WBP handleiding bij het invoeren van de Wet bescherming persoonsgegevens

WBP handleiding bij het invoeren van de Wet bescherming persoonsgegevens - Nadere informatie over de WBP - Stappenplan t.b.v. invoering en implementatie - Handreiking voor het opstellen van een privacyreglement

augustus 2001

Uitgave ‘WBP, handleiding bij het invoeren van de Wet bescherming persoonsgegevens’ is een gezamenlijke uitgave van Arcares, brancheorganisatie verpleging & verzorging, GGz Nederland, NVZ vereniging van ziekenhuizen, Vereniging Gehandicaptenzorg Nederland en VOG ondernemersorganisatie voor welzijn, jeugdhulpverlening en kinderopvang. Bestelling Van deze uitgave kunt u onder vermelding van het publicatienummer en het gewenste aantal extra exemplaren bestellen bij uw brancheorganisatie: Arcares, brancheorganisatie verpleging & verzorging Afdeling verkoop publicaties Arcares, voor bestelformulieren: tel. 030 273 93 93 bestelnummer: 01.016 GGz Nederland fax: 030 28 94 870 bestelnummer: 148L NVZ, vereniging van ziekenhuizen SpectraFacility Afdeling Verkoop Publikaties Postbus 9696 3506 GR Utrecht fax 030 27 39 454 bestelnummer: 4-2001-005 VGN VGN afdeling publicaties Postbus 413 3500 AK Utrecht fax: 030 27 39 387 e-mail: [email protected] VOG, ondernemersorganisatie voor welzijn, jeugdhulpverlening en kinderopvang e-mail: [email protected] fax: 030 2983437 bestelnummer: OVE0046 Prijs Per exemplaar wordt een het volgende bedrag exclusief verzendkosten in rekening gebracht. Leden: f 10,€ 4,54 Niet-leden: f 20,- € 9,00 (excl. BTW)

2 WBP, handleiding bij het invoeren van de Wet bescherming persoonsgegevens

Inhoud pagina 1. Inleiding

5

2. Nadere informatie over de wet

7

a. Nieuwe begrippen b. Criteria voor de toelaatbaarheid van het verwerken van persoonsgegevens c. Controle op het naleven van de WBP

7 9 13

bijlage: Grondslagen voor het verwerken van persoonsgegevens

14

3. Stappenplan ter implementatie van de WBP

16

4. Handreiking voor een privacyreglement

25


Voorwoord Op 1 september 2001 zal de Wet bescherming persoonsgegevens (WBP) in werking treden als opvolger van de Wet persoonsregistraties. De invoering van deze wet zal gevolgen hebben voor de verwerking van persoonsgegevens in instellingen. Arcares, GGz Nederland, NVZ vereniging van ziekenhuizen, Vereniging Gehandicaptenzorg Nederland en VOG onderneming voor welzijn, jeugdhulpverlening en kinderopvang, hebben ten behoeve van de invoering en implementatie van de wet enig materiaal vastgesteld dat in deze bundel is opgenomen. De bundel bevat achtereenvolgens: ’Nadere informatie over de WBP’, ’Stappenplan ten behoeve van de invoering en implementatie’ en ’Handreiking voor het opstellen van een privacyreglement’1. De samenstellers, juristen werkzaam bij de onderscheiden brancheorganisaties, menen met het opstellen van deze bundel tegemoet te komen aan uw verzoek om adequaat materiaal. De samenstellers wensen u succes met uw werkzaamheden.

1

Voor de leden van de VOG ontvangen dienaangaande een aparte brochure.


1.

Inleiding

Wet bescherming persoonsgegevens In september 2001 zal een nieuwe wet in werking treden, die specifiek de bescherming van persoonsgegevens regelt: de Wet bescherming persoonsgegevens (WBP). Deze wet vervangt de wet die de bescherming van persoonsgegevens op dit moment regelt, namelijk de Wet persoonsregistraties (WPR). De nieuwe wet brengt een aantal wijzigingen met zich mee ten opzichte van de oude wet. Daarbij zullen de onder de WPR ontwikkelde instrumenten voor het omgaan met persoonsgegevens in de instelling goed gebruikt kunnen worden. Om de overgang van WPR naar WBP in uw instelling zo soepel mogelijk te laten verlopen, hebben de gezamenlijke brancheorganisaties voor instellingen in de sectoren zorg en welzijn informatiemateriaal ontwikkeld. Hierbij ontvangt u: - Een stappenplan met daarbij nadere informatie over de wet (inclusief bijlage) - Een handreiking voor een privacyreglement Deze informatie dient ter ondersteuning van de toepassing van de WBP in uw instelling. Naast deze informatie bieden bovengenoemde brancheorganisaties u de mogelijkheid gebruik te maken van de helpdesk WBP voor het beantwoorden van vragen over de praktische invoering van de wet.

Het stappenplan In de nieuwe wet wordt niet alleen de bescherming geregeld van gegevens die in eengegevensbestand zijn vastgelegd, zoals in de WPR. Het gehele proces van gegevensverwerking, van het verzamelen tot het vastleggen en doorgeven van persoonsgegevens, dient volgens de nieuwe wet aan zorgvuldigheidseisen te voldoen. Met behulp van dit stappenplan kunt u de benodigde maatregelen nemen om uw verwerkingen van persoonsgegevens te inventariseren en in overeenstemming te brengen met de eisen van de wet. De WBP eist dat een instelling de verschillende verwerkingen van persoonsgegevens inzichtelijk maakt. Bepaalde gegevensverwerkingen moeten worden aangemeld bij het nieuw toezichthoudend orgaan, het College bescherming persoonsgegevens (CBP). Na de inwerkingtreding van de WBP op 1 september 2001 heeft u één jaar de tijd om de bestaande registraties die bij de huidige registratiekamer zijn aangemeld opnieuw aan te melden bij het CBP.


Handreiking voor een privacyreglement Onder de WPR diende de instelling voor de registraties van persoonsgegevens een reglement op te stellen. Onder de WBP is de reglementsplicht vervallen. Wel is er onder de WBP een uitgebreidere aanmeldingsverplichting ingevoerd dan onder de WPR het geval was. De brancheorganisaties krijgen van de leden echter vele verzoeken een reglement uit te geven. Besloten is daarom een handreiking voor een privacyreglement op te stellen. Deze handreiking is in het materiaal opgenomen. Helpdesk Voor de individuele ondersteuning van de leden is door de genoemde verenigingen een gezamenlijke helpdesk WBP opgericht. De helpdesk zal vragen beantwoorden van directies en bestuur van instellingen en van medewerkers die belast zijn met het implementeren van de wet in de organisatie. U kunt vanaf 3 september 2001 telefonisch of per e-mail contact opnemen met de medewerkers van deze helpdesk. De helpdesk is telefonisch te bereiken: 030 273 92 22. Het e-mail adres is [email protected] De openingstijden zijn op werkdagen van 9.00 uur tot 12.00 uur. Verder zal de helpdesk de leden van nadere informatie en uitleg over de WBP voorzien door te publiceren in de verschillende nieuwsbrieven die door de verenigingen worden uitgegeven. Aan de orde komen zeker vragen die veel aan de helpdesk worden gesteld. Ook zal de helpdesk op deze manier meer specifieke onderwerpen nader aan de orde kunnen stellen.


2.

Nadere informatie over de wet

a. Nieuwe begrippen Voor de toepassing van de WBP is een aantal begrippen belangrijk die in de WPR niet voorkomen of anders zijn omschreven. Deze nieuwe begrippen worden hier kort behandeld. Kennis hiervan is nodig voor een goede toepassing van het stappenplan. •

Persoonsgegevens: een gegeven is een ”persoonsgegeven” in de zin van de WBP wanneer het gegeven informatie bevat over een geïdentificeerde of identificeerbare natuurlijke persoon. ”Geïdentificeerd” wil zeggen dat degene op wie de gegevens betrekking hebben, zonder meer bekend is. ”Identificeerbaar” wil zeggen dat uit de gegevens die zijn vastgelegd redelijkerwijs kan worden achterhaald om welke persoon het gaat. Een gegeven is een persoonsgegeven zodra het informatie geeft over iemand. Daarmee is zijn privacy in het geding. Het gegeven dat iemand voor een bepaald bedrijf werkt is bijvoorbeeld al een persoonsgegeven. Een gegeven is geen persoonsgegeven als de informatie niet gekoppeld kan worden aan een bepaalde persoon, zoals bijvoorbeeld het geval kan zijn bij gegevens die geanonimiseerd zijn. De inhoud van “persoonsgegevens” is onder de WBP ten opzichte van de WPR niet gewijzigd.

