De bedoeling van deze Frequently Asked Questions is een antwoord te bieden op vragen die – naar ons aanvoelen – in de praktijk veel gesteld gaan worden. Om u in staat te stellen de vragen en antwoorden snel terug te vinden, staan de vragen per onderwerp gebundeld.

De FAQ kan het best gelezen worden samen met de algemene informatie rond de GDPR die op onze site terug te vinden is. De inhoud is samengesteld uit antwoorden die aangereikt werden door de Europese Commissie en door vragen die de lokale beroepsverenigingen ontvingen in aanloop van de inwerkingtreding van de GDPR. In deze FAQ wordt af en toe ook nog verwezen naar andere verduidelijkende documenten (bv. documenten van de Belgische Privacycommissie of de Nederlandse Autoriteit Persoonsgegevens).

De FAQ wordt regelmatig bijgewerkt met nieuwe vragen die we toegestuurd krijgen en/of met antwoorden die we ontvangen van de Gegevensbeschermingsautoriteit, zodanig dat u altijd over de meest recente informatie beschikt.

Moest u in de FAQ het antwoord op uw vraag niet gevonden hebben, dan kan u zich altijd richten tot gdpr@apb.be of gdpr@klav.be

 

Op wie is de AVG van toepassing? (1)

De AVG is van toepassing op:

- een onderneming of eenheid die, persoonsgegevens verwerkt in het kader van de activiteiten van een van zijn of haar in de EU gevestigde bijkantoren, ongeacht waar de gegevens worden verwerkt; of
- een onderneming die buiten de EU is gevestigd en goederen/diensten (betaald of gratis) aanbiedt of het gedrag van personen in de EU volgt.

 

Zijn de regels van toepassing op KMO’s? (1)

Ja, de toepassing van de verordening gegevensbescherming is niet afhankelijk van de grootte van uw onderneming, maar van de aard van de activiteiten ervan. Activiteiten die grote risico's met zich meebrengen voor de rechten en vrijheden van personen, ongeacht of die activiteiten door een KMO of een grote onderneming worden uitgevoerd, geven aanleiding tot de toepassing van strengere regels. Sommige van de verplichtingen van de AVG gelden echter niet voor alle KMO’s.

Bedrijven met minder dan 250 werknemers hoeven bijvoorbeeld geen registers bij te houden van hun verwerkingsactiviteiten, tenzij de verwerking van persoonsgegevens een regelmatige activiteit is, een bedreiging vormt voor de rechten en vrijheden van personen, of gevoelige gegevens of criminele antecedenten betreft.

Ook hoeven KMO’s alleen een functionaris voor gegevensbescherming aan te stellen als verwerking hun hoofdactiviteit vormt en dit specifieke bedreigingen vormt voor de rechten en vrijheden van personen (zoals het toezicht op personen of de verwerking van gevoelige gegevens of criminele antecedenten), en met name wanneer dit op grote schaal gebeurt.

 

Zijn de regels inzake gegevensbescherming van toepassing op gegevens over een onderneming? (1)

Neen, de regels zijn enkel van toepassing op persoonsgegevens over personen, ze regelen niet de gegevens over ondernemingen of andere rechtspersonen. Informatie met betrekking tot eenpersoonsbedrijven kan echter uit persoonsgegevens bestaan indien die de identificatie van een natuurlijk persoon mogelijk maakt. De regels zijn ook van toepassing op alle persoonsgegevens die betrekking hebben op natuurlijke personen in het kader van een beroepsactiviteit, zoals werknemers van een onderneming/organisatie, zakelijke e‑mailadressen in de vorm van "voornaam.achternaam@bedrijf.eu" of zakelijke telefoonnummers van werknemers.

