveiliging moet steeds adequaat zijn. De instelling zal dus periodiek moeten nagaan of het systeem aanpassing behoeft. c. Controle op het naleven van de WBP De WBP biedt aan het CBP (en de WBP-privacyfunctionaris als die is benoemd) de mogelijkheid de instelling aan te spreken op het niet naleven van de wet. Deze organen kunnen ook sancties opleggen. Verder kan de instelling door betrokkenen via de burgerlijke rechter worden aangesproken. De verantwoordelijke kan aansprakelijk worden gesteld voor schade wanneer die het gevolg is van een niet nakomen van de voorschriften van de WBP. De verantwoordelijke is niet aansprakelijk voor schade als hij kan aantonen dat hem geen verwijt treft. Niettemin kan de negatieve publiciteit rond het niet naleven van de WBP bijzonder nadelig zijn. 13

14 Bijlage Gronden voor gewone persoonsgegevens Gronden om gewone persoonsgegevens te mogen verwerken volgens de WBP zijn: 1. De betrokkene heeft daarvoor ondubbelzinnig zijn toestemming gegeven; 2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst die de instelling met de betrokkene heeft gesloten of de verwerking is noodzakelijk voor het sluiten van een overeenkomst waarom de betrokkene heeft verzocht; 3. De verwerking is noodzakelijk om een wettelijke verplichting na te komen; 4. De verwerking is noodzakelijk is om een vitaal belang van de betrokkene te waarborgen (bijv. zijn gezondheid of eigendom) en het is niet goed mogelijk de betrokkene om toestemming te vragen; 5. De verwerking is noodzakelijk voor de vervulling van een publiekrechtelijke taak; 6. De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van de instelling of van een derde aan wie gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. In de publicatie Handleiding voor verwerkers van persoonsgegevens door het ministerie van Justitie vindt u op p een uitgebreide toelichting op elk van deze grondslagen. Via internet: is de publicatie gratis te downloaden. Gronden voor bijzondere persoonsgegevens Voor alle bijzondere persoonsgegevens geldt dat algemene grondslagen op basis waarvan zij mogen worden verwerkt zijn: 1. De betrokkene heeft uitdrukkelijk toestemming gegeven; 2. De betrokkene heeft de gegevens zelf al duidelijk openbaar gemaakt; 3. De verwerking is noodzakelijk voor het vaststellen, het uitoefenen of het verdedigen van een recht in een gerechtelijke procedure; 4. De verwerking geschiedt voor wetenschappelijk onderzoek of statistiek, mits het onderzoek een algemeen belang dient of de verwerking voor het betreffende onderzoek dan wel de betreffende statistiek noodzakelijk is of het vragen van uitdrukkelijke toestemming onmogelijk blijkt dan wel een onevenredige inspanning kost of bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Daarnaast gelden er per categorie bijzondere persoonsgegevens eigen grondslagen. Ook hier weer kunt u voor nadere toelichting op elke grondslag de publicatie Handleiding voor verwerkers van persoonsgegevens door het ministerie van Justitie raadplegen, p

15 Grondslagen voor verwerking van persoonsgegevens over iemands godsdienst of levensovertuiging zijn: 1. De verantwoordelijke is een kerkgenootschap of een genootschap op geestelijke grondslag; 2. De verantwoordelijke is een instelling op godsdienstige of levensbeschouwelijke grondslag, bijv. een islamitisch verzorgingshuis of een katholiek ziekenhuis. Grondslagen voor verwerking van persoonsgegevens over iemands ras zijn: 1. Identicatiedoeleinden; 2. Voorkeursbeleid. Grondslagen voor verwerking van persoonsgegevens over iemands politieke gezindheid zijn: 1. De verantwoordelijke is een instelling op politieke grondslag; 2. Politieke gezindheid is een eis die in redelijkheid kan worden gesteld aan de uitoefening van een functie. Grondslagen voor verwerking van persoonsgegevens over iemands lidmaatschap