Actielijst AVG. Auteur: mr.ir. Jørgen Simons advocaat bij Leijnse Artz in Rotterdam

Vergelijkbare documenten
Actielijst AVG. Auteur: mr.ir. Jørgen Simons advocaat bij Leijnse Artz in Rotterdam

Advies mr.ir. Jørgen Simons, advocaat bij Leijnse Artz. Verwerking persoonsgegevens - toegang derden bij audits

Advies mr.ir. Jørgen Simons, advocaat bij Leijnse Artz. Verwerking van (bijzondere) persoonsgegevens bij de behandeling van letselschades

Privacy en letselschaderegeling

Handvatten bij de implementatie van de AVG

PIV Actualiteitencollege 2017

PIV Congres AVG in de praktijk. mr. ir. Jørgen Simons. Vrijdag 29 maart 2019

Hoe word ik Privacy-proof? 16 JANUARI 2017

AVG. Algemene Verordening Gegevensbescherming

4 APRIL 2018 DE WEG NAAR DE AVG - RENS GOUDSMIT ONDERNEMERSVERENIGING VOORSCHOTEN ONDERNEMEND WASSENAAR

Hoe word ik Privacy-proof? 21 november 2017

Vandaag Zorgvernieuwing

Uiteenlopende perikelen rondom inzage in medische informatie

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

De Groene Grachten. Protocol gegevensbescherming

PRIVACY VOORWAARDEN. Pagina 1 6

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

PRIVACYVERKLARING. 2. De verwerkingsdoeleinden waarvoor uw persoonsgegevens zijn bestemd

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

INTERN PRIVACYBELEID M.A.G. Wijshoff. 1. Inleiding

Verwerkersovereenkomst

Verwerkingsactiviteiten / dataregister. Elly Dingemanse

Verwerkersovereenkomst

In 15 stappen op weg naar 2018

Diessen, 13 februari 2018

Privacybeleid gemeente Wierden

Verwerkersovereenkomst Oefenen.nl Bijlage 3 bij de Licentieovereenkomst

Privacy Statement. Stichting Sectorinstituut Transport en Logistiek, en Sectorinstituut Transport en Logistiek B.V. en STL Werk B.V.

Betrokkenen moeten erop kunnen vertrouwen dat SUREbusiness zorgvuldig en veilig met de ontvangen persoonsgegevens omgaat.

Sub-Verwerkersovereenkomst

VERKLARING DINOVE ADVOCATEN INGEVOLGE DE ALGEMENE VERORDENING GEGEVENSBESCHERMING

Procedure Rechten van betrokkenen in het kader van de EU-AVG 24 mei toe aan de betrokkenen van wie persoonsgegevens worden verwerkt:

Bijlage: Verwerkersovereenkomst

De partijen: De klant, ook wel opdrachtgever, hierna te noemen verantwoordelijke ; gezamenlijk te noemen de partijen en afzonderlijk partij ;

IBAN: NL45 ABNA BIC: ABNANL2A. De Ronde CZ Best yolknet.nl. KvK: BTW NL B01

PRIVACYVERKLARING (samengevat)

Privacyreglement Cliënten Ons Tweede Thuis. Vastgesteld September 2015 (met tekstuele wijzigingen AVG 25 mei 2018)

DE AVG IN EEN NOTENDOP. Maike van Zutphen Legal, Compliance & Privacy Officer

Wettelijke kaders voor de omgang met gegevens

bureau voor sociaal bedrijfskundig advies, verzuim & re-integratie

Verwerkersovereenkomst

De Partijen: overwegende, dat:

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

C. waar in deze Subverwerkersovereenkomst wordt verwezen naar de vrouwelijke vorm wordt in voorkomende gevallen tevens de mannelijke vorm bedoeld;

VERWERKERSOVEREENKOMST (EENZIJDIG)

Privacyverklaring Stichting Speelotheek Pinoccio

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Privacyreglement. MONDIAAL logopedie Socratesstraat BX Rotterdam Tel

Ga verder op het volgende blad >>

Dental Medical Care BV. Privacy statement

PRIVACYBELEID VAN DER BURG ADVOCAAT & MEDIATOR

Algemene Verordening Gegevensbescherming

PRIVACYSTATEMENT- PRIVACYBELEID

Privacyverklaring Eurofins Agro Testing Wageningen b.v.