 

Welke gegevens mogen worden verwerkt en onder welke voorwaarden? (1)

Het soort en de hoeveelheid persoonsgegevens die een onderneming/organisatie mag verwerken, hangt af van de redenen voor de verwerking (gebruikte juridische reden) en het beoogde gebruik van de persoonsgegevens. De onderneming/organisatie moet verschillende belangrijke regels eerbiedigen, waaronder:

  • persoonsgegevens moeten op een wettige en transparante manier worden verwerkt, waarbij billijkheid ten opzichte van de personen van wie persoonsgegevens worden verwerkt, moet worden gewaarborgd („wettelijkheid, billijkheid en transparantie”);
  • er moeten specifieke doeleinden zijn voor de verwerking van de gegevens en de onderneming/organisatie moet die doeleinden duidelijk maken aan de personen van wie de persoonsgegevens worden verzameld. Een onderneming/organisatie mag niet zomaar persoonsgegevens verzamelen voor ongedefinieerde doeleinden („doelbinding”);
  • de onderneming/organisatie mag alleen de persoonsgegevens verzamelen en verwerken die nodig zijn om dat doel te bereiken(„minimale gegevensverwerking”);
  • de onderneming/organisatie moet verzekeren dat de persoonsgegevens accuraat en actueel zijn, rekening houdend met de doeleinden waarvoor zij worden verwerkt, en zo niet deze corrigeren („accuraatheid”);
  • de onderneming/organisatie mag de persoonsgegevens niet verder gebruiken voor andere doeleinden die niet verenigbaar zijn met het oorspronkelijke doel;
  • de onderneming/organisatie moet verzekeren dat persoonsgegevens niet langer worden bewaard dan nodig is voor de doeleinden waarvoor zij zijn verzameld („opslagbeperking”);
  • de onderneming/organisatie moet passende technische en organisatorische waarborgen invoeren die de beveiliging van de persoonsgegevens garanderen, met inbegrip van bescherming tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met behulp van passende technologie („integriteit en vertrouwelijkheid”).

 

Mogen gegevens voor elk doel worden verwerkt? (1)

Neen. Het doel waarvoor u persoonsgegevens wenst te verwerken moet gekend zijn en de personen van wie u gegevens verwerkt moeten daarvan op de hoogte worden gesteld. Het is niet voldoende om enkel aan te geven dat er persoonsgegevens worden verzameld en verwerkt. Dit staat bekend als het „doelbindingsbeginsel”.

 

Mogen gegevens voor een ander doel worden gebruikt? (1)

Ja, maar enkel in bepaalde gevallen. Als uw onderneming/organisatie gegevens heeft verzameld op basis van gerechtvaardigd belang, een overeenkomst of vitale belangen, mogen deze gegevens worden gebruikt voor een ander doel, maar alleen nadat is gecontroleerd of het nieuwe doel verenigbaar is met het oorspronkelijke doel.

Er moet daarbij op de volgende punten worden gelet:

  • het verband tussen het oorspronkelijke doel en het nieuwe/toekomstige doel;
  • de context waarin de gegevens zijn verzameld (wat is de relatie tussen uw onderneming/organisatie en de persoon?);
  • de soort en aard van de gegevens (betreft het gevoelige gegevens?);
  • de mogelijke gevolgen van de voorgenomen verdere verwerking (welke zijn de gevolgen de betrokkene?);
  • het bestaan van passende waarborgen (zoals versleuteling of pseudonimisering).

Als uw onderneming/organisatie de gegevens wenst te gebruiken voor statistieken of voor wetenschappelijk onderzoek hoeft u geen verenigbaarheidstoets uit te voeren.

Als uw onderneming/organisatie gegevens heeft verzameld op basis van toestemming of op grond van een wettelijk vereiste, is verdere verwerking buiten de gebieden die vallen onder de oorspronkelijke toestemming of de wettelijke bepaling, niet mogelijk. Voor verdere verwerking is nieuwe toestemming of een nieuwe rechtsgrond nodig.