van een vakbond zijn: 1. De verantwoordelijke is een vakbond of vakcentrale. Grondslagen voor verwerking van persoonsgegevens over iemands gezondheid zijn: 1. De verantwoordelijke is een hulpverlener of instelling voor gezondheidszorg of instelling voor maatschappelijke dienstverlening; 2. De verantwoordelijke is een verzekeraar; 3. De verantwoordelijke is een raad voor de kinderbescherming of een instelling voor (gezins)voogdij; 4. De verantwoordelijke is een bestuursorgaan, een pensioenfonds, een werkgever of een uitvoeringsinstelling en heeft de gegevens nodig voor aanspraken die afhankelijk zijn van de gezondheidstoestand van betrokkene of voor reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden bij ziekte of arbeidsongeschiktheid. Grondslagen voor verwerking van strafrechtelijke persoonsgegevens of gegevens over een rechterlijk verbod naar aanleiding van onrechtmatig of hinderlijk gedrag zijn: 1. De verantwoordelijke is een orgaan dat op grond van de wet bevoegd is tot deze verwerkingen, bijv. de politie; 2. De verantwoordelijke verwerkt deze gegevens ten behoeve van zichzelf om op verzoek van betrokkene een besluit over hem te nemen of aan hem een prestatie te leveren; De verantwoordelijke verwerkt deze gegevens ten behoeve van zichzelf om zichzelf te beschermen tegen strafbare feiten die naar verwachting jegens hem of zijn medewerkers zullen worden gepleegd. 15

16 3. Stappenplan 2 ter implementatie Door systematisch een aantal stappen te zetten kan een instelling voor gezondheidszorg de overgang naar de nieuwe situatie in goede banen leiden. Het stappenplan brengt de administratieve en organisatorische verplichtingen voor instellingen in beeld. Stap 1. Inventariseer alle verwerkingen van persoonsgegevens in de organisatie. Doel van deze stap is een zo compleet mogelijk beeld te krijgen van aanwezige verzamelingen van persoonsgegevens in de organisatie waarop de WBP van toepassing kan zijn. Een gegeven is een persoonsgegeven zodra het informatie verschaft over iemand. Daarmee is zijn privacy in het geding. Door de ruime definitie van persoonsgegevens is al snel sprake van een verzameling waarop de WBP van toepassing is. Het zijn niet alleen de bekende, grotere persoonsregistraties die onder de WBP vallen. Ook minder voor de hand liggende bestanden vallen hieronder, zoals het geheugen van een faxapparaat en geautomatiseerde bedrijfsagenda s. De WBP is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Op zowel handmatig toegankelijke als geautomatiseerde verzamelingen van persoonsgegevens is dus de WBP van toepassing. Voor handmatig toegankelijke bestanden geldt, wil de WBP van toepassing zijn, dat de gegevens deel uit moeten maken van een bestand, dat wil zeggen een gestructureerd geheel moeten vormen. Er zijn verschillende groepen betrokkenen. In de gezondheidszorg vormen patiënten/cliënten de grootste groep betrokkenen. Maar ook van anderen worden persoonsgegevens in een instelling verwerkt, bijvoorbeeld van personeel, van bestuursleden of commissarissen, van hulpverleners in andere organisaties naar wie cliënten verwezen worden, van personen uit de omgeving van de cliënten, zoals vertegenwoordigers. Door deze ruime definitie is een grondige inventarisatie van persoonsgegevens die verwerkt worden in de organisatie van groot belang. Het aanleggen van bestanden gebeurt in papieren en elektronische dossiers van cliënten, in registraties voor in- en extern gebruik, in de genoemde apparaten als PC s en faxen. Ook in kwaliteitszorgsystemen worden persoonsgegevens verzameld. Zo vallen registratieformulieren bedoeld om te worden gebruikt bij data-invoer in geautomatiseerde registraties, onder de reikwijdte van de wet tenzij het gaat om anonieme gegevens. 2 Het stappenplan is gebaseerd op het 10 stappenplan van de heer mr.dr. J. Nouwt, Katholieke Universiteit Brabant, Centrum voor Recht, Bestuur en Informatisering. 16

