Nieuwsbrief AVG Ziekenhuizen

Vergelijkbare documenten
Nieuwsbrief AVG Social Profit

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje

De Algemene Verordening Gegevensbescherming.

checklist in 10 stappen voorbereid op de AVG. human forward.

Algemene begrippen AVG

ALGEMENE VERORDENING GEGEVENSBESCHERMING

Data Protection Officer

Cursus privacyrecht Jeroen Naves 7 september 2017

GDPR. een stand van zaken

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

AVG. Algemene Verordening Gegevensbescherming

4 APRIL 2018 DE WEG NAAR DE AVG - RENS GOUDSMIT ONDERNEMERSVERENIGING VOORSCHOTEN ONDERNEMEND WASSENAAR

GDPR. To panic or not to panic?

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Handvatten bij de implementatie van de AVG

Privacy wetgeving: Wat verandert er in 2018?

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

PRIVACY POLICY. Wij raden u ten stelligste aan deze privacy policy zorgvuldig door te nemen.

GDPR en wat nu? Marlies Eggermont Juni 2018 VBOV

Speciale AVG-nieuwsbrief

Moshe Beukers Dalila Dizdar Robert van Asch

Welkom. ICT-Kring Delft bijeenkomst 4 december 2017

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

PRIVACY POLICY. Wij raden u ten stelligste aan deze privacy policy zorgvuldig door te nemen.

Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon die rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden.

staat is om de AVG na te komen.

Privacy beleid. Deze privacy policy beoogt een behoorlijke en transparante verwerking van uw persoonsgegevens te waarborgen.

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Algemene Verordening Gegevensbescherming (AVG)

PRIVACY POLICY. Wij raden u ten stelligste aan deze privacy policy zorgvuldig door te nemen.

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Practice Group Social Law:

Privacyverklaring Tabor

GDPR WETGEVING. Contextuele informatie en concrete toepassing. Abstract

Data Protection Same Game, Other Rules

Hoe omgaan met verwerkers?

Algemene verordening gegevensbescherming

GDPR en wat nu? Marlies Eggermont oktober 2018 VBOV

Speciale AVG-nieuwsbrief

AVG & NEN 7510:2017. Theo Hooghiemstra. 7 december 2017

Krachtlijnen van de Algemene Verordening Gegevensbescherming (AVG) voor de onderwijssector Nieuwe wind, geen orkaan!

De grootste veranderingen in hoofdlijnen

Inleiding. Uitleg tienstappenplan AVG

Reglement AVG- Privacybeleid Praktijk voor Osteopathie G.W. van Dinteren -Privacystatement

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

PRIVACY POLICY AL KOPIE GRIMBERGEN IN HET KADER VAN DE GDPR-COMPLIANCY

Impact AVG op de lokale overheden


25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Ontbijtsessie Opt-In/-Out

1. Privacy beleid van Atlas grow how

PRIVACYVERKLARING VAN ROEY VASTGOED

Algemene Verordening Gegevensverwerking ( GDPR )

Blockchain Smart Contracts AVG

Beerststraat Diksmuide - Vladslo Tel PRIVACYVERKLARING

Wet bescherming persoonsgegevens vervangen door nieuwe Europese regelgeving. Wat zijn de gevolgen?

FACTSHEET VERWERKINGSREGISTER

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING : EEN KORT OVERZICHT( * )

De Algemene Verordening Gegevensbescherming

REGLEMENT BETREFFENDE DE BESCHERMING VAN DE PERSOONSGEGEVENS

De website (hierna: de Website ) wordt aangeboden door:

Spoedcursus GDPR & praktische tips uit Gent

Algemene Verordening gegevensbescherming 2016/679

PRIVACYVERKLARING WEBSITE GEMEENTEBESTUUR EN OCMW HERZELE

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

GDPR (General Data Protection Regulation ) The journey we take together

Databescherming 2.0 Beginselen van de Algemene Verordening Gegevensbescherming: Bereid je voor in 13 stappen

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Privacyverklaring Stichting Christelijke Zorgorganisatie Norschoten - (toekomstige) cliënten

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

ondersteuning beheer van je organisatie vzw-wetgeving GDPR dagelijkse organisatie en beleid

DE VERWERKING VAN PERSOONSGEGEVENS VAN WERKNEMERS IN HET KADER VAN DE EUROPESE VERORDENING GEGEVENSBESCHERMING

Agenda. De AVG: wat nu?

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

GDPR Klanten, Leveranciers, Contractanten

De AVG en de gevolgen voor de uitvoeringspraktijk

Reglement AVG- Privacybeleid Praktijk Maas -Privacystatement

Clausules betreffende de verwerking van persoonsgegevens

Algemene Verordening Gegevensbescherming (AVG) Rol van de gegevensbeschermingsautoriteiten (DPA) De leidende autoriteit (Lead DPA)

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Zijn de Vlaamse bedrijven in orde met de GDPR?