IBAN: NL 63 INGB BIC: INGBNL2A K.v.K. Rivierenland: BTW nr. NL B01. zaterdag 12 mei 2018 Pagina 1 van 8

Wettelijke kaders voor de verwerking van persoonsgegevens

ViiZ. ViiZ. Validatie instituut inkomensvaststelling Zelfstandigen PRIVACYBELEID

DATAVERWERKERSOVEREENKOMST

PRIVACY VERKLARING ADVOCATENKANTOOR MR J.L. ROOSEN

De impact van Cybercrime & GDPR

Privacy Statement Huisartsengroep Brielle

Rapportage Verkennend onderzoek Gegevensbeschermingsbeleid

Verwerkersovereenkomst

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Richtlijn

Cursus Privacy & AVG Sport Support. 16 april 2018 Haarlem

Algemene verordening gegevensbescherming

VERWERKERSOVEREENKOMST. tussen. Verwerkingsverantwoordelijke INFOGROEN SOFTWARE B.V.

PRIVACYVERKLARING ZORGSAAM ZORGGROEP 1 PATIËNTEN/CLIËNTEN

INTERN PRIVACYBELEID. Frans van Hattum / Praktijk Octant

Privacy Verklaring versie

Medi-Office gebruikt verschillende categorieën van persoonsgegevens.

Privacybeleid Beckers Financieel Advies

FiDiB AVG Werksessie Hoe word ik Privacy Proof? Joerie van Looij, Adfiz

Privacyreglement Medewerkers Welzijn Stede Broec

PRIVACY POLICY PRAKTIJK FYSIOTHERAPIE CHARLOIS

1. Algemeen In deze Verwerkersovereenkomst wordt verstaan onder:

Privacybeleid Today s Groep

1. Inleiding. Aan bod komen de volgende onderwerpen:

Privacy statement Orduseven-Semerci Advocatuur

Privacybeleid Assuplan Financiële Diensten / HypotheekCompleet

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Verwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER

Dit privacy statement is van toepassing op de volgende categorieën natuurlijke personen van wie Daadkracht Advocatuur persoonsgegevens verwerkt

Verwerkersovereenkomst

Privacy Statement I Verwerkingsovereenkomst

Privacybeleid Kick Wiegmans Hypotheken

Verwerkersovereenkomst

Schee Scheuller Hypotheken & Assurantiën

Privacyverklaring Overdie Metals B.V., Overdie Staal B.V. en Overdie Fines B.V.

Grondslag voor deze persoonsgegevens is: Het inschrijving formulier Nieuwsbrief.

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Privacyverklaring van Kindercentrum Kindertuin (d.d. 1 mei 2018)

Privacyreglement. Geschreven door: Vastgesteld door. Versie. Status Datum Auteur Omschrijving

Bewerkersovereenkomst Noordhoff Uitgevers Beroepsonderwijs

Voorwaarden voor Gegevensverwerking Versie 1.0

Ons kenmerk z Onderwerp Advies concept besluit verplichte geestelijke gezondheidszorg

Algemene Verordening Gegevensbescherming (AVG)

Privacyverklaring Privacyverklaring Bibliotheek Zoetermeer Datum: mei 2018

PRIVACY STATEMENT Keizerin en/of de aan haar gelieerde ondernemingen

Transcriptie:

Auteur: mr.ir. Jørgen Simons advocaat bij Leijnse Artz in Rotterdam

Actielijst AVG Auteur: mr.ir. Jørgen Simons advocaat bij Leijnse Artz in Rotterdam

ACTIELIJST AVG (voor verzekeraars en hun compliance officers) Naar aanleiding van vragen van een aantal verzekeraars m.b.t. de verwerking van persoonsgegevens bij letselschades in het kader van de AVG die vanaf 25 mei 2018 van toepassing is, heeft het PIV deskundig advies gevraagd (advies J.P.M. Simons d.d. 27 juni 2017). Voor aanvullende vragen van verzekeraars met betrekking tot de verwerking van persoonsgegevens in het specifieke geval van audits en controles, heeft het PIV ook daaromtrent advies gevraagd (advies J.P.M. Simons d.d. 5 februari 2018). Op grond van de inhoud van beide adviezen, die overigens niet zijn toegespitst op de situatie bij medische aansprakelijkheidsverzekeraars, is deze korte actielijst AVG opgesteld. De actielijst beoogt nadrukkelijk niet een compleet overzicht te geven van hetgeen nodig is om op alle fronten te voldoen aan de AVG, maar wel een overzicht van de belangrijkste actiepunten die voorvloeien uit genoemde adviezen. Toepassing van de AVG in specifieke situaties bij individuele verzekeraars kan aanvullende beoordeling vergen en blijft dan ook altijd de verantwoordelijkheid van verzekeraars zelf. Algemeen 1. Vastleggen beleid m.b.t. verwerking persoonsgegevens. Verwerking van persoonsgegevens moet voldoen aan een aantal eisen (5 lid 1 AVG). De verantwoordelijke (verzekeraar) is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (5 lid 2 AVG). Een eerste stap daarbij is dat het beleid m.b.t. persoonsgegevens schriftelijk (waaronder elektronisch) wordt vastgelegd en dat gemaakte keuzes daarin zijn benoemd en onderbouwd. 2. Registreren verwerkingen persoonsgegevens Elke verantwoordelijke houdt in schriftelijke vorm (waaronder in elektronische vorm) een register bij van verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden (30 AVG). Het register bevat onder meer naam en contactgegevens van de verantwoordelijke, verwerkingsdoeleinden, een beschrijving categorieën van betrokkenen, een beschrijving van categorieën van persoonsgegevens, categorieën van ontvangers, eventuele doorgifte aan derde land(en) of internationale organisaties, termijnen waarbinnen gegevens worden gewist, een algemene beschrijving van de genomen technische en organisatorische beveiligingsmaatregelen. 3. Indien GEEN medisch beoordelingstraject gestart: voor iedere situatie de noodzaak van gegevensverwerking afwegen tegen het te bereiken doel. Bij gegevensverwerking voor de behandeling van letselschades is het verstandig onderscheid te maken tussen situaties waarbij wel een medisch beoordelingstraject is gestart en situaties waarbij dat (nog) niet het geval is. Indien er (nog) geen medisch beoordelingstraject is gestart, wordt in ieder geval gewerkt conform de Gedragscode Verwerking Persoonsgegevens door Financiële Instellingen en de Richtlijn Licht Letsel van De Letselschade Raad. Er dient ten eerste een beroep te kunnen worden gedaan op een rechtsgeldige verwerkingsgrondslag. Mogelijke verwerkingsgrondslagen zijn (a) toestemming van de betrokkene of (b) gerechtvaardigd belang van de verzekeraar. Ten tweede dient een beroep te kunnen worden gedaan op een uitzondering op het verbod tot verwerking van bijzondere

persoonsgegevens (bijvoorbeeld gegevens betreffende iemands gezondheid; zie artikel 16 Wbp en artikel 9 AVG). Mogelijke uitzonderingsgronden zijn (a) uitdrukkelijke toestemming of (b) noodzaak voor de uitvoering van een overeenkomst van verzekering. Zie nader: advies J.P.M. Simons d.d. 27 juni 2017, randnummers 53-56; zie ook hierna onder [9]. 4. Indien WEL medisch beoordelingstraject gestart: MP als uitgangspunt nemen. Indien er wel een beoordelingstraject is gestart, wordt er niet alleen gewerkt conform de Gedragscode Verwerking Persoonsgegevens door Financiële Instellingen, maar tevens conform het in aanvulling daarop en ter verbijzondering daarvan gestelde in de Medische Paragraaf bij de Gedragscode Behandeling Letselschade. Deze werkwijze dient te zijn vastgelegd en biedt waarborgen omtrent de omgang met bijzondere persoonsgegevens bij de behandeling van letselschades waarbij sprake is van een medisch beoordelingstraject. Zie ook hierna onder [10]. 5. Zorg tijdig voor (herziening van bestaande) verwerkersovereenkomsten. Indien voor bepaalde diensten gebruik wordt gemaakt van een verwerker, zijn de verantwoordelijke en de verwerker verplicht een aantal afspraken vast te leggen in een schriftelijke verwerkersovereenkomst (artikel 28 lid 3 AVG). Of er sprake is van een verwerker dan wel een verwerkingsverantwoordelijke, hangt af van de specifieke omstandigheden van het geval en de inhoud van de opdracht. Het is echter zeer goed denkbaar dat extern ingeschakelde partijen zoals een expertisebureau of een arbeidsdeskundige ten aanzien van bepaalde verwerkingen kwalificeren als verwerker. 6. Leg vast welke bewaartermijnen er worden gehanteerd en pas die toe. Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het doel van verwerking (artikel 10 lid 1 Wbp). Deze verplichting wijzigt inhoudelijk niet onder de AVG. De verplichting geldt ook voor verwerkers die, bijvoorbeeld in het kader van een opdracht, persoonsgegevens verwerken. Inhoud (technisch) dossier 7. Voor alle verwerkingen van persoonsgegevens nagaan of er voldoende grondslag is voor verwerking door bepaalde (categorieën van) personen. Een verzekeraar dient de toegangsrechten tot een letselschadedossier, ook voor wat betreft het technisch dossier waarin doorgaans eveneens bijzondere persoonsgegevens aanwezig zijn, nauwkeurig te regelen. Medewerkers van buiten de afdeling Personenschade hebben daarmee in principe niets te maken. Voor zover zij geen gerechtvaardigd belang hebben bij toegang tot die gegevens, dienen zij die toegang niet te hebben. De verzekeraar moet voldoende maatregelen treffen om dit te waarborgen. 8. Bepalen welke uitzondering wordt gehanteerd op verbod tot verwerking van bijzondere persoonsgegevens (zoals gezondheidsgegevens), met name bij Licht Letsel zaken. Keuze maken tussen uitzonderingsgrond (a) uitdrukkelijke toestemming (dit is in principe de meest veilige optie) of (b) noodzaak voor uitvoering overeenkomst (ook deze optie is in principe

goed verdedigbaar). a. Met name van belang bij licht letselzaken: kies voor uitdrukkelijke toestemming d.m.v. ondertekend formulier, dan wel voor pragmatischere oplossing, te weten: - belscript gebruiken bij eerste contact (en eventueel tekst in folder; zie bijgevoegde voorbeelden) - vinkje in dossier (i) na geven uitleg aan betrokkene + (ii) na telefonisch akkoord betrokkene; - eventueel gesprek opnemen en/of toetsensysteem gebruiken; - schriftelijke bevestiging met duidelijke opt-out. Dit is de meest veilige weg, op voorwaarde dat de uitdrukkelijke toestemming voldoet aan de daartoe gestelde eisen (zie nader artikel 7 AVG alsmede advies mr. J.P.M. Simons d.d. 27 juni 2017, randnummers 62-68). b. Deze keuze is in principe goed verdedigbaar. Wel dienen de overwegingen en motivering voor deze keuze goed te worden vastgelegd. Zie nader: advies J.P.M. Simons d.d. 27 juni 2017 en de daarin opgenomen gronden, randnummers 53-56 en advies J.P.M. Simons d.d. 5 februari 2018 randnummers 41-42. 9. Welke informatie mag in het technisch dossier bij GEEN medisch beoordelingstraject: Verantwoordelijkheid letselschadebehandelaar Basisinformatie over letsel, maar slechts voor zover noodzakelijk ter bepaling wel/niet medisch trajecten ter afhandeling licht letsel Géén medische adviezen of medische stukken Zie ook artikel 16 Wbp en artikel 9 AVG Zie ook hierna onder [3]. 10. Welke informatie mag in het technisch dossier bij WEL medisch beoordelingstraject: Verantwoordelijkheid letselschadebehandelaar Basis informatie over letsel Medische adviezen Medische expertise? Algemene gegevens over de schadeveroorzakende gebeurtenis, waaronder ook algemene gegevens over de aard en de ernst van het letsel, kunnen net als in de situatie zonder medisch beoordelingstraject worden opgenomen in het technisch dossier. Deze informatie is voor de letselschadebehandelaar immers noodzakelijk om zijn taak te kunnen uitvoeren. Alle andere gezondheidsgegevens, waaronder met name originele informatie en kopieën van documenten uit de medische sector, worden onder verantwoordelijkheid van de medisch adviseur opgeslagen in het medisch dossier en zijn in principe niet in het technisch dossier aanwezig. Het technisch dossier mag wel de medische adviezen bevatten die door de medisch adviseur op enig moment aan de letselschadebehandelaar zijn toegezonden. Zie nader: advies J.P.M. Simons d.d. 27 juni 2017 en de daarin opgenomen gronden, randnummers 73-75; zie ook hierna onder [4]. Voor zover verwerking van gezondheidsgegevens of andere bijzondere persoonsgegevens