17 Stap 2. Ga na of de gegevensverwerking onder de WBP valt. De WBP geeft een limitatieve opsomming van gegevensbestanden die uitgezonderd zijn van de reikwijdte van de wet: 1. Bestanden waarmee verwerkingen plaatsvinden voor persoonlijk gebruik zijn uitgezonderd, zoals werkaantekeningen die niet door anderen worden geraadpleegd. Instellingen doen er goed aan als vuistregel te hanteren dat bij twijfel de verwerking onder de WBP valt. Wanneer de aantekeningen voor anderen toegankelijk zijn en bijvoorbeeld worden gebruikt om ziektevervanging soepel te laten verlopen of bij intercollegiaal overleg, zijn zij niet langer uitgezonderd. 2. Verwerkingen die noodzakelijk zijn voor belangen als de veiligheid van de staat, de voorkoming, opsporing en vervolging van strafbare feiten, gewichtige economische en financiële belangen van overheidslichamen zijn uitgezonderd, alsmede gegevensverwerking om de Kieswet te kunnen uitvoeren. 3. Handmatig vastgelegde persoonsgegevens die niet zijn geordend in een bestand en ook niet bestemd zijn om daarin te worden opgenomen, zijn eveneens uitgezonderd. De WBP definieert een bestand als: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en dat betrekking heeft op verschillende personen. Stap 3. Stel per gegevensverwerking de actoren vast. Voordat persoonsgegevens verwerkt mogen worden, moet vastgesteld zijn wie de verschillende actoren zijn. De volgende actoren ten aanzien van gegevensverwerkingen kunnen een rol spelen. De verantwoordelijke De verantwoordelijke is degene die verplicht is doel en middelen voor de verwerking van persoonsgegevens vast te stellen. In een instelling voor gezondheidszorg zal dat meestal de raad van bestuur of de directie zijn, al dan niet samen met de raad van toezicht of het bestuur. Naast de juridische zeggenschap van deze organen kan het verder zo zijn dat medewerkers (bijvoorbeeld hulpverleners) verantwoordelijk zijn voor de juistheid van de verwerkte gegevens. Degene die verantwoordelijk is voor de juistheid van gegevens is daarmee dus niet de verantwoordelijke in de zin van de WBP. De beheerder 17

18 De beheerder is degene die de dagelijkse zorg heeft voor de verwerking. Dat kan een unitleider zijn of een afdelingshoofd. Per organisatie kunnen derhalve meer beheerders actief zijn voor bepaalde verwerkingen. Per verwerking is er meestal één beheerder. De beheerder is dus niet synoniem met de systeembeheerder. Een systeembeheerder is een functionaris belast met de technische werking van computersystemen. Ook degene die zorg draagt voor het beheer van papieren dossiers is beheerder in de zin van de WBP. De bewerker De bewerker bewerkt de persoonsgegevens voor de verantwoordelijke zonder aan diens rechtstreekse gezag te zijn onderworpen. Hiervan is bijvoorbeeld sprake als een externe dienstverlener gegevens verwerkt voor de instelling, zonder dat die dienstverlener daar zelf enig gebruik van maakt. Een goed voorbeeld van een bewerker is een extern kantoor dat voor de instelling de salarisadministratie voert. De gebruiker De gebruiker is degene die bevoegd is persoonsgegevens in te voeren, te muteren of in te zien. Dit hoeft niet altijd een individuele medewerker te zijn, de bevoegdheden kunnen ook aan groepen functionarissen zijn toegekend zoals intakers, groepshoofden of een afdelingssecretariaat. In tegenstelling tot de bewerker staat de gebruiker wel onder rechtstreeks gezag van de verantwoordelijke. Met het oog op de juiste toepassing van de wet wordt sterk aanbevolen de bevoegdheden van de verschillende gebruikers ten aanzien van gegevensverwerkingen goed vast te leggen. Hierbij spelen ook de organisatorische en technische maatregelen een rol die zijn genomen om onbevoegde