Phytalis-Verwerkersovereenkomst

Speciale AVG-nieuwsbrief

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

Laatste versie:

De gevolgen van de AVG

PROXI HOME SERVICES BVBA PRIVACY BELEID

Privacy beleid 30 juli 2018

Privacy Policy de Oorgroep

Demo NV AVG straat, Brussel KBO Vertegenwoordigd door Jan Vanderbeek

IKORN. Inhoud. Privacyverklaring voor medewerkers vzw IKORN. [Typ hier]

Bijlage Gegevensverwerking. Artikel 1 - Definities

E-health in Gent E-health en privacy wetgeving in de praktijk

PRIMADAK ROOSENDAAL B.V. PRIVACYBELEID

AVG. #IABnl. Algemene Verordening Gegevensbescherming. Deloitte Privacy Advisory. 6 juni 2017

AVG- Privacybeleid Acupunctuur Reggie Jansen (hierna ARJ)

Transcriptie:

Nieuwsbrief AVG Ziekenhuizen 1. Algemeen Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensbescherming ( AVG of in het Engels afgekort GDPR ) van toepassing zijn in de gehele Europese Unie. Deze verordening brengt enkele belangrijke wijzigingen met zich mee met betrekking tot de reeds bestaande Belgische wetgeving inzake de bescherming van persoonsgegevens. In deze nieuwsbrief lichten we de belangrijkste wijzigingen toe. Verruiming bevoegdheid Privacycommissie De nationale gegevensbeschermingsautoriteiten hebben uitgebreide controle- en sanctiebevoegdheden gekregen. De Belgische Privacycommissie (die zal worden omgedoopt tot Gegevensbeschermingsautoriteit ) zal zelf, of na een klacht, een onderzoek kunnen starten om na te gaan of de AVG is geschonden. Indien dit het geval is, kan de Belgische Privacycommissie corrigerende maatregelen nemen of een administratieve boete opleggen. Deze boetes kunnen oplopen tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet van het voorgaande boekjaar (het hoogste van beide). Omkering bewijslast De AVG heeft de bewijslast omgekeerd en heeft deze gelegd op de verwerkingsverantwoordelijke (d.i. de (rechts)persoon die de doelstellingen van en de middelen voor de verwerking bepaalt) of de verwerker (d.i. de (rechts)persoon die de gegevens verwerkt namens de verwerkingsverantwoordelijke). Dit houdt in dat de verwerkingsverantwoordelijke en/of de verwerker moet kunnen bewijzen dat deze volgens de AVG handelt en, als gevolg, dat er niet eerst een inbreuk moet worden bewezen. Expliciete Toestemming Persoonsgegevens kunnen enkel verwerkt worden als er een juridische grondslag is. Als deze gebaseerd is op de toestemming van de betrokkene, van wie de persoonsgegevens zullen worden verwerkt, dan stelt de AVG dat deze toestemming, vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn. Om bewijsredenen raden wij aan om die toestemming schriftelijk te verkrijgen, bijvoorbeeld via het actief aanvinken van een aanvinkvakje. Reeds vooraf ingevulde vakjes zijn uit den boze, net zoals stilzwijgen of inactiviteit. De regel is dus opt-in en niet opt-out. Rechten De AVG voorziet verschillende rechten voor de betrokkene, waarvan de meeste reeds waren vastgelegd in de huidige Belgische privacywetgeving. Deze rechten omvatten onder meer: het recht op informatie, toegang, rectificatie, wissing (d.i. het zogenaamde recht op vergetelheid ), gegevensoverdraagbaarheid (nieuw), beperking van de verwerking, bezwaar, intrekken toestemming, klacht