•

Verwerking van persoonsgegevens: “verwerking” in de zin van de WBP is iedere handeling en ook ieder geheel van handelingen dat ten aanzien van persoonsgegevens wordt uitgevoerd. Onder “verwerking” worden in de eerste plaats diverse typen handelingen begrepen. Zo zijn verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, met elkaar in verband brengen, maar ook afschermen, uitwissen of vernietigen van gegevens allemaal vormen van “verwerking”. In de tweede plaats wordt onder “verwerking” het gehele samenhangende proces verstaan dat een bepaald soort persoonsgegevens onder verantwoordelijkheid van een organisatie doormaakt, vanaf het moment van verzamelen tot en met vernietiging. De “verwerking” van persoonsgegevens staat centraal in de WBP. Een verschil met de WPR is dat niet zozeer de bescherming is gericht op het gegevensbestand (de registratie). De WBP legt er vooral de nadruk op dat de activiteiten die rondom het gegevensbestand plaatsvinden, aan de in de wet gestelde zorgvuldigheidseisen moeten voldoen.

•

Betrokkene: de “betrokkene” is degene op wie een persoonsgegeven betrekking heeft. Onder de WPR was dit de “geregistreerde”.

•

Verantwoordelijke voor de gegevensverwerking: de “verantwoordelijke voor de gegevensverwerking” in de zin van de WBP is de natuurlijke persoon of de rechtspersoon die het doel en de middelen voor de gegevensverwerking vaststelt. De “verantwoordelijke voor de gegevensverwerking” dient ervoor te zorgen dat aan de eisen die de WBP stelt ten aanzien van het omgaan met persoonsgegevens, wordt voldaan. Onder de WPR werd gesproken van de “houder” van de registratie, die diende te zorgen voor naleving van de wet. De “houder” had


de verantwoording voor het zorgvuldig omgaan met de gegevens in het gegevensbestand. Ook de “verantwoordelijke voor de gegevensverwerking” is daarvoor onder de WBP verantwoordelijk. Het verschil is dat de verantwoordelijke nog meer dan voorheen actief moet zorgen dat de verwerkingen van de gegevens uit het gegevensbestand, zoals het verzamelen en het verstrekken, zorgvuldig en naar behoren geschieden •

Informatieplicht: de betrokkene moet door de instelling worden geïnformeerd over welke gegevens er over hem worden verzameld, wat het doel daarvan is, hoe in grote lijnen met de gegevens door de instelling wordt omgegaan en aan wie de gegevens buiten de instelling worden verstrekt. Hiermee krijgt de betrokkene inzicht in welke gegevens door wie over hem worden vastgelegd en gebruikt. De WPR legde de “houder” van een gegevensbestand deze verplichting ook al op. De betrokkene kon deze informatie achterhalen via het reglement van de instelling. De WBP vraagt van de “verantwoordelijke voor de gegevensverwerking” een actievere houding. De betrokkene zal persoonlijk informatie verstrekt moeten krijgen. Dit kan bijvoorbeeld door bij het eerste contact met de betrokkene een informatiefolder uit te reiken waarin is vermeld om welk soort gegevens het gaat, wat daar in grote lijnen binnen de instelling mee gebeurt, aan wie de gegevens worden verstrekt en wat de rechten zijn van de betrokkenen.

•

College bescherming persoonsgegevens: Het CBP is het orgaan dat door de WBP wordt aangewezen om toe te zien op de verwerking van persoonsgegevens plaatsvindt overeenkomstig de wet. Onder de WPR werd dit toezicht uitgeoefend door de Registratiekamer. De Registratiekamer is met ingang van de nieuwe wet het CBP geworden. Naast de toezichthoudende taak heeft het CBP ook een adviserende taak. Bij het CBP zijn folders verkrijgbaar en kunnen vragen over de WBP worden gesteld. Voor informatie over de nieuwe wet kunt u kijken op www.cbpweb.nl, de website van het CBP. U kunt ook telefonisch contact opnemen met de medewerkers van het CBP. Het telefonisch spreekuur is iedere werkdag van 9.00 tot 12.30 uur, telefoonnummer 070 381 13 00.

•

Melding: De reglementsplicht op grond van de WPR wordt onder de nieuwe wet vervangen door de algemene verplichting om gegevens aan te melden. De WBP eist dat de verantwoordelijke de verschillende gegevensbestanden en de handelingen die daarmee plaatsvinden (de gegevensverwerking in de zin van de WBP) in kaart brengt. Per gegevensbestand dient een overzicht te worden gemaakt van gegevens, betrokkenen, doelstellingen, verwerkingen en degenen die deze verwerkingen uitvoeren. De WBP noemt dit “melding”. Deze meldingsplicht geldt alleen voor geautomatiseerde gegevens; niet geautomatiseerde gegevens hoeft u doorgaans niet te melden. Bepaalde soorten van veel voorkomende verwerkingen zijn vrijgesteld. Deze zijn opgesomd in het vrijstellingsbesluit (zie hierna).


U kunt uw gegevensverwerkingen aanmelden op de volgende manieren: - Met behulp van het het WBP-meldingsprogramma te vinden op de website van het CBP. - Door middel van het invullen van de WBP-diskette of het WBP-meldingsformulier. De diskette en het formulier zijn te telefonisch te bestellen, telefoonnummer 070 381 22 40 en/of 381 22 43. De registraties die op dit moment bij de registratiekamer bekend zijn dienen opnieuw te worden aangemeld. Voor het opnieuw aanmelden geldt een overgangstermijn van 1 jaar. U heeft dus tot 1 september 2002 de tijd om deze bestaande registraties opnieuw aan te melden volgens de nieuwe eisen van de WBP. Nieuwe verwerkingen en wijzigingen van bestaande verwerkingen moeten vanaf 1 september 2001 steeds vooraf worden gemeld. •

Vrijstelling: In het Vrijstellingsbesluit behorend bij de WBP is geregeld welke van deze geautomatiseerde verwerkingen van persoonsgegevens niet hoeven te worden aangemeld bij het CBP. Het gaat met name om verwerkingen voor standaarddoeleinden waarbij geen privacygevoelige gegevens zijn vastgelegd. Denk bijvoorbeeld aan een personeelsadministratie of een ledenadministratie. De zorgvuldigheidseisen van de WBP voor het werken met persoonsgegevens zijn niettemin onverkort van toepassing op vrijgestelde verwerkingen. Het feit dat een verwerking niet hoeft te worden aangemeld wil dus niet zeggen dat niet aan de WBP hoeft te worden voldaan: vrijgestelde verwerkingen vallen dus gewoon onder de WBP. Vrijgestelde verwerkingen hoeven niet, maar mogen altijd op eigen initatief van de verantwoordelijke worden aangemeld. Op de website van het CBP is een handreiking Vrijstellingsbesluit WBP online beschikbaar. Aan de hand van deze interactieve checklist kunt u nagaan of een gegevensverwerking vrijgesteld is van melding.

•

WBP-privacyfunctionaris: Op grond van de WBP kunt u een privacyfunctionaris benoemen. U kunt uw gegevensverwerkingen dan bij deze persoon aanmelden in plaats van bij het CBP. De privacyfunctionaris kan door de verantwoordelijke worden benoemd, maar ook door een organisatie waarbij meer verantwoordelijken zijn aangesloten, bijvoorbeeld een brancheorganisatie. Vooralsnog zijn de brancheorganisaties in de zorg niet voornemens een dergelijke WBP-privacyfunctionaris te benoemen. Het CBP zal de bevoegdheden en de taken van de privacyfunctionaris nader definiëren en omschrijven in een brochure over de privacyfunctionaris.

b.

Criteria voor de toelaatbaarheid van het verwerken van persoonsgegevens

De WBP bevat een aantal criteria om te beoordelen of de verwerking van persoonsgegevens door de instelling rechtmatig is. Deze zorgvuldigheidseisen worden hier genoemd en kort toegelicht. In het stappenplan komen deze opnieuw aan de orde.


• Behoorlijke en zorgvuldige gegevensverwerking (art. 6 WBP) Volgens de WBP moeten de gegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. “Verwerkt worden” wil zeggen: verzamelen, vastleggen, bewaren, gebruiken, verstrekken, enz. •

Verzamelen van persoonsgegevens dient een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel (art. 7 WBP) Aan het verzamelen van persoonsgegevens en daarmee het aanleggen van bestanden stelt de WBP specifieke zorgvuldigheidseisen. Persoonsgegevens worden voor een bepaald doel verzameld. De WBP legt de verantwoordelijke op ervoor te zorgen dat deze doeleinden welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Dit betekent dat zonder exacte doelomschrijving de instelling geen gegevens mag verzamelen. Deze doelomschrijvingen zijn verder nodig om een gegevensverwerking te kunnen aanmelden. Welbepaald betekent dat de omschrijvingen van de doeleinden voor de gegevenswerking die de verantwoordelijke hanteert, helder zijn. Een goede inventarisatie van doelen is belangrijk omdat, nadat de doelen zijn vastgesteld, de instelling deze tijdens het verwerkingsproces niet zonder meer weer kan veranderen of uitbreiden. Wel mogen onder omstandigheden gegevens die de instelling voor een bepaald doel heeft verzameld, ook voor andere doeleinden worden verwerkt. Zie hieronder bij verenigbaarheid van doelen. Het oorspronkelijk doel moet dan verenigbaar zijn met het nieuwe doel. Uitdrukkelijk omschreven houdt in dat voordat tot het verzamelen van gegevens wordt overgegaan de verantwoordelijke het doel waarvoor hij de gegevens verwerkt, op schrift vastlegt. In verband met de invoering van de WBP zal dat voor bestaande gegevensbestanden alsnog moeten gebeuren. Gerechtvaardigd wil zeggen dat het doel niet in strijd is met een wet, de openbare orde of de goede zeden. Verder zal het doel terug te voeren moeten zijn op een van de in de WBP genoemde grondslagen (zie volgende zorgvuldigheidseis). • Grondslagen voor gegevensverwerking (art. 8 WBP) De WBP noemt zes geldige redenen om persoonsgegevens te verzamelen en te verwerken. De handelingen die ten aanzien van persoonsgegevens binnen de instelling plaatsvinden, moeten dus ieder op een of meer van deze legitimeringsgronden terug te voeren zijn. Een van deze gronden is toestemming van de betrokkene. Maar er zijn dus ook andere gronden voor het verzamelen en verwerken mogelijk, naast toestemming. In bijlage 1 worden deze grondslagen genoemd en wordt bij elke grondslag een nadere toelichting gegeven.


• Grondslagen voor het verwerken van bijzondere persoonsgegevens (art. 16-23 WBP) De WBP heeft aparte gronden geformuleerd om persoonsgegevens te mogen verwerken als er sprake is van “bijzondere persoonsgegevens”. Met deze gegevens moet extra zorgvuldig worden omgegaan omdat zij extra privacygevoelig zijn. Deze gegevens mogen in principe niet worden verwerkt, tenzij om een van deze apart geformuleerde redenen. De WPR kende ook zulke speciale categorieën van gegevens en noemde deze “gevoelige persoonsgegevens”. In de WBP zijn als speciale categorieën van persoonsgegevens benoemd: 1. godsdienst of levensovertuiging; 2. ras; 3. politieke gezindheid; 4. gezondheid; 5. seksuele leven; 6. lidmaatschap van een vakvereniging; 7. strafrechtelijke persoonsgegevens; 8. persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod). In de bijlage worden de grondslagen voor deze bijzondere gegevens nadere beschreven en toegelicht. •

Gegevensverwerking is niet onverenigbaar met het doel waarvoor de gegevens zijn verzameld (art. 9 WBP) De verwerking moet in de eerste plaats zijn terug te voeren zijn op een of meer van de genoemde legitimeringsgronden (zie hierboven). In de tweede plaats geldt dat verwerking van de verzamelde persoonsgegevens niet onverenigbaar mag zijn met het doel waarvoor de gegevens zijn verzameld. Of er sprake is van een onverenigbare verwerking, hangt af van de omstandigheden van het geval. De WBP noemt een aantal factoren die daarbij van belang zijn. De factoren die de WBP noemt zijn: 1. De mate van verwantschap tussen het oorspronkelijke doel en het doel van de verwerking: hoe meer de twee doeleinden bij elkaar liggen, hoe eerder de verdere verwerking geoorloofd zal zijn. 2. De aard van de gegevens: hoe gevoeliger de gegevens zijn, des te minder snel mag worden aangenomen dat deze gegevens ook voor andere doeleinden mogen worden gebruikt. 3. De gevolgen van de beoogde verdere verwerking voor de betrokkene: als de gevolgen voor de betrokkene van de verdere verwerking ingrijpend zijn, moet sneller worden aangenomen dat de gegevens niet voor dat andere doel mogen worden gebruikt. Denk bijvoorbeeld aan de situatie waarin het gebruikt ertoe leidt dat over de betrokkene een beslissing wordt genomen. 4. De wijze waarop de gegevens zijn verkregen en de mate waarin daarbij passende waarborgen voor de betrokkene zijn genomen: als u de gegevens niet van de betrokkene zelf heeft verkregen, moet sneller worden aangenomen dat de gegevens niet voor dat andere doel mogen worden gebruikt.


Ook andere factoren die niet in de WBP worden genoemd, kunnen echter een rol spelen. Te denken is aan bijvoorbeeld de verwachting die een betrokkene redelijkerwijs heeft van het gebruik van zijn gegevens die worden vastgelegd. Steeds moeten alle mogelijk factoren worden meegewogen om zo tot een totaaloordeel te komen. Vooral wanneer persoonsgegevens nodig zijn voor onderzoek, kan de vraag naar verenigbaarheid aan de orde komen. Voor dat doel zijn immers de persoonsgegevens over het algemeen niet verzameld. De WBP bepaalt dat verdere verwerking voor historische, statistische of wetenschappelijke doeleinden is toegestaan. De instelling moet dan wel zorgen dat de onderzoeker met de gegevens zorgvuldig omgaat, bijvoorbeeld door het afgesproken gebruik te laten vastleggen in een overeenkomst. Verwerking voor onderzoek is weer niet toegestaan als de geheimhoudingsplicht van een hulpverlener verbiedt de gegevens te verstrekken. Voor onderzoek met cliëntgegevens bestaan specifieke bepalingen in specifieke wetgeving, zoals de WGBO. Deze regels hebben voorrang op de bepalingen van de WBP. •

Gegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor verzameld (art. 10 WBP) De WBP bepaalt dat de persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld en worden verwerkt. Daarnaast stelt bijzondere wetgeving specifieke eisen aan de bewaartermijnen. Deze specifieke bepalingen hebben voorrang boven de algemene bepalingen van de WBP. Zo stelt de WGBO dat patiëntgegevens 10 jaar moeten worden bewaard, te rekenen vanaf het tijdstip waarop zij zijn vastgelegd, en bepaalt het Besluit patiëntendossier BOPZ dat bescheiden moeten worden bewaard tot 5 jaar na beëindiging van hulpverlening aan een onvrijwillig opgenomen cliënt. •

De gegevens zijn toereikend, terzake dienend, niet bovenmatig, juist en nauwkeurig (art. 11 WBP) Het verzamelen en verwerken van gegevens moet toereikend, ter zake dienend en niet bovenmatig zijn. Kortom: er mogen niet meer gegevens worden verzameld en verwerkt dan nodig is. De instelling moet verder waarborgen dat de gegevens die verzameld en verwerkt worden, juist en nauwkeurig zijn. • Uitdrukkelijke bevoegdheid en geheimhoudingplicht (art. 12 WBP) Degenen die met de persoonsgegevens van de instelling werken moeten daartoe door de instelling uitdrukkelijk de bevoegdheid hebben gekregen. Verder hebben deze medewerkers of bewerkers geheimhoudingsplicht over de informatie waartoe zij toegang hebben. Medewerkers voor wie niet al uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt is op grond van artikel 12 lid 2 ook verplicht tot geheimhouding van persoonsgegevens waarvan zij kennisnemen.


•

Passende technische en organisatorische maatregelen tegen verlies en onrechtmatige verwerking te beschermen (art. 13 WBP) Passende beveiliging betekent volgens de WBP dat de instelling in zijn keuze voor de methode van beveiliging de volgende elementen moet meewegen: 1. De risico’s van de verwerking en de aard van de te beschermen gegevens: hoe gevoeliger de gegevens, hoe zwaarder de toegepaste beveiliging moet zijn. Zijn de gegevens minder gevoeilig, dan hoeven niet steeds de meest optimale beveiligingsmaatregelen te worden genomen. 2. De stand van de techniek en de kosten van de maatregelen: als de kosten van extra maatregelen uitzonderlijk hoog zijn ten opzichte van de toename in beveiligingsniveau, dan zijn die maatregelen niet passend en hoeft de instelling deze ook niet te nemen. Kan de instelling echter tegen geringe kosten komen tot een beduidend veiliger systeem, dan moet de instelling deze maatregelen nemen. De beveiliging moet steeds adequaat zijn. De instelling zal dus periodiek moeten nagaan of het systeem aanpassing behoeft.

c.

Controle op het naleven van de WBP

De WBP biedt aan het CBP (en de WBP-privacyfunctionaris als die is benoemd) de mogelijkheid de instelling aan te spreken op het niet naleven van de wet. Deze organen kunnen ook sancties opleggen. Verder kan de instelling door betrokkenen via de burgerlijke rechter worden aangesproken. De verantwoordelijke kan aansprakelijk worden gesteld voor schade wanneer die het gevolg is van een niet nakomen van de voorschriften van de WBP. De verantwoordelijke is niet aansprakelijk voor schade als hij kan aantonen dat hem geen verwijt treft. Niettemin kan de negatieve publiciteit rond het niet naleven van de WBP bijzonder nadelig zijn.


Bijlage Gronden voor gewone persoonsgegevens Gronden om gewone persoonsgegevens te mogen verwerken volgens de WBP zijn: 1. De betrokkene heeft daarvoor ondubbelzinnig zijn toestemming gegeven; 2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst die de instelling met de betrokkene heeft gesloten of de verwerking is noodzakelijk voor het sluiten van een overeenkomst waarom de betrokkene heeft verzocht; 3. De verwerking is noodzakelijk om een wettelijke verplichting na te komen; 4. De verwerking is noodzakelijk is om een vitaal belang van de betrokkene te waarborgen (bijv. zijn gezondheid of eigendom) en het is niet goed mogelijk de betrokkene om toestemming te vragen; 5. De verwerking is noodzakelijk voor de vervulling van een publiekrechtelijke taak; 6. De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van de instelling of van een derde aan wie gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. In de publicatie “Handleiding voor verwerkers van persoonsgegevens” door het ministerie van Justitie vindt u op p. 20-25 een uitgebreide toelichting op elk van deze grondslagen. Via internet: www.minjus.nl is de publicatie gratis te downloaden.

Gronden voor bijzondere persoonsgegevens Voor alle bijzondere persoonsgegevens geldt dat algemene grondslagen op basis waarvan zij mogen worden verwerkt zijn: 1. De betrokkene heeft uitdrukkelijk toestemming gegeven; 2. De betrokkene heeft de gegevens zelf al duidelijk openbaar gemaakt; 3. De verwerking is noodzakelijk voor het vaststellen, het uitoefenen of het verdedigen van een recht in een gerechtelijke procedure; 4. De verwerking geschiedt voor wetenschappelijk onderzoek of statistiek, mits het onderzoek een algemeen belang dient of de verwerking voor het betreffende onderzoek dan wel de betreffende statistiek noodzakelijk is of het vragen van uitdrukkelijke toestemming onmogelijk blijkt dan wel een onevenredige inspanning kost of bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Daarnaast gelden er per categorie bijzondere persoonsgegevens eigen grondslagen. Ook hier weer kunt u voor nadere toelichting op elke grondslag de publicatie “Handleiding voor verwerkers van persoonsgegevens” door het ministerie van Justitie raadplegen, p. 47-50.


Grondslagen voor verwerking van persoonsgegevens over iemands godsdienst of levensovertuiging zijn: 1. De verantwoordelijke is een kerkgenootschap of een genootschap op geestelijke grondslag; 2. De verantwoordelijke is een instelling op godsdienstige of levensbeschouwelijke grondslag, bijv. een islamitisch verzorgingshuis of een katholiek ziekenhuis. Grondslagen voor verwerking van persoonsgegevens over iemands ras zijn: 1. Identicatiedoeleinden; 2. Voorkeursbeleid. Grondslagen voor verwerking van persoonsgegevens over iemands politieke gezindheid zijn: 1. De verantwoordelijke is een instelling op politieke grondslag; 2. Politieke gezindheid is een eis die in redelijkheid kan worden gesteld aan de uitoefening van een functie. Grondslagen voor verwerking van persoonsgegevens over iemands lidmaatschap van een vakbond zijn: 1. De verantwoordelijke is een vakbond of vakcentrale. Grondslagen voor verwerking van persoonsgegevens over iemands gezondheid zijn: 1. De verantwoordelijke is een hulpverlener of instelling voor gezondheidszorg of instelling voor maatschappelijke dienstverlening; 2. De verantwoordelijke is een verzekeraar; 3. De verantwoordelijke is een raad voor de kinderbescherming of een instelling voor (gezins)voogdij; 4. De verantwoordelijke is een bestuursorgaan, een pensioenfonds, een werkgever of een uitvoeringsinstelling en heeft de gegevens nodig voor aanspraken die afhankelijk zijn van de gezondheidstoestand van betrokkene of voor reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden bij ziekte of arbeidsongeschiktheid. Grondslagen voor verwerking van strafrechtelijke persoonsgegevens of gegevens over een rechterlijk verbod naar aanleiding van onrechtmatig of hinderlijk gedrag zijn: 1. De verantwoordelijke is een orgaan dat op grond van de wet bevoegd is tot deze verwerkingen, bijv. de politie; 2. De verantwoordelijke verwerkt deze gegevens ten behoeve van zichzelf om op verzoek van betrokkene een besluit over hem te nemen of aan hem een prestatie te leveren; De verantwoordelijke verwerkt deze gegevens ten behoeve van zichzelf om zichzelf te beschermen tegen strafbare feiten die naar verwachting jegens hem of zijn medewerkers zullen worden gepleegd.


3.

Stappenplan2 ter implementatie

Door systematisch een aantal stappen te zetten kan een instelling voor gezondheidszorg de overgang naar de nieuwe situatie in goede banen leiden. Het stappenplan brengt de administratieve en organisatorische verplichtingen voor instellingen in beeld. Stap 1. Inventariseer alle verwerkingen van persoonsgegevens in de organisatie.

Doel van deze stap is een zo compleet mogelijk beeld te krijgen van aanwezige verzamelingen van persoonsgegevens in de organisatie waarop de WBP van toepassing kan zijn. Een gegeven is een persoonsgegeven zodra het informatie verschaft over iemand. Daarmee is zijn privacy in het geding. Door de ruime definitie van persoonsgegevens is al snel sprake van een verzameling waarop de WBP van toepassing is. Het zijn niet alleen de bekende, grotere persoonsregistraties die onder de WBP vallen. Ook minder voor de hand liggende bestanden vallen hieronder, zoals het geheugen van een faxapparaat en geautomatiseerde bedrijfsagenda’s. De WBP is van toepassing op “de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”. Op zowel handmatig toegankelijke als geautomatiseerde verzamelingen van persoonsgegevens is dus de WBP van toepassing. Voor handmatig toegankelijke bestanden geldt, wil de WBP van toepassing zijn, dat de gegevens deel uit moeten maken van een bestand, dat wil zeggen een gestructureerd geheel moeten vormen. Er zijn verschillende groepen betrokkenen. In de gezondheidszorg vormen patiënten/cliënten de grootste groep betrokkenen. Maar ook van anderen worden persoonsgegevens in een instelling verwerkt, bijvoorbeeld van personeel, van bestuursleden of commissarissen, van hulpverleners in andere organisaties naar wie cliënten verwezen worden, van personen uit de omgeving van de cliënten, zoals vertegenwoordigers. Door deze ruime definitie is een grondige inventarisatie van persoonsgegevens die verwerkt worden in de organisatie van groot belang. Het aanleggen van bestanden gebeurt in papieren en elektronische dossiers van cliënten, in registraties voor in- en extern gebruik, in de genoemde apparaten als PC’s en faxen. Ook in kwaliteitszorgsystemen worden persoonsgegevens verzameld. Zo vallen registratieformulieren bedoeld om te worden gebruikt bij data-invoer in geautomatiseerde registraties, onder de reikwijdte van de wet tenzij het gaat om anonieme gegevens.

2

Het stappenplan is gebaseerd op het 10 stappenplan van de heer mr.dr. J. Nouwt, Katholieke Universiteit Brabant,

Centrum voor Recht, Bestuur en Informatisering.


Stap 2. Ga na of de gegevensverwerking onder de WBP valt.

De WBP geeft een limitatieve opsomming van gegevensbestanden die uitgezonderd zijn van de reikwijdte van de wet: 1. Bestanden waarmee verwerkingen plaatsvinden voor persoonlijk gebruik zijn uitgezonderd, zoals werkaantekeningen die niet door anderen worden geraadpleegd. Instellingen doen er goed aan als vuistregel te hanteren dat bij twijfel de verwerking onder de WBP valt. Wanneer de aantekeningen voor anderen toegankelijk zijn en bijvoorbeeld worden gebruikt om ziektevervanging soepel te laten verlopen of bij intercollegiaal overleg, zijn zij niet langer uitgezonderd. 2. Verwerkingen die noodzakelijk zijn voor belangen als de veiligheid van de staat, de voorkoming, opsporing en vervolging van strafbare feiten, gewichtige economische en financiële belangen van overheidslichamen zijn uitgezonderd, alsmede gegevensverwerking om de Kieswet te kunnen uitvoeren. 3. Handmatig vastgelegde persoonsgegevens die niet zijn geordend in een bestand en ook niet bestemd zijn om daarin te worden opgenomen, zijn eveneens uitgezonderd. De WBP definieert een bestand als: ”elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en dat betrekking heeft op verschillende personen”. Stap 3. Stel per gegevensverwerking de actoren vast. Voordat persoonsgegevens verwerkt mogen worden, moet vastgesteld zijn wie de verschillende actoren zijn. De volgende actoren ten aanzien van gegevensverwerkingen kunnen een rol spelen. • De verantwoordelijke De verantwoordelijke is degene die verplicht is doel en middelen voor de verwerking van persoonsgegevens vast te stellen. In een instelling voor gezondheidszorg zal dat meestal de raad van bestuur of de directie zijn, al dan niet samen met de raad van toezicht of het bestuur. Naast de juridische zeggenschap van deze organen kan het verder zo zijn dat medewerkers (bijvoorbeeld hulpverleners) verantwoordelijk zijn voor de juistheid van de verwerkte gegevens. Degene die verantwoordelijk is voor de juistheid van gegevens is daarmee dus niet de ‘verantwoordelijke’ in de zin van de WBP.

•

De beheerder


De beheerder is degene die de dagelijkse zorg heeft voor de verwerking. Dat kan een unitleider zijn of een afdelingshoofd. Per organisatie kunnen derhalve meer beheerders actief zijn voor bepaalde verwerkingen. Per verwerking is er meestal één beheerder. De beheerder is dus niet synoniem met de systeembeheerder. Een systeembeheerder is een functionaris belast met de technische werking van computersystemen. Ook degene die zorg draagt voor het beheer van papieren dossiers is beheerder in de zin van de WBP. • De bewerker De bewerker bewerkt de persoonsgegevens voor de verantwoordelijke zonder aan diens rechtstreekse gezag te zijn onderworpen. Hiervan is bijvoorbeeld sprake als een externe dienstverlener gegevens verwerkt voor de instelling, zonder dat die dienstverlener daar zelf enig gebruik van maakt. Een goed voorbeeld van een bewerker is een extern kantoor dat voor de instelling de salarisadministratie voert. • De gebruiker De gebruiker is degene die bevoegd is persoonsgegevens in te voeren, te muteren of in te zien. Dit hoeft niet altijd een individuele medewerker te zijn, de bevoegdheden kunnen ook aan groepen functionarissen zijn toegekend zoals intakers, groepshoofden of een afdelingssecretariaat. In tegenstelling tot de bewerker staat de gebruiker wel onder rechtstreeks gezag van de verantwoordelijke. Met het oog op de juiste toepassing van de wet wordt sterk aanbevolen de bevoegdheden van de verschillende gebruikers ten aanzien van gegevensverwerkingen goed vast te leggen. Hierbij spelen ook de organisatorische en technische maatregelen een rol die zijn genomen om onbevoegde gegevensverwerkingen tegen te gaan. • De betrokkenen De betrokkenen zijn degenen van wie gegevens worden verwerkt. Het is belangrijk de groep van betrokkenen nauwkeurig vast te stellen. Op grond van de WBP heeft de verantwoordelijke de verplichting de betrokkene te informeren wat er met zijn gegevens gebeurt (informatieplicht). De verantwoordelijke dient er verder voor te zorgen dat de betrokkenen aanspraak kan maken op het recht van verzet en inzage- en correctierecht. De verantwoordelijke zal hiervoor de nodige organisatorische maatregelen moeten nemen. • De ontvangers De ontvanger is degene aan wie persoonsgegevens worden verstrekt. De ontvanger kan zowel een persoon zijn binnen de organisatie van de verantwoordelijke als een persoon buiten de organisatie. In verband met de verplichting de betrokkenen te informeren over de verwerking van zijn persoonsgegevens is het ook van belang de verschillende ontvangers te inventariseren. Ontvangers in de zin van de WBP zijn bijvoorbeeld overheidsinstanties, verzekeraars en andere hulpverleners.


Behalve bovenstaande functionarissen en instanties moet ook worden vastgesteld welke soorten gegevens worden verwerkt. Daarbij speelt met name of het om gegevens van bijzondere aard gaat, de zogenaamde ‘gevoelige’ gegevens. Het laatste, maar niet het minste onderdeel van de inventarisatie is het vaststellen van de herkomst van de gegevens. Dat moet zo nauwkeurig mogelijk gebeuren omdat deze in overeenkomst moet zijn met doel van de verwerking. Gegevens die voor een ander doel dan het bieden van hulpverlening of gezondheidszorg (bijvoorbeeld voor onderwijs) zijn verkregen mogen dus niet zondermeer verwerkt worden. Daarvoor moet de verwerking verenigbaar zijn met de doeleinden waarvoor de gegevens zijn verkregen. Dit leidt tot de volgende stap. Stap 4. Stel per gegevensverwerking de doeleinden van het verzamelen vast.

Met welk doel is het desbetreffende gegevensbestand tot stand gekomen? De WBP eist dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld (zie ‘nadere informatie over de wet’ onder 2b). Per bestand zal een dergelijke beschrijving van het doel moeten worden gemaakt. Het is goed mogelijk dat de doelstellingen die onder de WPR voor de afzonderlijke persoonsregistraties zijn geformuleerd, kunnen worden overgenomen. Een doelomschrijving kan uit meer onderdelen bestaan, of ook een hoofddoelstelling hebben met meer subdoelen. Voor een bestand van cliëntgegevens bijvoorbeeld is de centrale doelstelling het doel dat de instelling in de statuten heeft vastgelegd, bijv.: “het bieden van nader omschreven gezondheidszorg of hulpverlening aan cliënten en het in stand houden van voorzieningen daartoe”. Nevendoelen zijn bijv. het bijdragen aan een doelmatig en doelgericht beleid en beheer, het mogelijk maken van intercollegiaal overleg of toetsing door hulpverleners, of het inwinnen van adviezen over de meest noodzakelijke of minimaal gewenste hulpverlening. Stap 5: Ga na wat de rechtmatige grondslag is voor de verwerking.

De WBP eist dat het verwerken van gegevens, en dus ook het verzamelen, gebaseerd is op een van de in de wet genoemde grondslagen (zie bij; “nadere informatie over de wet” onder 2b). Het is daarom noodzakelijk dat u nagaat op welke grondslag het verzamelen is gebaseerd. De rechtvaardigingsgronden zijn nog eens nader op een rij gezet in de bij 2 behorende bijlage. Voor het verzamelen van bijzondere persoonsgegevens gelden weer andere grondslagen dan voor “gewone” persoonsgegevens. Welke grondslagen er voor het aanleggen van welke bestanden zijn wordt in deze stap geïnventariseerd en ook dit wordt weer vastgelegd. Stap 6. Stel vast welke verwerkingen moeten worden gemeld bij het CBP.


Als voor het bereiken van een doelstelling een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens nodig is, moet de verwerking gemeld worden bij het College bescherming persoonsgegevens (CBP). Een dergelijke melding moet geschieden voordat de verwerking begint. Voor bestaande registraties van persoonsgegevens geldt de overgangsregeling van de WBP. Deze houdt in dat de verantwoordelijke in principe binnen 1 jaar na inwerkingtreding van de WBP de verwerking moet hebben aangemeld. Verantwoordelijken kunnen ook gezamenlijk verwerkingen die samenhang hebben als één verwerking aanmelden. Zij zijn dan gezamenlijk verantwoordelijke. Dit is bijvoorbeeld een optie bij een informatiesysteem binnen een instelling waaraan diverse functiegebonden verwerkingen zijn gekoppeld. Het criterium om te bepalen of het gaat om een als eenheid aan te melden verwerking is dat de verwerkingshandelingen dienen voor het realiseren van hetzelfde doel of, in geval van verschillende doelen, een hetzelfde overkoepeld doel. Het is dus mogelijk om informatiesystemen die zijn opgezet om samenhangende diensten te verlenen aan cliënten via één loket, via één aanmelding af te doen. Met deze mogelijkheid wordt een aanzienlijk kleiner aantal aanmeldingen bewerkstelligd. Anderzijds zal de inventarisatie en het in kaart brengen van zo’n “gegevensverwerking” veel complexer zijn. Voor sommige gegevensbestanden die onder de reikwijdte van de WBP vallen, geldt dat zij niet hoeven te worden aangemeld. Om welke gegevensverwerkingen het hier gaat, is geregeld in het Vrijstellingsbesluit. Het gaat om de volgende bestanden: 1. van leden en begunstigers van verenigingen, stichtingen, publiekrechtelijke beroepsorganisaties of genootschappen op geestelijke grondslag; 2. van personeelsleden; 3. van abonnees, debiteuren en crediteuren, afnemers, opdrachtgevers, relaties en leveranciers; 4. van cliënten van individuele beroepsbeoefenaren die niet verbonden zijn aan een instelling; 5. van cliënten van verzorgingshuizen en verpleeghuizen die daar duurzaam verblijven, voor zover het gegevens betreft die met de woonfunctie van de instelling te maken hebben; zodra echter in het bestand ook gezondheidsgegevens zijn opgenomen, moet de verwerking worden aangemeld; 6. van betrokkenen bij kinderopvang door instellingen voor kinderopvang; 7. van betrokkenen bij onderwijs door instellingen voor onderwijs; 8. van betrokkenen bij door de overheid te verlenen diensten als het verlenen van vergunningen of te heffen belastingen; 9. van gegevens ten behoeve van archieven of wetenschappelijk onderzoek of statistiek; 10. van gegevens die nodig zijn voor de interne organisatie van een instelling, bijv. het regelen van toegang tot computers en gebouwen; 11. van betrokkenen bij bezwaren of klachten tegen de verantwoordelijke; 12. van betrokkenen die beschikken over een bepaalde hoedanigheid, bijv. een lijst van mogelijke bemiddelaars bjj klachten, of betrokkenen die in aanmerking willen komen voor een bepaalde


voorziening zoals een wachtlijst van personen die in aanmerking willen komen voor een plaats in het verzorgingshuis; ook hier geldt dat zodra over de betrokkenen gezondheidsgegevens worden opgenomen, de verwerking moet worden aangemeld. Per vrijgestelde categorie bestanden zijn strikte voorwaarden gesteld aan het doel van de verwerking, de soort gegevens, aan wie zij mogen worden verstrekt en de bewaartermijnen. Wil de verantwoordelijke van deze voorwaarden afwijken, dan zal de verwerking weer moeten worden aangemeld. Bij twijfel is altijd vrijwillige aanmelding mogelijk. In de inleiding bij het stappenplan kunt u onder ‘melding’ en ‘vrijstelling’ vinden hoe u gegevensverwerkingen kunt aanmelden bij het CBP en welke materialen u daartoe bij het CBP kunt opvragen. Stap 7. Stel vast of zorgvuldigheid en beveiliging afdoende zijn gewaarborgd.

De algemene zorgvuldigheidsnormen waar het verwerken van gegevens aan moet voldoen staat uitgebreid beschreven bij “Nadere informatie over de wet” (pag. 11 e.v.) Het gaat onder andere om de artikelen 9, 10, 11, 12 van de WBP, betreffende onder meer de juistheid en nauwkeurigheid van gegevens. Verder zijn er drie soorten maatregelen te onderscheiden die tot doel hebben de beveiliging van persoonsgegevens te waarborgen: • Geheimhoudingsplicht De WBP eist dat de verantwoordelijke zorg draagt voor geheimhoudingsplicht door de personen die met de persoonsgegevens werken (zie ‘Nadere informatie over de wet’, pag. 11 e.v.) De verantwoordelijke dient dan ook personen die geen geheimhoudingsplicht hebben op grond van hun beroep of een wettelijk voorschrift, zo’n plicht op te leggen. Het verdient aanbeveling dit via de arbeidsovereenkomst te regelen of door medewerkers een verklaring daarover te laten ondertekenen. • Technische en organisatorische maatregelen binnen de eigen organisatie Een tweede eis die de WBP stelt is dat de verantwoordelijke passend technische en organisatorische maatregelen neemt binnen de eigen organisatie om het verzamelen, verwerken en verstrekken behoorlijk en zorgvuldig te laten verlopen (zie ‘nadere informatie over de wet’ onder 2b). Uitgangspunt daarbij is dat verlies van gegevens en onrechtmatige verwerking worden voorkomen. In de praktijk blijkt dat organisatorische maatregelen de meest kwetsbare zijn. Gevoelige gegevens in de prullenbak, vergeten dossiers op het kopieerapparaat, beeldschermen waar persoonsgegevens op staan en die op voor iedereen toegankelijke plaatsen zijn opgesteld: dit zijn aandachtspunten voor een goede bescherming van persoonsgegevens. Medewerkers van de instelling zullen zich bewust moeten worden van de gevoeligheid van persoonsgegevens en het belang daarmee zorgvuldig om te gaan. Ook de werkwijzen in de organisatie ten aanzien van persoonsgegevens moeten tegen het licht worden gehouden. Het kwaliteitssysteem van de


instelling moet zorgvuldig en veilig gebruik waarborgen en dient er voor te zorgen dat er controle is op naleving van de regels hiervoor. Gelet op de vele hulpverleners en organisaties die betrokken zijn bij de zorg in een instelling en het onderlinge gegevensverkeer, is het verstandig om binnen de instelling een medewerker als centraal aanspreekpunt voor het gebruik van en de omgang met persoonsgegevens te benoemen. Deze kwaliteitsmedewerker moet overigens niet verward worden met WBP-privacyfunctionaris. De WBP-privacyfunctionaris is een functionaris die wordt aangestuurd door het CBP. Een privacyfunctionaris heeft daarmee een wettelijke toezichthoudende taak. • Waarborgen zorgvuldigheid en beveiligingsmaatregel bij bewerker De derde groep maatregelen die de instelling moet nemen is gericht op de persoonsgegevens waarvoor de instelling verantwoordelijk is, maar die worden verwerkt door een bewerker in de zin van de WBP. Een schriftelijke overeenkomst tussen verantwoordelijke en bewerker waarin de afspraken over werkwijzen en beveiliging worden vastgelegd is een minimumvereiste. Naast de te nemen maatregelen kan in de overeenkomst worden opgenomen hoe de bewerker de verantwoordelijke informeert over de genomen maatregelen en hoe de verantwoordelijke op de nakoming van de verplichtingen kan toezien. Stap 8. Stel vast of persoonsgegevens worden doorgegeven naar het buitenland.

Doorgifte van gegevens tussen landen die lid zijn van de Europese Unie (EU) is zonder problemen mogelijk. Betreft het andere landen dan moet worden vastgesteld in hoeverre aldaar sprake is van een passend beschermingsniveau. Landen anders dan de lidstaten van de EU waar toch een passend beschermingsniveau bestaat voor persoonsgegevens zijn de VS, Hongarije en Zwitserland. In sommige gevallen mogen, ondanks dat er geen passend beschermingsniveau in een land bestaat, toch gegevens aan een actor in dat land worden verstrekt. De gronden daarvoor zijn te vinden in artikel 77 WBP: toestemming van de betrokkene, uitvoering of het totstandbrengen van een overeenkomst, een zwaarwegend algemeen belang of vaststelling in rechte van enig recht, een vitaal belang van de betrokkene, of het verstrekken van persoonsgegevens die zich bevinden in een register dat bij wettelijk voorschrift is ingesteld en in principe vrij te raadplegen is. Stap 9. Ga na of er sprake is van informatieplicht.

De WBP hanteert als uitgangspunt dat de verantwoordelijke verplicht is zijn identiteit bekend te maken en de betrokkene moet informeren over de verwerking van zijn persoonsgegevens. Dit moet gebeuren voordat de verwerking begint als de gegevens rechtstreeks van de betrokkene afkomstig zijn. Krijgt de verantwoordelijke persoonsgegevens van een ander, dan ontstaat de informatieplicht op het moment van vastlegging. Als de gegevens niet rechtstreeks van de betrokkene worden verkregen en als het onmogelijk blijkt de informatie aan de betrokkene te


verstrekken of wanneer dat een onevenredige inspanning kost heeft de verantwoordelijke geen informatieplicht. Het is aan de verantwoordelijke om dit aan te tonen en aannemelijk te maken. De informatieplicht dwingt de verantwoordelijke actief de noodzakelijke maatregelen te nemen. Het is niet voldoende om te verwijzen naar een reglement. Wel voldoende is als bij een eerste contact met de betrokkene de benodigde informatie wordt vermeld op het formulier waarmee gegevens van de betrokkene worden gevraagd, of aan de betrokkene een informatiefolder wordt verstrekt. De informatie moet dan aangeven wie de verantwoordelijke is, welke gegevens worden verzameld en voor welk doel, wat in grote lijnen binnen de instelling met de gegevens gebeurt, aan welke instanties buiten de instelling de gegevens worden verstrekt en wat de rechten zijn van de betrokkene. Wordt van deze informatie afgeweken, omdat bijvoorbeeld andere verwerkingen plaatsvinden dan in de folder is vermeld of de instelling de gegevens alsnog wil gebruiken voor andere doeleinden, dan moet de betrokkene opnieuw worden geïnformeerd. Er bestaat geen informatieplicht als de betrokkene al op de hoogte is van de identiteit van de verantwoordelijke en van de doelen van de verwerking. Dat zal vaak het geval zijn wanneer de gegevens van de betrokkenen zelf worden verkregen. Wanneer er sprake is van een behandelplan waarbij meer hulpverleners zijn betrokken dient de cliënt op de hoogte te worden gesteld van het feit dat gegevens aan andere hulpverleners kunnen worden doorgegeven voor zover dat noodzakelijk is voor de uitvoering van de behandelingsovereenkomst. In zo’n geval is het raadzaam om specifiek voor dat zorgaanbod een informatiefolder te ontwikkelen. Stap 10. Waarborg de noodzakelijke organisatorische maatregelen voor inzage, correctie en verzet. De betrokkene heeft recht op inzage in de over hem vastgelegde gegevens en op een aan hem te verstrekken overzicht van wat er met deze gegevens gebeurt. Duidelijk moet zijn welke verwerkingen plaatsvinden, wat het doel is van de verwerkingen en wie de ontvangers zijn van de gegevens. Zodra een betrokkene hierom vraagt, moet de verantwoordelijke deze informatie binnen 4 weken na het verzoek aan de betrokkene verstrekken. Een goede mogelijkheid om het recht op inzage te regelen is door hiervoor een standaardformulier te ontwerpen. Zeker in complexe organisaties waar de verantwoordelijkheid voor de verwerking (de verantwoordelijke in de zin van de WBP, d.w.z. de instelling) en voor de inhoud van de gegevens (hulpverlener, secretariaatsmedewerker) niet samenvallen, kan dat nuttig zijn. Om deze rechten gestalte te geven moet zijn vastgesteld hoe de inzage geschiedt: • ter plaatse inzien van gegevens


• het opsturen of overhandigen van een kopie • kennisname met toelichting, mondeling of schriftelijk • welke tarieven gelden voor inzage. Verder moet zijn geregeld op welke wijze de identiteit van de verzoeker wordt vastgesteld. Dit moet op een deugdelijke wijze gebeuren. Inzage kan leiden tot een verzoek van de betrokkene de betreffende persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. De instelling moet hieraan binnen 4 weken na het verzoek van de betrokkene daartoe voldoen. De verantwoordelijke is verplicht derden aan wie de gegevens voorafgaand aan de correctie zijn verstrekt, van de correctie op de hoogte te stellen. Een betrokkene heeft het recht zich te verzetten tegen de verwerking van persoonsgegevens door de instelling op grond van artikel 40 WBP. Een beroep op dit recht zal in de sector van de gezondheidszorg slechts een theoretische mogelijkheid zijn. Uit de wet volgt dat hier een beroep op kan worden gedaan wanneer de gegevensverwerking plaats vindt omdat -

-

het noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door een bestuursorgaan (artikel 8e WBP); of het noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van de derde aan wie de gegevens worden verstrekt (artikel 8f).

Het verwerken van persoonsgegevens zal in de sector van de gezondheidszorg echter altijd terug te voeren zijn op andere rechtvaardigingsgronden zoals bijvoorbeeld de toestemming van een betrokkene of de uitvoering van een (behandelings)overeenkomst. Instellingen wordt geadviseerd eveneens in een standaardformulier vast te leggen hoe met de rechten van correctie en verwijdering van gegevens wordt omgegaan.


4.

Handreiking voor een privacyreglement

1.

begripsbepalingen persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; zorggegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening; verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van gegevens; verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens. bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen; verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen; betrokkene: degene op wie een persoonsgegeven betrekking heeft; derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken; ontvanger: degene aan wie de persoonsgegevens worden verstrekt; toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt; het College bescherming persoonsgegevens: het CBP heeft tot taak heeft toe te zien op de verwerking van persoonsgegevens; klachtencommissie: de commissie ingesteld overeenkomstig de Wet Klachtwet Cliënten Zorgsector.

1. 2.

3.

4. 5. 6.

7.

8. 9. 10.

11. 12.

13. 14.


2. reikwijdte Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen3. 3. doel 1. Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet bescherming persoonsgegevens, verder te noemen WBP en -voor zover van toepassingde bepalingen van de Wet geneeskundige behandelingsovereenkomst, verder te noemen WGBO en de Wet bijzondere opnemingen in psychiatrische ziekenhuizen, verder te nomen BOPZ. 2. Dit reglement is van toepassing binnen …………………………… (naam instelling, te ……………………….. (vestigingsplaats) en heeft betrekking op het door de instelling op te stellen overzicht van genoemde verwerkingen van persoonsgegevens. Dit overzicht vormt één geheel met dit reglement. 3. Binnen de doelstelling van dit reglement zullen geen andere gegevens worden opgenomen dan onder artikel 2 omschreven. 4. vertegenwoordiging 1. Indien de betrokkene jonger is dan twaalf jaar treden de ouders die het ouderlijk gezag uitoefenen dan wel de voogd in plaats van de betrokkene. 2. Hetzelfde geldt voor de betrokkene die de leeftijd van twaalf jaar heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake. 3. Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een redelijke waardering van zijn belangen, treden naast de betrokkene zelf diens ouders op. 4. Indien de betrokkene ouder is dan achttien jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen terzake, dan treedt, in volgorde als hier weergegeven, als vertegenwoordiger voor hem op4: • de curator of mentor indien de betrokkene onder curatele staat of ten behoeve van hem het mentorschap is ingesteld; • de persoonlijk gemachtigde indien de betrokkene deze schriftelijk heeft gemachtigd, tenzij deze persoon niet optreedt; • de echtgenoot of andere levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of ontbreekt; • een kind, broer of zus van de betrokkene, tenzij deze persoon dat niet wenst.

3

Verwerkingen van persoonsgegevens ten behoeve van persoonlijke of huishoudelijke doeleinden en ten behoeve van de uitvoering van de Wet gemeentelijke basisadministratie vallen niet onder de reikwijdte van dit reglement. 4 De hier genoemde categorieën vertegenwoordigers komen overeen met de in de WGBO en BOPZ genoemde categorieën.


5. Echter ook indien de betrokkene de leeftijd van achttien jaar heeft bereikt en wel in staat is tot een redelijke waardering van zijn belangen, heeft hij de mogelijkheid een andere persoon schriftelijk te machtigen in diens plaats als vertegenwoordiger te treden. 6. De toestemming kan door de betrokkene of zijn vertegenwoordiger te allen tijde worden ingetrokken. 7. De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken. 8. Indien een vertegenwoordiger optreedt namens de betrokkene, komt de verantwoordelijke zijn verplichtingen die voortvloeien uit de wet en dit reglement na jegens deze vertegenwoordiger, tenzij die nakoming niet verenigbaar is met de zorg van een goed verantwoordelijke. 5. voorwaarden voor rechtmatige verwerking 1. Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt. 2. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. 3. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. 4. De verantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking van persoonsgegevens. Zijn handelwijze met betrekking tot de werking van de persoonsgegevens en de verstrekking van gegevens wordt bepaald door dit reglement. De verantwoordelijke is aansprakelijk voor de eventuele schade als gevolg van het niet naleven van dit reglement5. 6. verwerking van persoonsgegevens (voor zover niet zijnde zorggegevens) Persoonsgegevens mogen slechts worden verwerkt indien aan een van onderstaande voorwaarden is voldaan: • de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend6; • dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor handelingen die op verzoek van de betrokkene worden verricht en • dit noodzakelijk is om een wettelijke verplichting na te komen7; • dit noodzakelijk is ter bestrijding van ernstig gevaar voor de gezondheid van betrokkene; • dit noodzakelijk is voor de vervulling van een publiekrechtelijke taak8; 5

De verantwoordelijke draagt er zorg voor dat passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen verlies of enige vorm van onrechtmatige verwerking. De verantwoordelijke is niet aansprakelijk indien hij kan aantonen dat hem aangaande de betreffende onrechtmatigheid niet kan worden toegerekend. 6 De verantwoordelijke moet ervoor zorgdragen dat de betrokkene voldoende geïnformeerd is alvorens toestemming kan worden gegeven (zgn. informed consent). Deze expliciete toestemming hoeft niet schriftelijk te worden gegeven. Toestemming kan ook blijken uit woord of gedrag. 7 Bijvoorbeeld de gegevensaanlevering in het kader van artikel 22 Wet ziekenhuisvoorzieningen. 8 Hierbij dienen ook de verantwoordelijk in het kader van de Wet bijzonder opnemingen in psychiatrische ziekenhuizen (Wet BOPZ) en/of de Wet medisch-wetenschappelijk onderzoek met mensen (WMO) worden betrokken.


•

7.

dit noodzakelijk is met het oog op belang van de verantwoordelijke of van een derde én het belang van degene van wie de gegevens worden verwerkt niet prevaleert.

informatieverstrekking aan de betrokkene

gegevens verkregen bij betrokkene 1. Indien bij de betrokkene zelf de persoonsgegevens worden verkregen deelt de verantwoordelijke voor het moment van verkrijging de betrokkene mede9: • zijn identiteit; • de doeleinden van de verwerking waarvoor de gegevens zijn bestemd tenzij de betrokkene daarvan reeds op de hoogte is. 2. De betrokkene verstrekt nader informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen10. gegevens elders verkregen 3. Indien de persoonsgegevens niet rechtstreeks bij de betrokkene worden verkregen deelt de verantwoordelijke de betrokkene op het moment van vastlegging van hem betreffende gegevens, of wanneer de gegevens bestemd zijn voor een derde, uiterlijk op het moment van de eerste verstrekking, tenzij deze reeds daarvan op de hoogte is, de volgende informatie mede: • zijn identiteit ; • de doeleinden van de verwerking waarvoor de gegevens zijn bestemd. 4. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen. 5. Het bepaalde onder 3 is niet van toepassing indien de mededeling van de informatie aan de betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast. 6. Het bepaalde onder 3 is eveneens niet van toepassing indien de vaststelling of de verstrekking bij of krachtens de wet is voorgeschreven. In dat geval dient de verantwoordelijke de

9

Deze algemene kennisgeving kan geschieden door bijvoorbeeld het uitreiken van een informatiebrochure of door informatie over het reglement en de verwerking van persoonsgegevens op te nemen in de huisregels. 10 Aangezien de verwerking van de gegevens wordt gedaan door een zorgverlenende instelling, mag in het algemeen worden aangenomen dat de betrokkene weet of kan weten dat verwerking van gegevens plaatsvindt. Kennisgeving van opname van gegevens aan de individuele betrokkene kan dan achterwege blijven. Volstaan kan worden met een algemene kennisgeving van het bestaan van de verwerking en dit reglement. Dit is anders indien andere doelen dan zorgverlening een zelfstandige doelstelling vormen van de verwerking, bijvoorbeeld wetenschappelijk onderzoek. In dat geval kan niet zonder meer worden aangenomen dat de betrokkene van deze doelstellingen weet heeft. Kennisgeving aan individuele betrokkenen van verwerking van hun gegevens, alsmede van de doeleinden die daarmee worden nagestreefd, is in dit geval noodzakelijk.


betrokkene op diens verzoek te informeren over het wettelijk voorschrift dat tot de vastlegging of verstrekken van de hem betreffende gegevens heeft geleid. 7. Indien de verantwoordelijke de betrokkene niet heeft geïnformeerd conform dit artikel, betekent dit dat de persoonsgegevens op een niet behoorlijke en onzorgvuldige wijze zijn verwerkt11.

8.

specifieke regels voor de verwerking van zorggegevens

1. Voor verwerking van zorggegevens is uitdrukkelijke toestemming12 van de betrokkene vereist, tenzij het een geval betreft als genoemd in de leden 2 of 6 of indien verstrekking noodzakelijk is ter uitvoering van een wettelijk voorschrift. 2. Zonder toestemming van de betrokkene kunnen – met inachtneming van het derde lid - door de verantwoordelijke persoonsgegevens betreffende de gezondheid worden verstrekt aan: • hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene; dan wel met het oog op het beheer van de organisatie van de verantwoordelijke; • verzekeraars voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeringsinstelling te verzekeren risico met uitsluiting van lid 4 en de betrokkene geen bezwaar heeft gemaakt, dan wel voor zover dat noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst. 3. De persoonsgegevens worden alleen verstrekt aan personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. 4. Onverminderd eventuele wettelijke voorschriften terzake hebben slechts toegang tot de gegevensverwerking de beroepsbeoefenaar die deze gegevens heeft verzameld of diens waarnemer. Voorts hebben toegang tot de gegevensverwerking de verantwoordelijke en de bewerker persoonsgegevens voor zover dat met het oog op een goede behandeling of verzorging dan wel het beheer noodzakelijk is. 5. Persoonsgegevens betreffende erfelijke eigenschappen mogen alleen worden verstrekt voor zover deze gegevens uitsluitend betrekking hebben op de betrokkene die deze gegevens heeft verstrekt13. 6. Indien persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs niet herleidbaar zijn, kan de verantwoordelijke besluiten deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de gegevensverwerking. 7. Persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid en seksuele leven mogen uitsluitend worden verstrekt voor zover dit noodzakelijk

11

Het niet voldoen aan de informatieplicht zal leiden tot een onrechtmatige verwerking. Zie ook artikel 5, lid 1. De uitdrukkelijke toestemming: de betrokkene dient in woord, geschrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen aan de hem betreffende gegevensverwerking. 13 Verwerking van persoonsgegevens betreffende erfelijke eigenschappen met betrekking tot anderen dan degene omtrent wie de gegevens oorspronkelijk zijn verkregen is ook niet toegestaan met uitdrukkelijke toestemming van de betrokkene of enig familielid waarop de gegevens eveneens betrekking hebben. 12


is in aanvulling op de verstrekking van persoonsgegevens betreffende iemands gezondheid als bedoeld in lid 2 van dit artikel. 8. Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek worden verstrekt indien: • het onderzoek een algemeen belang dient, • de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is, • het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en • bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. 9. recht op inzage en afschrift van opgenomen persoonsgegevens 1. De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verwerkte gegevens. 2. De gevraagde inzage en of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden respectievelijk worden verstrekt. 3. Een mogelijke beperkingsgrond voor inzage en afschrift kunnen zijn gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen. 4. Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht. 10. recht op aanvulling, correctie of verwijdering van opgenomen persoonsgegevens 1. Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens. 2. De betrokkene kan verzoeken om correctie van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen. 3. De verantwoordelijke draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd. 4. De betrokkene kan verzoeken om verwijdering van op hem betrekking hebbende gegevens. 5. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot correctie of verwijdering schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed. 6. De verantwoordelijke verwijdert14 de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is. 11.

bewaren van gegevens

14

Onder verwijdering dient men tevens vernietiging te verstaan.


1. De verantwoordelijke stelt vast hoe lang de opgenomen persoonsgegevens bewaard blijven. Deze bewaartermijn is: • voor medische en zorggegevens in beginsel tien jaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener casu quo de verantwoordelijke voortvloeit; • gegevens in het kader van de wet BOPZ dienen vijf jaar na dato van vervaardiging of beëindiging van behandeling te worden bewaard of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit; • gegevens van niet medische aard worden niet langer bewaard dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij geanonimiseerd of voorzover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard. 2. Indien de bewaartermijn van de zorggegevens is verstreken of de betrokkene doet een verzoek tot verwijdering voor het verstrijken van de bewaartermijn, worden de desbetreffende medische persoonsgegevens verwijderd, zulks binnen een termijn van drie maanden. 3. Verwijdering blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de verantwoordelijke overeenstemming bestaat. 12. melding van een verwerking van gegevens 1. Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of samenhangende doeleinden bestemd is, wordt alvorens met de verwerking wordt aangevangen gemeld bij het CBP. 2. De niet geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of samenhangende doeleinden bestemd is, wordt gemeld indien deze is onderworpen aan voorafgaand onderzoek. 13. klachten Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij zich wenden tot: • verantwoordelijke; • de binnen instelling functionerende regeling voor onafhankelijke klachtenbehandeling; • het CBP verzoekt een onderzoek in te stellen of de wijze van gegevensverwerking door de verantwoordelijke in overeenstemming is met de WBP; • dan wel gebruik maken van de in hoofdstuk 8 van de WPB neergelegde beroepsmogelijkheden. 14. wijzigingen, inwerkingtreding en inzage van dit reglement 1. Wijzigingen van dit reglement worden aangebracht door de verantwoordelijke.


2. De wijzigingen in het reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan betrokkenen. 3. Dit reglement is per .......... in werking getreden en is bij de verantwoordelijke in te zien. 4. Desgewenst kan tegen kostprijs een afschrift van dit reglement worden verkregen.


WBP handleiding bij het invoeren van de Wet bescherming persoonsgegevens

Recommend Documents