gegevensverwerkingen tegen te gaan. De betrokkenen De betrokkenen zijn degenen van wie gegevens worden verwerkt. Het is belangrijk de groep van betrokkenen nauwkeurig vast te stellen. Op grond van de WBP heeft de verantwoordelijke de verplichting de betrokkene te informeren wat er met zijn gegevens gebeurt (informatieplicht). De verantwoordelijke dient er verder voor te zorgen dat de betrokkenen aanspraak kan maken op het recht van verzet en inzage- en correctierecht. De verantwoordelijke zal hiervoor de nodige organisatorische maatregelen moeten nemen. De ontvangers De ontvanger is degene aan wie persoonsgegevens worden verstrekt. De ontvanger kan zowel een persoon zijn binnen de organisatie van de verantwoordelijke als een persoon buiten de organisatie. In verband met de verplichting de betrokkenen te informeren over de verwerking van zijn persoonsgegevens is het ook van belang de verschillende ontvangers te inventariseren. Ontvangers in de zin van de WBP zijn bijvoorbeeld overheidsinstanties, verzekeraars en andere hulpverleners. 18

19 Behalve bovenstaande functionarissen en instanties moet ook worden vastgesteld welke soorten gegevens worden verwerkt. Daarbij speelt met name of het om gegevens van bijzondere aard gaat, de zogenaamde gevoelige gegevens. Het laatste, maar niet het minste onderdeel van de inventarisatie is het vaststellen van de herkomst van de gegevens. Dat moet zo nauwkeurig mogelijk gebeuren omdat deze in overeenkomst moet zijn met doel van de verwerking. Gegevens die voor een ander doel dan het bieden van hulpverlening of gezondheidszorg (bijvoorbeeld voor onderwijs) zijn verkregen mogen dus niet zondermeer verwerkt worden. Daarvoor moet de verwerking verenigbaar zijn met de doeleinden waarvoor de gegevens zijn verkregen. Dit leidt tot de volgende stap. Stap 4. Stel per gegevensverwerking de doeleinden van het verzamelen vast. Met welk doel is het desbetreffende gegevensbestand tot stand gekomen? De WBP eist dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld (zie nadere informatie over de wet onder 2b). Per bestand zal een dergelijke beschrijving van het doel moeten worden gemaakt. Het is goed mogelijk dat de doelstellingen die onder de WPR voor de afzonderlijke persoonsregistraties zijn geformuleerd, kunnen worden overgenomen. Een doelomschrijving kan uit meer onderdelen bestaan, of ook een hoofddoelstelling hebben met meer subdoelen. Voor een bestand van cliëntgegevens bijvoorbeeld is de centrale doelstelling het doel dat de instelling in de statuten heeft vastgelegd, bijv.: het bieden van nader omschreven gezondheidszorg of hulpverlening aan cliënten en het in stand houden van voorzieningen daartoe. Nevendoelen zijn bijv. het bijdragen aan een doelmatig en doelgericht beleid en beheer, het mogelijk maken van intercollegiaal overleg of toetsing door hulpverleners, of het inwinnen van adviezen over de meest noodzakelijke of minimaal gewenste hulpverlening. Stap 5: Ga na wat de rechtmatige grondslag is voor de verwerking. De WBP eist dat het verwerken van gegevens, en dus ook het verzamelen, gebaseerd is op een van de in de wet genoemde grondslagen (zie bij; nadere informatie over de wet onder 2b). Het is daarom noodzakelijk dat u nagaat op welke grondslag het verzamelen is gebaseerd. De rechtvaardigingsgronden zijn nog eens nader op een rij gezet in de bij 2 behorende bijlage. Voor het verzamelen van bijzondere persoonsgegevens gelden weer andere grondslagen dan voor gewone persoonsgegevens. Welke grondslagen er voor het aanleggen van welke bestanden zijn wordt in deze stap geïnventariseerd en ook dit wordt weer vastgelegd. Stap 6. Stel vast welke verwerkingen moeten worden gemeld bij het CBP. 19