Functionaris voor Gegevensbescherming (in het Engels afgekort DPO ) Een DPO is een werknemer of een externe consultant die toeziet op de naleving van het AVG. De DPO moet een uitstekende kennis hebben van de wetgeving inzake de bescherming van persoonsgegevens, moet rapporteren aan de hoogste leidinggevenden en moet zijn of haar taken in alle onafhankelijkheid kunnen uitoefenen. De aanstelling van een DPO is in principe verplicht voor: (i) overheidsinstanties en -organen, (ii) (rechts)personen die hoofdzakelijk belast zijn met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; en (iii) organisaties die bijzondere categorieën van persoonsgegevens verwerken op grote schaal (zoals medische gegevens en strafrechtelijke veroordelingen). Ziekenhuizen zullen een DPO moeten aanduiden aangezien zij onder categorie (iii) vallen. Register van de verwerkingsactiviteiten De AVG verplicht bepaalde organisaties om een register bij te houden van alle verwerkingsactiviteiten ( dataregister ). Dit dataregister moet onder meer het volgende bevatten: de naam en contactgegevens van de verwerkingsverantwoordelijke, de verwerkingsdoeleinden, de juridische grondslag van de verwerking, met welke partijen deze gegevens gedeeld zijn Zo een register is verplicht: (i) voor (rechts)personen met meer dan 250 werknemers, (ii) als de verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkenen, (iii) als de verwerking niet incidenteel is, of (iv) als de verwerking bijzondere categorieën van gegevens inhoudt. Ziekenhuizen zullen een dataregister moeten aanleggen aangezien zij onder categorie (iv) vallen. Melding inbreuk persoonsgegevens In principe moeten de verwerkingsverantwoordelijken de Privacycommissie inlichten over inbreuken op de bescherming van persoonsgegevens. De verwerkers moeten de verwerkingsverantwoordelijken hierover inlichten. Dit moet onverwijld gebeuren, en indien mogelijk, niet later dan 72 uur nadat er kennis van genomen is. In sommige gevallen moet de betrokkene ook worden ingelicht over de inbreuk. Afschaffing van de meldingsplicht In sommige gevallen schaft de AVG de verplichting af om (i) de Privacycommissie in te lichten over de verwerkingsactiviteiten van de verwerkingsverantwoordelijke en (ii) de voorafgaande toestemming te vragen aan de Privacycommissie voor het verwerken van persoonsgegevens. Het idee hierachter is dat de verwerkingsverantwoordelijke zelf een eigen bestand moet aanleggen om haar naleving van de AVG te bewijzen, onder andere door met een DPO en een register te werken. 2

2. Praktisch Wat zijn de gevolgen van de AVG en de Belgische wetgeving inzake de bescherming van persoonsgegevens op de dagdagelijkse werking van uw organisatie? Hieronder bespreken we enkele vaak voorkomende vragen. Mag ik mogelijke prospecten contacteren louter op basis van hun informatie die ik online vind? In principe mag dit niet, aangezien ze hiertoe niet hun vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming gegeven hebben. Wie kan beschouwd worden als de verwerkingsverantwoordelijke? In het kader van een ziekenhuis kan dit een zeer complex vraagstuk zijn. Er kan evenwel een onderscheid gemaakt worden tussen het patiëntendossier en alle andere persoonsgegevens (adres, telefoon nr, bankrekening nr, ). Wat betreft het patiëntendossier: de (hoofd)arts wordt beschouwd als de verwerkingsverantwoordelijke. Voor alle andere persoonsgegevens wordt het ziekenhuis zelf als verwerkingsverantwoordelijke beschouwd. Wie kan beschouwd worden als verwerkers? Voorbeelden van verwerkers kunnen zijn: het softwarebedrijf dat persoonsgegevens niet op zijn eigen servers opslaat, zelfstandigen (dokters, psychotherapeuten, ), ondernemingsloketten, arbeidsgeneesheren Wat zijn de gevolgen van medische gegevens te verwerken? De AVG voorziet in een strengere regeling als medische gegevens worden verwerkt, zoals: De juridisch grondslagen om persoonsgegevens te verwerken zijn meer gelimiteerd. In de meeste gevallen zal één van de volgende gronden van toepassing zijn: (i) expliciete toestemming (de patiënt stemt in met de procedure), (ii) het is noodzakelijk voor de preventieve- of arbeidsgeneeskunde, of (iii) vitale belangen (vb. een onbewuste patiënt die dringend medische hulp nodig heeft); Het register van de verwerkingsactiviteiten is verplicht; Een gegevensbeschermingseffectbeoordeling is verplicht. Een DPO is verplicht. Mag ik medische gegevens overdragen aan en verkrijgen van andere ziekenhuizen en dokters? Ja, (i) als de patiënt expliciet heeft toegestemd voor een bepaalde medische procedure die enkel in een ander ziekenhuis en door een andere dokter kan worden uitgevoerd, dan stemt hij toe dat zijn medische informatie die nodig is voor deze ingreep zal worden overgedragen, (ii) als er een vitaal belang voor is voor de patiënt en/of (iii) de overdracht noodzakelijk is voor de preventieve- of arbeidsgeneeskunde of voor zorgverstrekking. Mag ik persoonsgegevens overdragen binnen mijn ziekenhuis-associatie? 3