 

Hoe lang kunnen gegevens worden bewaard en moeten ze worden bijgewerkt? (1)

Gegevens moeten voor de kortst mogelijke tijd worden opgeslagen. Voor de berekening van die periode moet rekening worden gehouden met de redenen waarom uw onderneming/organisatie de gegevens dient te verwerken en met eventuele wettelijke verplichtingen om de gegevens gedurende een vaste periode te bewaren (bijvoorbeeld nationale arbeids-, belasting- of fraudebestrijdingswetten die u verplichten om persoonsgegevens over uw werknemers gedurende een bepaalde periode te bewaren, productgarantieduur enz.).

Uw onderneming/organisatie dient termijnen vast te stellen voor het wissen of het herzien van de opgeslagen gegevens.

Bij wijze van uitzondering mogen persoonsgegevens gedurende een langere periode worden bewaard met het oog op archivering in het algemeen belang of voor wetenschappelijk of historisch onderzoek, mits passende technische en organisatorische maatregelen zijn getroffen (zoals anonimisering, versleuteling enz.).

Tevens moet uw onderneming/organisatie ervoor zorgen dat de bewaarde gegevens juist zijn en bijgewerkt blijven.

 

Is het volgens de regels van GPPR nog toegestaan dat de gegevens van alle patiënten van mijn apotheek voor het GFD worden doorgegeven naar de database van het GFD? Ik zou verwachten dat dit enkel mag worden doorgegeven voor patiënten die hun informed consent hebben gegeven.

Er moet een onderscheid gemaakt worden tussen 1) het registreren en 2) het delen.

1) Registreren

Dit gebeurt hoe dan ook, ongeacht of de patiënt zijn toestemming heeft gegeven of niet. De gegevens worden opgeslagen in zijn farmaceutische dossier. Deze automatische collectie van gegevens heeft als bedoeling om te voorkomen dat, vanaf het moment dat de patiënt zijn toestemming voor het GFD deelt, het dossier eigenlijk nog niets bevat en er actueel nog niets gedeeld kan worden. De registratie gebeurt dus met het oog op een toekomstige deling via het GFD.

Deze procedure werd voorgelegd aan de Privacycommissie en ook goedgekeurd.

2) Delen

Pas nadat de patiënt zijn toestemming heeft gegeven om zijn farmaceutisch dossier te delen, wordt dit (en enkel en alleen zijn dossier) gedeeld: het gedeeld farmaceutisch dossier komt tot stand.

In de GDPR zijn hier zeker gronden voor terug te vinden (art. 6):

- de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust: kwaliteitsvolle zorg leveren kan maar indien de zorgverstrekker op de hoogte is van het farmaceutisch dossier van de patiënt die voor hem/haar staat

- de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen: deling van het farmaceutisch dossier kan levens redden; indien de patiënt vergeet dat hij een bepaald geneesmiddel neemt dat bijwerkingen kan veroorzaken indien genomen met een ander geneesmiddel, dan kan de apotheker – mits toegang tot het farmaceutische dossier – dit voorkomen

- de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang: idem aan het eerste

 

Tot nog toe moest elke apotheek een privacy-aangifte invullen bij de privacycommissie. Klopt het dat die verplichting vervalt?

De meldingsplicht komt te vervallen omdat het niet langer de autoriteit is die moet bewijzen dat een onderneming in de fout gaat, maar het zal de onderneming zelf zijn die moet aantonen dat voldaan is aan GDPR. Dat doe je via het verwerkingsregister.

 

Overzicht medicatie voor hospitalisatieverzekering voor 14-jarige dochter: mag dit afgehaald worden door de moeder van het gezin zonder akkoord van de vader? Mag dochter dit zelf? Werkwijze voor aanvraag, overhandiging…

Ouders oefenen in principe gezamenlijk het ouderlijk gezag uit over hun minderjarige kinderen:

Artikel 373 Burgerlijk Wetboek: Wanneer de ouders samenleven, oefenen zij het gezag over de persoon van het kind gezamenlijk uit. Ten opzichte van derden die te goeder trouw zijn, wordt elke ouder geacht te handelen met de andere ouder wanneer hij, alleen, een handeling stelt die met gezag verband houdt behouden de bij de wet bepaalde uitzonderingen.