20 Als voor het bereiken van een doelstelling een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens nodig is, moet de verwerking gemeld worden bij het College bescherming persoonsgegevens (CBP). Een dergelijke melding moet geschieden voordat de verwerking begint. Voor bestaande registraties van persoonsgegevens geldt de overgangsregeling van de WBP. Deze houdt in dat de verantwoordelijke in principe binnen 1 jaar na inwerkingtreding van de WBP de verwerking moet hebben aangemeld. Verantwoordelijken kunnen ook gezamenlijk verwerkingen die samenhang hebben als één verwerking aanmelden. Zij zijn dan gezamenlijk verantwoordelijke. Dit is bijvoorbeeld een optie bij een informatiesysteem binnen een instelling waaraan diverse functiegebonden verwerkingen zijn gekoppeld. Het criterium om te bepalen of het gaat om een als eenheid aan te melden verwerking is dat de verwerkingshandelingen dienen voor het realiseren van hetzelfde doel of, in geval van verschillende doelen, een hetzelfde overkoepeld doel. Het is dus mogelijk om informatiesystemen die zijn opgezet om samenhangende diensten te verlenen aan cliënten via één loket, via één aanmelding af te doen. Met deze mogelijkheid wordt een aanzienlijk kleiner aantal aanmeldingen bewerkstelligd. Anderzijds zal de inventarisatie en het in kaart brengen van zo n gegevensverwerking veel complexer zijn. Voor sommige gegevensbestanden die onder de reikwijdte van de WBP vallen, geldt dat zij niet hoeven te worden aangemeld. Om welke gegevensverwerkingen het hier gaat, is geregeld in het Vrijstellingsbesluit. Het gaat om de volgende bestanden: 1. van leden en begunstigers van verenigingen, stichtingen, publiekrechtelijke beroepsorganisaties of genootschappen op geestelijke grondslag; 2. van personeelsleden; 3. van abonnees, debiteuren en crediteuren, afnemers, opdrachtgevers, relaties en leveranciers; 4. van cliënten van individuele beroepsbeoefenaren die niet verbonden zijn aan een instelling; 5. van cliënten van verzorgingshuizen en verpleeghuizen die daar duurzaam verblijven, voor zover het gegevens betreft die met de woonfunctie van de instelling te maken hebben; zodra echter in het bestand ook gezondheidsgegevens zijn opgenomen, moet de verwerking worden aangemeld; 6. van betrokkenen bij kinderopvang door instellingen voor kinderopvang; 7. van betrokkenen bij onderwijs door instellingen voor onderwijs; 8. van betrokkenen bij door de overheid te verlenen diensten als het verlenen van vergunningen of te heffen belastingen; 9. van gegevens ten behoeve van archieven of wetenschappelijk onderzoek of statistiek; 10. van gegevens die nodig zijn voor de interne organisatie van een instelling, bijv. het regelen van toegang tot computers en gebouwen; 11. van betrokkenen bij bezwaren of klachten tegen de verantwoordelijke; 12. van betrokkenen die beschikken over een bepaalde hoedanigheid, bijv. een lijst van mogelijke bemiddelaars bjj klachten, of betrokkenen die in aanmerking willen komen voor een bepaalde 20

21 voorziening zoals een wachtlijst van personen die in aanmerking willen komen voor een plaats in het verzorgingshuis; ook hier geldt dat zodra over de betrokkenen gezondheidsgegevens worden opgenomen, de verwerking moet worden aangemeld. Per vrijgestelde categorie bestanden zijn strikte voorwaarden gesteld aan het doel van de verwerking, de soort gegevens, aan wie zij mogen worden verstrekt en de bewaartermijnen. Wil de verantwoordelijke van deze voorwaarden afwijken, dan zal de verwerking weer moeten worden aangemeld. Bij twijfel is altijd vrijwillige aanmelding mogelijk. In de inleiding bij het stappenplan kunt u onder melding en vrijstelling vinden hoe u gegevensverwerkingen kunt aanmelden bij het CBP en welke materialen u daartoe bij het CBP kunt opvragen. Stap 7. Stel vast of zorgvuldigheid en beveiliging afdoende zijn gewaarborgd. De algemene zorgvuldigheidsnormen waar het verwerken van gegevens aan moet voldoen staat uitgebreid beschreven bij Nadere informatie over de wet (pag. 11 e.v.) Het gaat onder andere om de artikelen 9, 10, 11, 12 van de WBP, betreffende onder meer de juistheid en nauwkeurigheid van gegevens. Verder zijn er drie soorten maatregelen te onderscheiden die tot doel hebben de beveiliging van persoonsgegevens te waarborgen: Geheimhoudingsplicht De WBP eist dat de verantwoordelijke zorg draagt voor geheimhoudingsplicht door de personen die met de persoonsgegevens werken (zie Nadere informatie over de wet, pag. 11 e.v.) De verantwoordelijke dient dan ook personen die geen geheimhoudingsplicht hebben op grond van hun beroep of een wettelijk voorschrift, zo n plicht op te leggen. Het verdient aanbeveling dit via de arbeidsovereenkomst te regelen of door medewerkers een verklaring daarover te laten ondertekenen. Technische en organisatorische maatregelen binnen de eigen organisatie Een tweede eis die de WBP stelt is dat de verantwoordelijke passend technische en organisatorische maatregelen neemt binnen de eigen organisatie om het verzamelen, verwerken en verstrekken behoorlijk en zorgvuldig te laten verlopen (zie nadere informatie over de wet onder 2b). Uitgangspunt daarbij is dat verlies van gegevens en onrechtmatige verwerking worden voorkomen. In de praktijk blijkt dat organisatorische maatregelen de meest kwetsbare zijn. Gevoelige gegevens in de prullenbak, vergeten dossiers op het kopieerapparaat, beeldschermen waar persoonsgegevens op staan en die op voor iedereen toegankelijke plaatsen zijn opgesteld: dit zijn aandachtspunten voor een goede bescherming van persoonsgegevens. Medewerkers van de instelling zullen zich bewust moeten worden van de gevoeligheid van persoonsgegevens en het belang daarmee zorgvuldig om te gaan. Ook de werkwijzen in de organisatie ten aanzien van persoonsgegevens moeten tegen het licht worden gehouden. Het kwaliteitssysteem van de 21

22 instelling moet zorgvuldig en veilig gebruik waarborgen en dient er voor te zorgen dat er controle is op naleving van de regels hiervoor. Gelet op de vele hulpverleners en organisaties die betrokken zijn bij de zorg in een instelling en het onderlinge gegevensverkeer, is het verstandig om binnen de instelling een medewerker als centraal aanspreekpunt voor het gebruik van en de omgang met persoonsgegevens te benoemen. Deze kwaliteitsmedewerker moet overigens niet verward worden met WBP-privacyfunctionaris. De WBP-privacyfunctionaris is een functionaris die wordt aangestuurd door het CBP. Een privacyfunctionaris heeft daarmee een wettelijke toezichthoudende taak. Waarborgen zorgvuldigheid en beveiligingsmaatregel bij bewerker De derde groep maatregelen die de instelling moet nemen is gericht op de persoonsgegevens waarvoor de instelling verantwoordelijk is, maar die worden verwerkt door een bewerker in de zin van de WBP. Een schriftelijke overeenkomst tussen verantwoordelijke en bewerker waarin de afspraken over werkwijzen en beveiliging worden vastgelegd is een minimumvereiste. Naast de te nemen maatregelen kan in de overeenkomst worden opgenomen hoe de bewerker de verantwoordelijke informeert over de genomen maatregelen en hoe de verantwoordelijke op de nakoming van de verplichtingen kan toezien. Stap 8. Stel vast of persoonsgegevens worden doorgegeven naar het buitenland. Doorgifte van gegevens tussen landen die lid zijn van de Europese Unie (EU) is zonder problemen mogelijk. Betreft het andere landen dan moet worden vastgesteld in hoeverre aldaar sprake is van een passend beschermingsniveau. Landen anders dan de lidstaten van de EU waar toch een passend beschermingsniveau bestaat voor persoonsgegevens zijn de VS, Hongarije en Zwitserland. In sommige gevallen mogen, ondanks dat er geen passend beschermingsniveau in een land bestaat, toch gegevens aan een actor in dat land worden verstrekt. De gronden daarvoor zijn te vinden in artikel 77 WBP: toestemming van de betrokkene, uitvoering of het totstandbrengen van een overeenkomst, een zwaarwegend algemeen belang of vaststelling in rechte van enig recht, een vitaal belang van de betrokkene, of het verstrekken van persoonsgegevens die zich bevinden in een register dat bij wettelijk voorschrift is ingesteld en in principe vrij te raadplegen is. Stap 9. Ga na of er sprake is van informatieplicht. De WBP hanteert als uitgangspunt dat de verantwoordelijke verplicht is zijn identiteit bekend te maken en de betrokkene moet informeren over de verwerking van zijn persoonsgegevens. Dit moet gebeuren voordat de verwerking begint als de gegevens rechtstreeks van de betrokkene afkomstig zijn. Krijgt de verantwoordelijke persoonsgegevens van een ander, dan ontstaat de informatieplicht op het moment van vastlegging. Als de gegevens niet rechtstreeks van de betrokkene worden verkregen en als het onmogelijk blijkt de informatie aan de betrokkene te 22

23 verstrekken of wanneer dat een onevenredige inspanning kost heeft de verantwoordelijke geen informatieplicht. Het is aan de verantwoordelijke om dit aan te tonen en aannemelijk te maken. De informatieplicht dwingt de verantwoordelijke actief de noodzakelijke maatregelen te nemen. Het is niet voldoende om te verwijzen naar een reglement. Wel voldoende is als bij een eerste contact met de betrokkene de benodigde informatie wordt vermeld op het formulier waarmee gegevens van de betrokkene worden gevraagd, of aan de betrokkene een informatiefolder wordt verstrekt. De informatie moet dan aangeven wie de verantwoordelijke is, welke gegevens worden verzameld en voor welk doel, wat in grote lijnen binnen de instelling met de gegevens gebeurt, aan welke instanties buiten de instelling de gegevens worden verstrekt en wat de rechten zijn van de betrokkene. Wordt van deze informatie afgeweken, omdat bijvoorbeeld andere verwerkingen plaatsvinden dan in de folder is vermeld of de instelling de gegevens alsnog wil gebruiken voor andere doeleinden, dan moet de betrokkene opnieuw worden geïnformeerd. Er bestaat geen informatieplicht als de betrokkene al op de hoogte is van de identiteit van de verantwoordelijke en van de doelen van de verwerking. Dat zal vaak het geval zijn wanneer de gegevens van de betrokkenen zelf worden verkregen. Wanneer er sprake is van een behandelplan waarbij meer hulpverleners zijn betrokken dient de cliënt op de hoogte te worden gesteld van het feit dat gegevens aan andere hulpverleners kunnen worden doorgegeven voor zover dat noodzakelijk is voor de uitvoering van de behandelingsovereenkomst. In zo n geval is het raadzaam om specifiek voor dat zorgaanbod een informatiefolder te ontwikkelen. Stap 10. Waarborg de noodzakelijke organisatorische maatregelen voor inzage, correctie en verzet. De betrokkene heeft recht op inzage in de over hem vastgelegde gegevens en op een aan hem te verstrekken overzicht van wat er met deze gegevens gebeurt. Duidelijk moet zijn welke verwerkingen plaatsvinden, wat het doel is van de verwerkingen en wie de ontvangers zijn van de gegevens. Zodra een betrokkene hierom vraagt, moet de verantwoordelijke deze informatie binnen 4 weken na het verzoek aan de betrokkene verstrekken. Een goede mogelijkheid om het recht op inzage te regelen is door hiervoor een standaardformulier te ontwerpen. Zeker in complexe organisaties waar de verantwoordelijkheid voor de verwerking (de verantwoordelijke in de zin van de WBP, d.w.z. de instelling) en voor de inhoud van de gegevens (hulpverlener, secretariaatsmedewerker) niet samenvallen, kan dat nuttig zijn. Om deze rechten gestalte te geven moet zijn vastgesteld hoe de inzage geschiedt: ter plaatse inzien van gegevens 23