Nieuwsbrief AVG Ziekenhuizen

Transcriptie

1 Nieuwsbrief AVG Ziekenhuizen 1. Algemeen Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensbescherming ( AVG of in het Engels afgekort GDPR ) van toepassing zijn in de gehele Europese Unie. Deze verordening brengt enkele belangrijke wijzigingen met zich mee met betrekking tot de reeds bestaande Belgische wetgeving inzake de bescherming van persoonsgegevens. In deze nieuwsbrief lichten we de belangrijkste wijzigingen toe. Verruiming bevoegdheid Privacycommissie De nationale gegevensbeschermingsautoriteiten hebben uitgebreide controle- en sanctiebevoegdheden gekregen. De Belgische Privacycommissie (die zal worden omgedoopt tot Gegevensbeschermingsautoriteit ) zal zelf, of na een klacht, een onderzoek kunnen starten om na te gaan of de AVG is geschonden. Indien dit het geval is, kan de Belgische Privacycommissie corrigerende maatregelen nemen of een administratieve boete opleggen. Deze boetes kunnen oplopen tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet van het voorgaande boekjaar (het hoogste van beide). Omkering bewijslast De AVG heeft de bewijslast omgekeerd en heeft deze gelegd op de verwerkingsverantwoordelijke (d.i. de (rechts)persoon die de doelstellingen van en de middelen voor de verwerking bepaalt) of de verwerker (d.i. de (rechts)persoon die de gegevens verwerkt namens de verwerkingsverantwoordelijke). Dit houdt in dat de verwerkingsverantwoordelijke en/of de verwerker moet kunnen bewijzen dat deze volgens de AVG handelt en, als gevolg, dat er niet eerst een inbreuk moet worden bewezen. Expliciete Toestemming Persoonsgegevens kunnen enkel verwerkt worden als er een juridische grondslag is. Als deze gebaseerd is op de toestemming van de betrokkene, van wie de persoonsgegevens zullen worden verwerkt, dan stelt de AVG dat deze toestemming, vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn. Om bewijsredenen raden wij aan om die toestemming schriftelijk te verkrijgen, bijvoorbeeld via het actief aanvinken van een aanvinkvakje. Reeds vooraf ingevulde vakjes zijn uit den boze, net zoals stilzwijgen of inactiviteit. De regel is dus opt-in en niet opt-out. Rechten De AVG voorziet verschillende rechten voor de betrokkene, waarvan de meeste reeds waren vastgelegd in de huidige Belgische privacywetgeving. Deze rechten omvatten onder meer: het recht op informatie, toegang, rectificatie, wissing (d.i. het zogenaamde recht op vergetelheid ), gegevensoverdraagbaarheid (nieuw), beperking van de verwerking, bezwaar, intrekken toestemming, klacht

2 Functionaris voor Gegevensbescherming (in het Engels afgekort DPO ) Een DPO is een werknemer of een externe consultant die toeziet op de naleving van het AVG. De DPO moet een uitstekende kennis hebben van de wetgeving inzake de bescherming van persoonsgegevens, moet rapporteren aan de hoogste leidinggevenden en moet zijn of haar taken in alle onafhankelijkheid kunnen uitoefenen. De aanstelling van een DPO is in principe verplicht voor: (i) overheidsinstanties en -organen, (ii) (rechts)personen die hoofdzakelijk belast zijn met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; en (iii) organisaties die bijzondere categorieën van persoonsgegevens verwerken op grote schaal (zoals medische gegevens en strafrechtelijke veroordelingen). Ziekenhuizen zullen een DPO moeten aanduiden aangezien zij onder categorie (iii) vallen. Register van de verwerkingsactiviteiten De AVG verplicht bepaalde organisaties om een register bij te houden van alle verwerkingsactiviteiten ( dataregister ). Dit dataregister moet onder meer het volgende bevatten: de naam en contactgegevens van de verwerkingsverantwoordelijke, de verwerkingsdoeleinden, de juridische grondslag van de verwerking, met welke partijen deze gegevens gedeeld zijn Zo een register is verplicht: (i) voor (rechts)personen met meer dan 250 werknemers, (ii) als de verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkenen, (iii) als de verwerking niet incidenteel is, of (iv) als de verwerking bijzondere categorieën van gegevens inhoudt. Ziekenhuizen zullen een dataregister moeten aanleggen aangezien zij onder categorie (iv) vallen. Melding inbreuk persoonsgegevens In principe moeten de verwerkingsverantwoordelijken de Privacycommissie inlichten over inbreuken op de bescherming van persoonsgegevens. De verwerkers moeten de verwerkingsverantwoordelijken hierover inlichten. Dit moet onverwijld gebeuren, en indien mogelijk, niet later dan 72 uur nadat er kennis van genomen is. In sommige gevallen moet de betrokkene ook worden ingelicht over de inbreuk. Afschaffing van de meldingsplicht In sommige gevallen schaft de AVG de verplichting af om (i) de Privacycommissie in te lichten over de verwerkingsactiviteiten van de verwerkingsverantwoordelijke en (ii) de voorafgaande toestemming te vragen aan de Privacycommissie voor het verwerken van persoonsgegevens. Het idee hierachter is dat de verwerkingsverantwoordelijke zelf een eigen bestand moet aanleggen om haar naleving van de AVG te bewijzen, onder andere door met een DPO en een register te werken. 2

3 2. Praktisch Wat zijn de gevolgen van de AVG en de Belgische wetgeving inzake de bescherming van persoonsgegevens op de dagdagelijkse werking van uw organisatie? Hieronder bespreken we enkele vaak voorkomende vragen. Mag ik mogelijke prospecten contacteren louter op basis van hun informatie die ik online vind? In principe mag dit niet, aangezien ze hiertoe niet hun vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming gegeven hebben. Wie kan beschouwd worden als de verwerkingsverantwoordelijke? In het kader van een ziekenhuis kan dit een zeer complex vraagstuk zijn. Er kan evenwel een onderscheid gemaakt worden tussen het patiëntendossier en alle andere persoonsgegevens (adres, telefoon nr, bankrekening nr, ). Wat betreft het patiëntendossier: de (hoofd)arts wordt beschouwd als de verwerkingsverantwoordelijke. Voor alle andere persoonsgegevens wordt het ziekenhuis zelf als verwerkingsverantwoordelijke beschouwd. Wie kan beschouwd worden als verwerkers? Voorbeelden van verwerkers kunnen zijn: het softwarebedrijf dat persoonsgegevens niet op zijn eigen servers opslaat, zelfstandigen (dokters, psychotherapeuten, ), ondernemingsloketten, arbeidsgeneesheren Wat zijn de gevolgen van medische gegevens te verwerken? De AVG voorziet in een strengere regeling als medische gegevens worden verwerkt, zoals: De juridisch grondslagen om persoonsgegevens te verwerken zijn meer gelimiteerd. In de meeste gevallen zal één van de volgende gronden van toepassing zijn: (i) expliciete toestemming (de patiënt stemt in met de procedure), (ii) het is noodzakelijk voor de preventieve- of arbeidsgeneeskunde, of (iii) vitale belangen (vb. een onbewuste patiënt die dringend medische hulp nodig heeft); Het register van de verwerkingsactiviteiten is verplicht; Een gegevensbeschermingseffectbeoordeling is verplicht. Een DPO is verplicht. Mag ik medische gegevens overdragen aan en verkrijgen van andere ziekenhuizen en dokters? Ja, (i) als de patiënt expliciet heeft toegestemd voor een bepaalde medische procedure die enkel in een ander ziekenhuis en door een andere dokter kan worden uitgevoerd, dan stemt hij toe dat zijn medische informatie die nodig is voor deze ingreep zal worden overgedragen, (ii) als er een vitaal belang voor is voor de patiënt en/of (iii) de overdracht noodzakelijk is voor de preventieve- of arbeidsgeneeskunde of voor zorgverstrekking. Mag ik persoonsgegevens overdragen binnen mijn ziekenhuis-associatie? 3

4 In het geval dat ziekenhuizen aparte juridische entiteiten binnen eenzelfde associatie zijn, zullen ze, in het licht van de geldende privacywetgeving, als derden worden beschouwd. Bijgevolg kunnen persoonsgegevens enkel worden overgedragen als aan één van de juridische gronden van de AVG is voldaan (zie hierboven). Mag ik gegevens overdragen die geanonimiseerd zijn? De overdracht van zulke geanonimiseerde persoonsgegevens is niet vastgelegd in het AVG. De overdracht van zulke gegevens is daarom toegestaan en niet beperkt door de voorgaande juridische gronden. Mag ik een kopie van een ID-kaart vragen? In principe mag u geen kopie van de identiteitskaart vragen, deze inlezen of als waarborg bijhouden. Een aangepaste kopie waarin bepaalde niet-relevante informatie zoals het rijksregisternummer is gewist bijhouden kan eventueel wel geoorloofd zijn. Bepaalde specifieke wetgeving kan ook in uitzonderingen voorzien op deze algemene regels. Het inlezen van de eid is bijvoorbeeld wel toegestaan voor het raadplegen van het elektronische patiëntendossier, maar enkel indien software wordt gebruikt die toegestaan is door het ehealth-platform. Mag ik mezelf toegang verschaffen tot de s van mijn werknemers? Ja, maar enkel in bepaalde omstandigheden, met name: (i) om de continuïteit te waarborgen in het geval van een afwezige werknemer, (ii) om de economische belangen van de organisatie te verzekeren, (iii) om de veiligheid van het ICT-systeem te vrijwaren en (iv) om ongeoorloofde zaken of misdrijven te voorkomen. Mag ik naar een uittreksel van het strafregister vragen bij een job interview? Neen, tenzij een specifieke juridische basis dit zou toelaten. 3. Voorbereidingen Aangezien 25 mei 2018 snel nadert, is het belangrijk om na te gaan in welke mate uw organisatie de AVG naleeft. Hieronder volgt een lijst met de belangrijkste te ondernemen actiepunten. Privacy bewustzijn Informeer sleutelfiguren en werknemers binnen uw organisatie over de AVG. Vaardig richtlijnen, praktische regels en procedures uit en organiseer trainingen om de aankomende veranderingen goed te kaderen en op te vangen. Privacy audit Ga na of het verwerken van persoonsgegevens binnen uw organisatie momenteel al conform de AVG is. Ga zeker de volgende parameters na bij het uitvoeren van deze controle/audit: Welke persoonsgegevens worden er verwerkt? 4

5 Hoe zijn deze persoonsgegevens verkregen (van de betrokkene zelf of indirect via een derde)? Met wie worden deze persoonsgegevens gedeeld? Is er een juridische grondslag om persoonsgegevens te verwerken (toestemming, overeenkomst, juridische verplichting of een legitiem/vitaal/algemeen belang?) Als de juridische grondslag toestemming is, heeft de betrokkene dan expliciete toestemming gegeven conform de AVG? Als de juridische grondslag een overeenkomst is, worden de persoonsgegevens verwerkt overeenkomstig het originele/initiële doel van de overeenkomst? Hoe lang worden de persoonsgegevens bijgehouden? Zijn de persoonsgegevens nog up-to-date? Deze controle/audit is geen éénmalige vaststelling. Deze moet op een recurrente basis gebeuren om de naleving met de AVG na te gaan. Niet-naleving moet onmiddellijk worden geremedieerd met concrete en relevante acties en door follow-up audits. Data protection team en DPO Bekijk of u een DPO moet aanstellen. Richt in elk geval een data protection team op (bij voorkeur samengesteld uit mensen uit verschillende domeinen, zoals ICT, juridische dienst, finance, HR ). Dit team zal verantwoordelijk zijn om de impact van de AVG vast te stellen, moet de naleving van de AVG opvolgen en nagaan en een budget samenstellen hiervoor. Register van de verwerkingsactiveiten Zelfs indien het niet verplicht is, is het toch aangeraden om een dataregister bij te houden. Dit register laat u toe om aan te tonen in welke mate de AVG wordt geïmplementeerd. Dit kan handig bewijsmateriaal zijn bij klachten of een onderzoek door de Privacycommissie. Privacy policy Controleer uw privacy policy en, indien nodig, pas deze aan. Betrokkenen moeten geïnformeerd worden, in eenvoudige taal, over hun rechten en over alle andere informatie over de verwerking van hun persoonsgegevens. Deze informatie moet gemakkelijk toegankelijk zijn. Voorzie een mechanisme dat hieraan voldoet (vb. een opt-in vakje met een link naar uw privacy policy bij een online inschrijvingsformulier). Verwerkingsovereenkomsten Evalueer de overeenkomsten met uw verwerkers en ondernemingen waarvan u persoonsgegevens verkrijgt. Check deze op overeenstemming met de AVG en vraag meer waarborgen indien nodig. Technische maatregelen en datalekken Controleer of uw technische beveiliging op punt staat. Stel veiligheidsvoorschriften en procedures op. Bereid u voor op mogelijke datalekken. 5

6 4. Contact Indien u vragen heeft over deze nieuwsbrief of juridisch advies wil inwinnen over de AVG of de bescherming van persoonsgegevens, aarzel dan niet om ons te contacteren. Sarah.vandenbrande@curia.be Christoph.maricau@curia.be