Een minderjarig kind is in principe handelingsonbekwaam. Dit betekent dat kinderen, voor het stellen van handelingen die rechtsgevolgen met zich meebrengen, door hun ouders worden vertegenwoordigd (zie hierboven).

De Wet Patiëntenrechten verduidelijkt dit:

Artikel 12. § 1. Bij een patiënt die minderjarig is, worden de rechten zoals vastgesteld door deze wet uitgeoefend door de ouders die het gezag over de minderjarige uitoefenen of door zijn voogd.
§ 2. De patiënt wordt betrokken bij de uitoefening van zijn rechten rekening houdend met zijn leeftijd en maturiteit. De in deze wet opgesomde rechten kunnen door de minderjarige patiënt die tot een redelijke beoordeling van zijn belangen in staat kan worden geacht, zelfstandig worden uitgeoefend.

Wanneer de GDPR het heeft over de toestemming van kinderen, dan heeft dit steeds betrekking tot diensten van de informatiemaatschappij (zie artikel 8; dus bv. Facebook).

Omdat de ouders het ouderlijk gezag uitoefenen over het kind, is de uitwisseling van de patiëntgegevens van het kind met de ouders noodzakelijk om de vitale belangen van de betrokkene (het kind) te beschermen.

 

Hoe zit het met het vertrouwelijk gesprek of uitleg rond gevoelige medicatie aan de balie met 4 wachtenden er net achter?

Dat is niet zozeer geregeld door de Privacywet van 1992 of de GDPR, maar eerder door de Wet Patiëntenrechten.

De patiënt heeft recht op bescherming van zijn persoonlijke levenssfeer bij iedere tussenkomst van de beroepsbeoefenaar en inzonderheid betreffende de informatie die verband houdt met zijn gezondheid.
De patiënt heeft recht op respect voor zijn intimiteit. Behoudens akkoord van de patiënt, kunnen enkel de personen waarvan de aanwezigheid is verantwoord in het kader van de dienstverstrekking van de beroepsbeoefenaar, aanwezig zijn bij de zorg, de onderzoeken en de behandelingen.

Volgens de GDPR dient de verwerkingsverantwoordelijke (in casu de apotheker) passende technische en organisatorische maatregelen te nemen om te waarborgen dat de persoonsgegevens zodanig worden verwerkt dat een passende beveiliging ervan gewaarborgd is.

Dit kan inhouden dat hij dit vertrouwelijk gesprek elders in de apotheek voert, of dat hij bv. in de apotheek markeert waar de volgende patiënt dient te wachten (‘gelieve achter deze lijn te wachten’).

 

Het gebeurt vaak dat partner/kind/verpleegkundige/mantelzorger/buurvrouw medicatie, voorschrifthistoriek, medicatieschema,… afhaalt voor een patiënt. Kan dat? Wat zegt GDPR daar over? Hoe praktisch mee omgaan in de apotheek?

Dit is niet zozeer een probleem voor GDPR. De GDPR verbiedt niet dat gegevens worden doorgegeven aan derden (al dan niet in opdracht van de betrokkene/patiënt). De enige voorwaarde is dat de betrokkene op de hoogte is van het feit dat zijn gegevens ook aan derden (naar zijn keuze; soms gemachtigden) meegedeeld kunnen worden wanneer zij voor hem medicatie, voorschrifthistroriek, medicatieschema in de apotheek komen ophalen. In de meeste gevallen zal het zo zijn dat de patiënt hiervoor eerst zijn toestemming geeft.

In deze context spelen dus eerder de beperkingen van bv. het KB 21 januari 2009.

 

Er worden regelmatig vervangers ingeschakeld in apotheken. Is het nodig dat er voor hen contractueel verwerkers-overeenkomst-clausules afgesproken worden? Of is hier ‘het beroepsgeheim’ voldoende?

In dit geval lijkt er geen verwerkersovereenkomst nodig. Zo’n overeenkomst is uitsluitend verplicht in geval van de uitvoering van de verwerking door een verwerker (en dus niet door de verwerkingsverantwoordelijke zelf).

Binnen het apothekersnetwerk is de verwerkingsverantwoordelijke de apotheek (de rechtspersoon), vertegenwoordigd door de apotheker-titularis. Ik leid dit af uit de definitie (art. 4, 7° GDPR):

"verwerkingsverantwoordelijke": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen. ”

Personen die verbonden zijn met de rechtspersoon – vast personeel of vervangers die een arbeidsovereenkomst gesloten hebben met de rechtspersoon – worden dus gelijkgesteld met de rechtspersoon/verwerkingsverantwoordelijke.

Het zou bovendien praktisch onwerkbaar zijn moest elke werknemer met zijn werkgever een verwerkersovereenkomst moeten sluiten, omdat hij voor zijn werkgever gegevens verwerkt. Dat zou een zeer strikte benadering zijn van de definitie van ‘verwerker’. Als algemene regel gaan wij er van uit dat, indien er een contractuele arbeidsrelatie bestaat tussen werknemer en werkgever (en de verwerking gebeurt bij/in de lokalen/gebouwen van de werkgever/verwerkingsverantwoordelijke) er geen nood is aan een verwerkersovereenkomst.

Het beroepsgeheim is één element. Laat uw personeel - vervangers, maar ook vast personeel - zeker en vast ook een confidentialiteitsverklaring ondertekenen.

 

Mag een patiënt vragen om gegevens uit zijn dossier te verwijderen? 

Algemeen heeft de patiënt het recht om de verwerking van zijn gegevens stop te zetten in de gevallen die opgesomd staan in art. 17, 1 GDPR (het zogenaamde recht op op vergetelheid).

Wanneer geldt dat recht niet? Zie hiervoor art. 17, 3 GDPR: "om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9, lid 2, punten h) en i), en artikel 9, lid 3"

Art. 9, lid 2, punt h): “de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, [...], het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten.”

Art. 9, lid 2, punt i): “de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen.”

Art. 9, lid 3: “De persoonsgegevens mogen worden verwerkt voor de in lid 2, punt h), genoemde doeleinden wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim is gebonden.”

 

Een apotheker kan maar gezondheidszorg verstrekken en hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en de geneesmiddelen of medische hulpmiddelen garanderen wanneer hij beschikt over de gegevens van de patiënt. Bovendien is de apotheker onderworpen aan het beroepsgeheim.

De apotheker valt onder de uitzonderingsgronden, en moet dus niet ingaan op de vraag van een patiënt om zijn gegevens (patiëntendossier) te wissen. 


Hoe ‘formeel’ moet je als apotheker de toestemming van een patiënt hebben of kunnen aantonen? Hoe moet een gemachtigde dat kunnen aantonen?

De toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt.

De gemachtigde is de persoon die door de patiënt is aangeduid. Deze gemachtigde moet dat kunnen bewijzen. Het KB 21 januari 2009 bepaalt niet op welke manier dit moet gebeuren. De apotheker is dus niet verplicht een schriftelijk bewijs te vragen aan de gemachtigde, maar hij kan dit wel als hij twijfels heeft.

 

Wat moet ik doen wanneer ik vaststel dat patiëntgegevens zijn gelekt (bv. door diefstal van een USB-stick met daarop het klantenbestand of door verzenden van gegevens naar een foutief e-mailadres)?

Een datalek is iedere inbreuk op de beveiliging waarbij persoonsgegevens verloren zijn gegaan, of ongeoorloofd zijn gewijzigd, verstrekt of ingezien.

U bent verplicht om dit te registreren. Daarbij moet u voor elk datalek het volgende opnemen:

-  een korte omschrijving van het lek;
-  wanneer het plaatsvond;
-  wat er met de gegevens is gebeurd (zijn ze verloren gegaan, of door een onbevoegde ingezien, gekopieerd of gewijzigd?);
-  van welke groep(en) personen er gegevens gelekt zijn, en om hoeveel personen het gaat;
-  om welke soorten gegevens het gaat
-  wat de gevolgen van de inbreuk zijn
-  welke maatregelen (schadebeperkend als preventief) u genomen heeft

Bovendien moet u de Privacycommissie van het lek op de hoogte brengen wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In dat geval dient de melding te gebeuren binnen de 72 uren na kennisname van het lek.

U neemt daarbij gemakkelijkheidshalve in over wat u in het register noteerde.

Indien de inbreuk een waarschijnlijk hoog risico inhoudt voor de rechten en de vrijheden van natuurlijke personen, dient het datalek eveneens meegedeeld te worden aan de betrokkenen zelf, tenzij:

-  de gegevens werden onbegrijpelijk gemaakt, bijvoorbeeld door versleuteling
-  er maatregelen werden genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkenen zich waarschijnlijk niet meer zullen voordoen
-  de mededeling onevenredige inspanningen zou vergen en de onderneming in een openbare mededeling of persbericht voorziet

 

Ik gebruik op mijn website van de apotheek Google Analytics. Verandert er hier iets?

Strikt genomen gebruikt Google Analytics (GA) analytische cookies. Dit zijn niet-functionele cookies en vereisen dus toestemming, maar u kunt de instellingen van uw Google Analytics-account aanpassen om te voldoen aan de GDPR.

Het idee achter deze wijzigingen is dat uw Google Analytics-cookies in de strikte betekenis third party cookies zijn en dat Google deze gegevens vandaag gebruikt op een pseudonieme – maar niet geanonimiseerde – manier.

Zorg er eerst voor dat u akkoord gaat met een contractwijziging in uw instellingen voor Google om op te treden als gegevensverwerker. Het is geen standaard aangevinkt kader, dus zoek het op en controleer het. Klik vervolgens, zodra u zich in de instellingen van uw Google GA-account bevindt, het vinkje weg voor het delen van uw gegevens met Google. Laat ten slotte Google het volledige IP-adres niet verwerken. Dit is een script dat u kunt toevoegen aan Google JavaScript op uw webserver (eenvoudig online te vinden).

 

Wat moet ik doen indien een patiënt mij vraagt om zijn gegevens te corrigeren?

Op basis van artikel 16 van de GDPR heeft de patiënt dit recht. U moet dus op zijn verzoek ingaan. Bovendien moet u in dat geval eveneens alle partijen aan wie u deze gegevens bezorgde, van deze wijziging op de hoogte brengen, voor zover dit niet onmogelijk blijkt of onevenredig veel inspanning vergt.

 

Hoe zorg ik ervoor dat ik nog steeds marketingmails kan versturen naar mijn patiënteel?

Marketingmails veronderstellen de explicitiete toestemming van de patiënt. Op het document dat (of desnoods de klantenkaart zelf die) u de patiënt laat invullen, met daarop zijn persoonsgegevens (zoals naam, adres en contactgegevens), kan u laten aanduiden of de patiënt in kwestie marketingmails wilt ontvangen of niet.

 

De GDPR staat ook toe dat ik persoonsgegevens verwerk op basis van de uitdrukkelijke toestemming van de betrokkene (lees: patiënt, andere derde). Hoe dien ik deze toestemming te registreren?

Een verwerking kan inderdaad rechtmatig gebeuren indien u daarvoor de toestemming van de betrokkene heeft. In de meeste gevallen zal er echter een andere verwerkingsgrond aan de basis liggen, bv. een contract, de noodzaak om te voldoen aan de wettelijke bepalingen die u opgelegd worden (namelijk het verstrekken van zorg).

De toestemming dient te worden gegeven door middel van een duidelijke actieve handeling. Een mondelinge verklaring van de betrokkene kan dus volstaan. Echter is het wel zo dat, wanneer een verwerking plaatsvindt op basis van de toestemming, je als verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene zijn toestemming heeft gegeven. In bepaalde gevallen bestaan er reeds documenten via dewelke u de toestemming kan registreren (bv. voor het GFD). In alle andere gevallen u best de template die u kan downloaden op onze site.

U kan gemakkelijkheidshalve deze templates – ingevuld – ook plaatsen aan de afleveringsbalie van de apotheek. Daar verstrekt de patiënt u namelijk zijn gegevens. Op dat moment kan u hem altijd wijzen op het document.

 

Wat met de poetsvrouw en vertrouwelijke documenten? Onze secretaresse overloopt de brieven van de specialisten en geeft zo vb chronische diagnoses in, past zo nodig medicatieschema aan, vult vaccinatieschema aan zo nodig....ze heeft dus momenteel toegang tot alle gegevens want anders kan ze maar helft van haar job meer doen. Hoe doe je dat correct?

Hiervoor neemt u best contact op met uw sociaal secretariaat. Zij zullen u normaal gezien de nodige documenten kunnen verschaffen.

 

Als een medisch thuisdossier nier meer wordt teruggevonden bij de patient moet men dit dan melden aan de privacycommissie?

Neen, dat is de verantwoordelijkheid van de patiënt zelf.

 

Moet ik met alle partijen waarmee ik gegevens uitwissel een verwerkersovereenkomst afsluiten?

Neen. Met ‘ketenpartners’ (andere zorgorganisaties of zorgverleners die in samenhang met u zorg verlenen; thuiszorg, ziekenhuizen, huisartsen, etc.) dient u dit niet te doen. Dit zijn partijen die net zoals u verwerkingsverantwoordelijken zijn en waarbij er sprake is van een zekere mate van continuïteit van activiteiten. Het uitwisselen van (persoons)gegevens gebeurt hier in relatie tot de behandeling van een patiënt.

Een verwerkersovereenkomst dient uitsluitend afgesloten te worden met een partij die in uw opdracht persoonsgegevens verwerkt.

 

Moet mijn onderneming/organisatie een DPO – Data Protection Officer hebben?

Het antwoord hierop is niet eenduidig. Een DPO is vereist indien je hoofdzakelijk bent belast met grootschalige verwerking van bijzondere categorieën van gegevens (lees: gezondheidsgegevens). De Privacycommissie (voor 25 mei 2018 de bevoegde instantie) antwoordde dat dit geval per geval beoordeeld moet worden.

 

Wanneer moet een gegevensbeschermingsbeoordeling worden uitgevoerd?

Een gegevensbeschermingsbeoordeling is noodzakelijk wanneer verwerking waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van personen. Een gegevensbeschermingsbeoordeling is ten minste in de volgende gevallen vereist:

  • een systematische en uitgebreide beoordeling van de persoonlijke aspecten van personen, inclusief profilering;
  • verwerking op grote schaal van gevoelige gegevens;
  • stelselmatige en grootschalige monitoring van openbare ruimten.

 

Welke persoonsgegevens worden als gevoelig beschouwd? (1)

De volgende gegevens worden als „gevoelig” beschouwd en vallen onder specifieke verwerkingsvoorwaarden

  • persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen blijken;
  • lidmaatschap van een vakbond;
  • genetische gegevens, biometrische gegevens die enkel worden verwerkt om een persoon te identificeren;
  • gegevens over gezondheid;
  • gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

 

Onder welke voorwaarden mag mijn onderneming/organisatie gevoelige gegevens verwerken? (1)

Uw onderneming/organisatie mag uitsluitend gevoelige gegevensverwerken indien aan een van de volgende voorwaarden is voldaan:

  • de uitdrukkelijke toestemming van het individu is verkregen (een wet kan deze mogelijkheid in bepaalde gevallen uitsluiten);
  • wetgeving van de EU of van de betrokken EU-lidstaat of een collectieve overeenkomst vereist dat uw onderneming/organisatie de gegevens verwerkt om aan haar verplichtingen en rechten, en die van de betrokkenen, te voldoen op het gebied van werkgelegenheid, sociale zekerheid en wetgeving inzake sociale bescherming;
  • de vitale belangen van de betrokkene, of van een persoon die fysiek of juridisch niet in staat is toestemming te geven, staan op het spel;
  • u bent een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is en gegevens verwerkt over uw leden of over personen die regelmatig contact met uw organisatie onderhouden;
  • de persoonsgegevens zijn door de betrokkene duidelijk openbaar gemaakt;
  • de gegevens zijn noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
  • de gegevens worden verwerkt om redenen van zwaarwegend algemeen belang op grond van EU- of nationaal recht;
  • de gegevens worden verwerkt voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, voor medische diagnoses, voor het verstrekken van gezondheidszorg, sociale zorg of behandelingen, of voor het beheer van stelsels en diensten voor gezondheidszorg en sociale zorg, op grond van EU- of nationale wetgeving, of op grond van een overeenkomst met een zorgverlener;
  • de gegevens worden verwerkt om redenen van algemeen belang op het gebied van volksgezondheid op grond van EU- of nationale wetgeving;
  • de gegevens worden verwerkt met het oog op archivering, wetenschappelijk of historisch onderzoek of statistische doeleinden op grond van EU- of nationale wetgeving.

 

Hoe dient te worden omgegaan met verzoeken van personen die hun rechten inzake gegevensbescherming uitoefenen? (1)

Personen kunnen contact opnemen met uw onderneming/organisatie om hun rechten in het kader van de AVG uit te oefenen (recht op inzage, rectificatie, verwijdering, overdraagbaarheid enz.). Wanneer persoonsgegevens elektronisch worden verwerkt, moet uw onderneming/organisatie de mogelijkheid bieden om verzoeken langs elektronische weg in te dienen. Uw onderneming/organisatie moet hun verzoeken zonder onnodige vertraging en in principe binnen 1 maand na ontvangst van het verzoek beantwoorden.

Uw onderneming/organisatie mag de betrokkenen om aanvullende informatie vragen om de identiteit te bevestigen van de indieners van het verzoek.

Als uw onderneming/organisatie het verzoek afwijst, moet zij de betrokkenen in kennis stellen van de redenen daarvoor en van hun recht om een klacht in te dienen bij de gegevensbeschermingsautoriteit en beroep in te stellen bij de rechter.

De behandeling van verzoeken van personen dient kosteloos te geschieden. Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag u een redelijke vergoeding aanrekenen of weigeren gevolg te geven.

 

Welke persoonsgegevens en informatie kan een persoon op verzoek inzien?

Wanneer iemand om inzage in zijn persoonsgegevens verzoekt, moet uw onderneming/organisatie:

  • bevestigen of uw onderneming/organisatie al dan niet persoonsgegevens over de betrokkene verwerkt;
  • een kopie verstrekken van de persoonsgegevens die uw onderneming/organisatie in haar bezit heeft;
  • informatie verstrekken over de verwerking ervan (zoals doeleinden, categorieën persoonsgegevens, ontvangers enz.).

Uw onderneming/organisatie moet de betrokkene kosteloos een kopie van zijn of haar persoonsgegevens verstrekken. Voor extra kopieën kan echter een redelijke vergoeding worden gevraagd.

De uitoefening van het recht op inzage is nauw verbonden met de uitoefening van het recht op gegevensoverdraagbaarheid, zodat de betrokkene zijn gegevens aan een andere onderneming/organisatie kan doorgeven.

Het is belangrijk dat in de privacyverklaring van uw onderneming/organisatie een duidelijk onderscheid wordt gemaakt tussen beide rechten. Om die reden moeten beide rechten kort en bondig apart worden vermeld.

 

 

(1) © Europese Unie, 1995-2017

https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_nl

© 2021 KLAV - Ilgatlaan 5 - 3500 Hasselt - T: 011/28 78 00 - F: 011/28 78 01 - info@klav.be - Sitemap - Disclaimer - Privacy Policy