noodzakelijk is voor de instelling, de uitoefening of de onderbouwing van een recht in rechte (met andere woorden: in een gerechtelijke procedure), mogen zij worden verwerkt (artikel 4 lid 2 sub f AVG). Het lijkt in die gevallen goed verdedigbaar dat processtukken ook indien daarin door middel van producties gezondheidsgegevens zijn opgenomen in het technisch dossier mogen worden bewaard. 11. Informatie via de schaderegelaar De schaderegelaar dient terughoudendheid in acht te nemen met betrekking tot verwerking van gezondheidsgegevens, in het bijzonder over de medische voorgeschiedenis. Wel kunnen er uiteraard vragen worden gesteld ter inventarisatie van de schade die ten gevolge van een ongeval of incident is ontstaan, zoals vragen over reeds aanwezige huishoudelijke hulp voorafgaand aan het ongeval of incident. Het gebruik van letselschadeformulieren waarin, voor zover het letselzaken betreft waarin op dat moment nog geen medisch traject is gestart, standaard naar de medische voorgeschiedenis wordt gevraagd of die de benadeelde althans uitnodigen daarover op voorhand reeds informatie te verstrekken, valt om bovengenoemde sterk af te raden. Zie nader: advies J.P.M. Simons d.d. 27 juni 2017, randnummer 82. 12. Toesturen van medische informatie Alle door de verzekeraar ontvangen originele informatie uit de behandelende sector dient in gesloten envelop te worden doorgestuurd naar de medisch adviseur. Gegevens kunnen ook digitaal worden toegezonden. Dat dient dan zoveel mogelijk rechtstreeks te ge-beuren naar het e-mailadres van de medisch adviseur of zijn secretariaat (voor nadere informatie over informatiebeveiliging en de uitwisseling van medische gegevens per e-mail, zie: https://www.knmg.nl/advies-richtlijnen/dossiers/informatiebeveiliging.htm). Rechtstreeks per e- mail aan de schadebehandelaar toegezonden medische stukken dienen zo snel mogelijk te worden doorgestuurd aan de medisch adviseur, waarna de ontvangen e-mails met eventuele bijlagen door de schadebehandelaar dienen te worden vernietigd. Door middel van een briefje of e-mail kan de afzender voorts worden verzocht stukken voortaan in gesloten envelop dan wel rechtstreeks per e-mail toe te zenden ter attentie van de medisch adviseur. Bijzondere situaties, zoals financiële controles, kwaliteitsaudits, etc. 13. Risicoafweging en keuze maken m.b.t. gebruikte grondslag voor verwerking van persoonsgegevens ( toestemming of gerechtvaardigd belang ). Vastleggen motivering voor gebruikte verwerkingsgrondslag, met name indien wordt gekozen voor gerechtvaardigd belang. Onderscheid maken tussen situaties waarbij verzekeraar als verantwoordelijke voor een gegevensverwerking is aan te merken en situaties waarbij (juist) anderen als verantwoordelijke zijn aan te merken. Ook altijd duidelijk belangenafweging maken en motivering daarbij vastleggen. Zie nader: advies J.P.M. Simons d.d. 5 februari 2018, randnummers 5-22 (met name 9-10 en 19-22). 14. Risicoafweging en keuze maken m.b.t. gebruikte ontheffing voor de verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens: (a) uitdrukkelijke toestemming of (b) noodzaak voor uitvoering verzekeringsovereenkomst; deze uitzonderingsgrond is in principe goed verdedigbaar. Zie reeds hiervoor onder [8]; zie ook advies J.P.M. Simons d.d. 5 februari 2018, randnummers 36-56.

Vooral indien niet wordt gekozen voor uitdrukkelijke toestemming van de betrokkene als ontheffing: vastleggen motivering voor ingeroepen ontheffing. Onderscheid maken tussen situaties waarbij verzekeraar als verantwoordelijke voor een gegevensverwerking is aan te merken en situaties waarbij (juist) anderen als verantwoordelijke zijn aan te merken. Ook altijd duidelijk belangenafweging maken en motivering daarbij vastleggen. Met name dienen hierbij 3 belangrijke stappen goed te worden gemotiveerd: Is deze ontheffingsgrond ook van toepassing op third party verzekeringen? (Verdedigbaar; zie advies J.P.M. Simons d.d. 5 februari 2018, randnummers 9-10 en 19-22); Is er sprake van gegevensverwerking door de verzekeraar? (Zie advies J.P.M. Simons d.d. 5 februari 2018, randnummers 53-54); Is deze gegevensverwerking noodzakelijk ter uitvoering van de verzekeringsovereenkomst? (Zie advies J.P.M. Simons d.d. 5 februari 2018, randnummers 55). Auteur: Jørgen Simons Jørgen Simons: advocaat bij Leijnse Artz in Rotterdam; lid van de Vereniging voor Gezondheidsrecht; voorzitter van de PIV Werkgroep Implementatie Medische Paragraaf en vanuit die rol betrokken bij de ontwikkeling van het Stappenplan Medisch Traject; daarnaast vaste annotator bij Jurisprudentie Aansprakelijkheid en GZR-Updates; gespecialiseerd in productaansprakelijkheid, medische aansprakelijkheid, letselschades en technische schades, alsmede privacy en het medisch traject bij personenschades; publicaties over o.a. productaansprakelijkheid en aansprakelijkheid voor medisch handelen, de uitwisseling en bescherming van (medische) persoonsgegevens en de grenzen van het beroepsgeheim; en in opdracht van De Letselschade Raad lid van de schrijfgroep voor de nieuwe, volledig herziene GOMA2.0

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback