(v3) Algemene verordening gegevensbescherming (AVG)
- Dennis van Leeuwen
Analytics
De AVG is een Europese wet die rechtstreekse werking heeft in de hele Europese Unie. De AVG regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden binnen de EU.
Persoonsgegevens ziet op alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Deze wordt in de AVG de 'betrokkene' genoemd. Onder ‘verwerking van gegevens’, valt: verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens.
In de oude wet, de Wbp was sprake van een ‘bewerker’ en een ‘bewerkersovereenkomst’. Onder de AVG is dat ‘verwerker’ en 'verwerkersovereenkomst' geworden.
Grondslag en doel
De AVG bepaalt dat dit slechts is toegestaan als sprake is van een rechtmatige grondslag. De AVG noemt zes grondslagen voor verwerking:
- toestemming van de betrokkene
- uitvoeren van een overeenkomst
- wettelijke verplichting
- vitaal belang van de betrokkene of een andere natuurlijke persoon
- uitvoeren van een publiekrechtelijke taak
- gerechtvaardigd belang van de verwerkingsverantwoordelijke of van een derde
De grondslag voor de verwerking kan verschillen per zorgtoepassing en per gegevensuitwisseling.
Bovendien mogen persoonsgegevens op basis van het proportionaliteitsbeginsel enkel worden verwerkt voor zover dat nodig is voor welbepaalde doeleinden.
Daarbij geldt een verbod om bijzondere categorieën van persoonsgegevens te verwerken, waaronder gegevens over gezondheid, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Op dit verbod zijn een beperkt aantal uitzonderingen van toepassing. Eén van die uitzonderingen is dat de verwerking noodzakelijk is voor het verstrekken van gezondheidszorg.
De verwerkingsverantwoordelijke is verplicht om betrokkenen goed te informeren over de verwerking van hun gegevens en over hun privacy-rechten op basis van de AVG, waaronder het recht op inzage, rectificatie, vergetelheid, beperking, dataportabiliteit en bezwaar. Uit deze rechten volgt dat de verwerkingsverantwoordelijke inzichtelijk moet hebben welke persoonsgegevens hij verwerkt, waar deze zich bevinden en hoe deze definitief verwijderd kunnen worden.
Verwerkersovereenkomst
De AVG verplicht de verwerkingsverantwoordelijke een verwerkersovereenkomst te sluiten met iedere verwerker. De AVG bepaalt ook dat de verwerkersovereenkomst aan een aantal eisen moet voldoen. In die overeenkomst moet onder andere worden bepaalt wat de aard en het doel is van de verwerking, de duur van de verwerking en het soort persoonsgegevens en de categorieën van betrokkenen. Een verwerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens, maar heeft wel een aantal afgeleide verplichtingen voor onder meer beveiliging en geheimhouding van de gegevens. De verwerkersovereenkomst moet er onder andere voor zorgen dat verwerker voldoende waarborgen biedt ten aanzien van de technische- en organisatorische beveiligingsmaatregelen met betrekking tot de verwerking van de aan hem ter beschikking gestelde persoonsgegevens. De Brancheorganisaties Zorg hebben een model verwerkersovereenkomst opgesteld die voldoet aan de eisen van de AVG, te vinden via: https://www.brancheorganisatieszorg.nl/nieuws_list/modelverwerkersovereenkomst-voor-de-zorgsector/
Data protection impact assessment (DPIA)
De AVG verplicht om een data protection impact assessment (DPIA) uit te voeren als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Zie voor actuele informatie https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia?qa=PIA
UAVG - Uitvoeringswet Algemene verordening gegevensbescherming
De UAVG geeft een nadere invulling voor de toepassing van de AVG binnen Nederland. Daar waar de AVG ruimte laat voor nationale regelingen of soms opdraagt tot het treffen van een regeling, komt de UAVG in beeld.
De UAVG bepaalt dat de uitzondering op het verwerkingsverbod van gezondheidsgegevens voor het verstrekken van gezondheidszorg enkel geldt voor hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening en enkel voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk (artikel 30 lid 3 UAVG).
De Uitvoeringswet AVG regelt dat het BSN alleen mag worden gebruikt bij de verwerking van persoonsgegevens ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de wet bepaald (art 46 UAVG).
In de UAVG is uitgewerkt dat minderjarigen vanaf 16 jaar zelfstandig beslissen over de verwerking van hun persoonsgegevens (artikel 5 UAVG).
De UAVG wijst de Autoriteit Persoonsgegevens aan als de toezichthouder voor de AVG die handhavend kan optreden.