In het geval dat ziekenhuizen aparte juridische entiteiten binnen eenzelfde associatie zijn, zullen ze, in het licht van de geldende privacywetgeving, als derden worden beschouwd. Bijgevolg kunnen persoonsgegevens enkel worden overgedragen als aan één van de juridische gronden van de AVG is voldaan (zie hierboven). Mag ik gegevens overdragen die geanonimiseerd zijn? De overdracht van zulke geanonimiseerde persoonsgegevens is niet vastgelegd in het AVG. De overdracht van zulke gegevens is daarom toegestaan en niet beperkt door de voorgaande juridische gronden. Mag ik een kopie van een ID-kaart vragen? In principe mag u geen kopie van de identiteitskaart vragen, deze inlezen of als waarborg bijhouden. Een aangepaste kopie waarin bepaalde niet-relevante informatie zoals het rijksregisternummer is gewist bijhouden kan eventueel wel geoorloofd zijn. Bepaalde specifieke wetgeving kan ook in uitzonderingen voorzien op deze algemene regels. Het inlezen van de eid is bijvoorbeeld wel toegestaan voor het raadplegen van het elektronische patiëntendossier, maar enkel indien software wordt gebruikt die toegestaan is door het ehealth-platform. Mag ik mezelf toegang verschaffen tot de e-mails van mijn werknemers? Ja, maar enkel in bepaalde omstandigheden, met name: (i) om de continuïteit te waarborgen in het geval van een afwezige werknemer, (ii) om de economische belangen van de organisatie te verzekeren, (iii) om de veiligheid van het ICT-systeem te vrijwaren en (iv) om ongeoorloofde zaken of misdrijven te voorkomen. Mag ik naar een uittreksel van het strafregister vragen bij een job interview? Neen, tenzij een specifieke juridische basis dit zou toelaten. 3. Voorbereidingen Aangezien 25 mei 2018 snel nadert, is het belangrijk om na te gaan in welke mate uw organisatie de AVG naleeft. Hieronder volgt een lijst met de belangrijkste te ondernemen actiepunten. Privacy bewustzijn Informeer sleutelfiguren en werknemers binnen uw organisatie over de AVG. Vaardig richtlijnen, praktische regels en procedures uit en organiseer trainingen om de aankomende veranderingen goed te kaderen en op te vangen. Privacy audit Ga na of het verwerken van persoonsgegevens binnen uw organisatie momenteel al conform de AVG is. Ga zeker de volgende parameters na bij het uitvoeren van deze controle/audit: Welke persoonsgegevens worden er verwerkt? 4

Hoe zijn deze persoonsgegevens verkregen (van de betrokkene zelf of indirect via een derde)? Met wie worden deze persoonsgegevens gedeeld? Is er een juridische grondslag om persoonsgegevens te verwerken (toestemming, overeenkomst, juridische verplichting of een legitiem/vitaal/algemeen belang?) Als de juridische grondslag toestemming is, heeft de betrokkene dan expliciete toestemming gegeven conform de AVG? Als de juridische grondslag een overeenkomst is, worden de persoonsgegevens verwerkt overeenkomstig het originele/initiële doel van de overeenkomst? Hoe lang worden de persoonsgegevens bijgehouden? Zijn de persoonsgegevens nog up-to-date? Deze controle/audit is geen éénmalige vaststelling. Deze moet op een recurrente basis gebeuren om de naleving met de AVG na te gaan. Niet-naleving moet onmiddellijk worden geremedieerd met concrete en relevante acties en door follow-up audits. Data protection team en DPO Bekijk of u een DPO moet aanstellen. Richt in elk geval een data protection team op (bij voorkeur samengesteld uit mensen uit verschillende domeinen, zoals ICT, juridische dienst, finance, HR ). Dit team zal verantwoordelijk zijn om de impact van de AVG vast te stellen, moet de naleving van de AVG opvolgen en nagaan en een budget samenstellen hiervoor. Register van de verwerkingsactiveiten Zelfs indien het niet verplicht is, is het toch aangeraden om een dataregister bij te houden. Dit register laat u toe om aan te tonen in welke mate de AVG wordt geïmplementeerd. Dit kan handig bewijsmateriaal zijn bij klachten of een onderzoek door de Privacycommissie. Privacy policy Controleer uw privacy policy en, indien nodig, pas deze aan. Betrokkenen moeten geïnformeerd worden, in eenvoudige taal, over hun rechten en over alle andere informatie over de verwerking van hun persoonsgegevens. Deze informatie moet gemakkelijk toegankelijk zijn. Voorzie een mechanisme dat hieraan voldoet (vb. een opt-in vakje met een link naar uw privacy policy bij een online inschrijvingsformulier). Verwerkingsovereenkomsten Evalueer de overeenkomsten met uw verwerkers en ondernemingen waarvan u persoonsgegevens verkrijgt. Check deze op overeenstemming met de AVG en vraag meer waarborgen indien nodig. Technische maatregelen en datalekken Controleer of uw technische beveiliging op punt staat. Stel veiligheidsvoorschriften en procedures op. Bereid u voor op mogelijke datalekken. 5

4. Contact Indien u vragen heeft over deze nieuwsbrief of juridisch advies wil inwinnen over de AVG of de bescherming van persoonsgegevens, aarzel dan niet om ons te contacteren. Sarah.vandenbrande@curia.be Christoph.maricau@curia.be +32 2 503 53 00 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback