Toelichting AVG-normen

Toepassingsgebied AVG

Artikel 2, 3

De AVG is van toepassing op:

• verwerkingen die geheel of gedeeltelijk geautomatiseerd zijn, alsmede;
• op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Onder 'bestand' wordt elk gestructureerd geheel van persoonsgegevens begrepen die volgens bepaalde criteria toegankelijk zijn.

Verwerking van persoonsgegevens waarop de AVG van toepassing is moet plaatsvinden in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Europese Unie, ongeacht of de verwerking al dan niet plaatsvindt in de Europese Unie.

De AVG is ook van toepassing op organisaties die buiten de Europese Unie zijn gevestigd, indien zij persoonsgegevens verwerken van betrokkenen in de Europese Unie óf indien zij het gedrag van betrokkenen in de Europese Unie monitoren. 

Het MedMij Afsprakenstelsel bepaalt dat haar deelnemers ingeschreven moeten zijn in een handelsregister in de EU. Inschrijving in een handelsregister in de EU impliceert ofwel een vestiging in de EU, ofwel ondernemingsactiviteiten in de EU. Zo is de AVG van toepassing op deelnemers aan het afsprakenstelsel. 

Algemene bepalingen en definities

Artikel 4, 9

Het begrip 'persoonsgegevens' betreft alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

De AVG maakt een onderscheid tussen:

1) persoonsgegevens, en

2) bijzondere categorieën van persoonsgegevens. 

Bijzondere categorieën van persoonsgegevens, hierna bijzondere persoonsgegevens, betreffen gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Het zullen vooral bijzondere persoonsgegevens zijn die via het MedMij-netwerk uitgewisseld worden, aangezien de verwerking voornamelijk op gegevens betreffende de gezondheid van personen zal plaatsvinden.

Artikel 4

In de AVG worden twee rollen gedefinieerd:

• verwerkingsverantwoordelijke,
• verwerker.

Een verwerkingsverantwoordelijke is degene die alleen, of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Deze rol kan vervuld worden door een natuurlijk persoon, een rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan.

Een verwerker is een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van, en op instructie van, de verwerkingsverantwoordelijke persoonsgegevens verwerkt. 

Het is de feitelijke situatie waaruit afgeleid wordt welke partij welke rol vervult. Dit is contractueel niet af te spreken.

Gelet op de rolomschrijvingen in het MedMij Afsprakenstelsel zullen de Aanbieder en de Dienstverlener persoon waarschijnlijk de rol van verwerkingsverantwoordelijke vervullen.

De Dienstverlener aanbieder zal, indien gegevens verwerkt worden in opdracht van de Aanbieder, de rol aannemen van verwerker.  

Dit hangt echter wel altijd af van de feitelijke informatie en omstandigheden. 

Een toelichting is gegeven op de pagina Toelichting verwerkingsverantwoordelijkheden

Artikel 4

Verwerking van persoonsgegevens is een breed begrip. Het omvat in feite elke handeling die de gegevens betreft, waaronder eenvoudigweg het houden, ontvangen, verzamelen, bewerken, opslaan of verwijderen van die gegevens. 

Artikel 5

Persoonsgegevens die verwerkt worden dienen juist te zijn en zo nodig geactualiseerd te worden. Redelijke maatregelen moeten worden genomen door de verwerkingsverantwoordelijke om de persoonsgegevens die onjuist zijn, onverwijld te wissen of te wijzigen.

Aanbieders zijn zelf verantwoordelijk om te communiceren aan personen over de persoonsgegevens die zij verwerken.

Dienstverleners persoon, als aanbieder van een PGO, moeten zich ervan bewust te zijn dat ze verantwoordelijk zijn om de persoonsgegevens die zij zelf verzamelen (en eventueel ook in een PGO aanwezig zijn) actueel te houden. De dienstverlener is niet verantwoordelijk voor de juistheid van de gegevens/ inhoud van de PGO die daarin zelf door de Persoon wordt opgenomen.

Artikel 5

In beginsel mogen persoonsgegevens slechts voor:

• welbepaalde, 
• uitdrukkelijk omschreven, en 
• gerechtvaardigde doeleinden

verwerkt worden. 

Indien persoonsgegevens voor een ander, secundair, doeleinde verwerkt worden, is dit slechts mogelijk indien de betrokkene toestemming heeft gegeven voor deze verdere verwerking, of indien dit noodzakelijk is voor een specifiek wettelijk voorschrift ter waarborging van een belangrijke doelstelling van algemeen belang. 

Tot slot mogen persoonsgegevens niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld en verder verwerkt. 

In het MedMij Afsprakenstelsel is bepaald dat in het kader van de uitvoering van de Deelnemersovereenkomst met MedMij het doel van de verwerking van de persoonsgegevens de waarborging en realisering van een veilige, interoperabele en betrouwbare gegevensuitwisseling tussen de Persoon en Aanbieder via de Dienstverlener persoon en de Dienstverlener aanbieder overeenkomstig het bepaalde in het MedMij Afsprakenstelsel is.

Deze bepaling is ook opgenomen in artikel 9 van de Modelverwerkersovereenkomst Aanbieder – Dienstverlener aanbieder.

In het MedMij Afsprakenstelsel zijn bewaartermijnen gegeven voor de vereiste logging van de gegevensuitwisseling en de verwerking. 

Aanvullend moeten de Dienstverlener persoon en de Aanbieder de doeleinden voor (de verdere/eigen) verwerking van de persoonsgegevens specifiek te formuleren voor de Persoon, zodat duidelijk is waarom de verwerking van persoonsgegevens nodig is om dit doel te realiseren en ook in hoeverre de gegevens voor andere doeleinden kunnen worden verwerkt.

Doordat het doel duidelijk geformuleerd is, wordt het ook snel duidelijk wanneer persoonsgegevens verwerkt zullen worden voor secundaire doeleinden.

Voordat een Persoon zijn PGO in gebruik neemt moet de Dienstverlener persoon een specifieke toestemming verkrijgen van de Persoon voor het verwerken van persoonsgegevens. 

Artikel 5

Gegevensverwerkingen dienen te worden beperkt tot wat noodzakelijk is voor de verwerkingsdoeleinden. De gegevensverwerking moet derhalve vooraf getoetst worden aan de beginselen van proportionaliteit en subsidiariteit.

Proportionaliteit  betekent dat moet worden beoordeeld of de inbreuk op de privacy van betrokkenen van de voorgenomen gegevensverwerking in een redelijke verhouding staat tot het doel. Daarbij zal moeten worden gekeken of de voorgenomen gegevensverwerking effectief is om het beoogde doel te bereiken en of de te verwerken persoonsgegevens relevant en toereikend zijn om het beoogde doel te bereiken.

Bij subsidiariteit wordt bekeken of de verwerkingsdoeleinden met minder ingrijpende middelen kunnen worden bereikt.

In het MedMij Afsprakenstelsel is onder andere in de Architectuur en technische specificaties rekening gehouden met het proportionaliteits-  en subsidiariteitsbeginsel. Op die manier is gestreefd naar afspraken waarbij niet meer gegevens worden verwerkt dan noodzakelijk is voor de gegevensuitwisseling (Privacy by Design en Privacy by Default). Dit wordt onafhankelijk getoetst.

Artikel 5, 6

Indien persoonsgegevens verstrekt worden aan derde partijen, moet de verwerking door deze derde partijen in lijn zijn met het doel waarvoor de persoonsgegevens oorspronkelijk zijn verzameld en verwerkt. 

Deze bepaling is aanvullend op de AVG ook opgenomen in artikel 5.6 van de Deelnemersovereenkomst Dienstverlener persoon en Dienstverlener aanbieder.

Grondslagen & toestemming

Artikel 6, 7, 9

Persoonsgegevens mogen slechts verwerkt worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen, indien de verwerking plaatsvindt op een van de grondslagen die limitatief opgesomd zijn in de AVG. Dit betreft de volgende grondslagen:

1)     Toestemming van de betrokkene;

2)     De gegevens zijn noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene een partij is;

3)     De gegevens zijn noodzakelijk voor het volgen van een wettelijke verplichting;

4)     De gegevensverwerking is noodzakelijk om vitale belangen van de betrokkene of van een ander natuurlijk persoon te beschermen;

5)     De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag;

6)     De gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van u of van een derde aan wie de gegevens worden verstrekt.

Bij verwerking van bijzondere of strafrechtelijke persoonsgegevens (zie de sectie Algemene bepalingen en definities bovenaan in deze tabel) dient één van de wettelijke uitzonderingen op het verwerkingsverbod van toepassing te zijn (art. 9 lid 2 AVG). Als geen van deze uitzonderingen van toepassing is, dan is de verwerking van dit type persoonsgegevens verboden.

Op bovengenoemd verwerkingsverbod gelden samengevat de volgende uitzonderingen:

1. de betrokkene heeft uitdrukkelijke toestemming gegeven;
2. de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten op het gebied van arbeids- en sociaalzekerheidsrecht;
3. de verwerking is noodzakelijk ter bescherming van vitale belangen van de betrokkenen of een ander;
4. de verwerking wordt verricht door een instantie die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is;
5. de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
6. de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
7. de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang;
8. de verwerking noodzakelijk is voor preventieve en arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid, medische diagnosen, het verstrekken van gezondheidzorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en –diensten of sociale stelsel en diensten;
9. de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid;
10. de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.

Indien persoonsgegevens worden verwerkt op basis van gegeven toestemming, gelden er nog enkele specifieke vereisten:

• Aangetoond moet kunnen worden dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
• De toestemming moet zijn gegeven door middel van een duidelijke actieve handeling.
• De toestemming moet gevraagd zijn in een begrijpelijk en gemakkelijk toegankelijke vorm.
• De toestemming moet vrijelijk gegeven kunnen worden.
• De toestemmingsvraag moet in duidelijke en eenvoudige taal gepresenteerd worden.
• De toestemming moet ten alle tijden ingetrokken kunnen worden.

Indien een verdere verwerking niet verenigbaar is met het oorspronkelijke doel, dan zal de verwerkingsverantwoordelijke een specifieke wettelijke grondslag moeten hebben of 

toestemming moeten vragen van de betrokkene voor de verdere verwerking.

Onder de AVG, anders dan onder de Wbp, is het BSN geen bijzonder persoonsgegeven meer, maar kent wel een specifieke bepaling in verband met de gegevensverwerking en opgenomen in art 87 AVG/46 Uitvoeringswet AVG. 

Algemeen:  In het afsprakenstelsel staat dat in het kader van de uitvoering van de Deelnemersovereenkomst met MedMij het doel van de verwerking van de persoonsgegevens de waarborging en realisering van een veilige, interoperabele en betrouwbare gegevensuitwisseling tussen de Persoon en Aanbieder via de Dienstverlener persoon en de Dienstverlener aanbieder overeenkomstig het bepaalde in het MedMij Afsprakenstelsel is.

In de overeenkomst met de deelnemer is bepaald dat: Voor zover de verwerking van persoonsgegevens door de Deelnemer wordt gebaseerd op de rechtmatigheidsgrondslag 'toestemming' in de zin van artikel 6 lid 1 AVG is de verwerking voor een ander doel dan genoemd in artikel 5.5 van deze Overeenkomst toegestaan, mits de beginselen van de AVG op deze verdere verwerking wordt toegepast, de Persoon over deze verdere verwerking wordt geïnformeerd alsmede over de rechten die de Persoon tegen deze verdere verwerking kan uitoefenen. Voor zover de verwerking van de persoonsgegevens wordt gebaseerd op de rechtmatigheidsgrondslag 'noodzakelijk voor de uitvoering van de overeenkomst' in de zin van artikel 6 lid 1 sub c AVG, is verdere verwerking van de persoonsgegevens door de Deelnemer alleen toegestaan indien de evenredigheidstoets van artikel 6 lid 4 AVG succesvol is doorlopen.         

Meer informatie is ook te vinden op de pagina Toelichting verwerkingsverantwoordelijkheden.

De Deelnemer verstrekt geen persoonsgegevens van de Persoon aan anderen dan degenen waaraan de Deelnemer uit hoofde van de Deelnemersovereenkomst gegevens mag verstrekken c.q. op grond van een wettelijke verplichting moet verstrekken. Het is de Deelnemer uitdrukkelijk verboden om data van/over de Persoon te verkopen.

Voor de rechtmatigheid van de verwerking van het BSN binnen de scope van het MedMij Afsprakenstelsel wordt verwezen naar het Juridisch kader (wet aanvullende bepalingen verwerking persoonsgegevens in de zorg) en de Toelichting verwerkingsverantwoordelijkheid    

Algemeen: Let goed op het verschil tussen toestemming en expliciete toestemming. Een grondslag voor de verwerking van bijzondere persoonsgegevens is uitdrukkelijke toestemming. 

Dit betreft een verzwaarde vorm van toestemming. De betrokkene moet nadrukkelijk uitdrukking hebben gegeven aan zijn wil om toestemming te verlenen voor het verwerken van zijn bijzondere persoonsgegevens. Impliciete toestemming is niet mogelijk. 

Artikel 8

Specifieke voorwaarden worden gesteld in de AVG voor toestemming van kinderen in het geval er sprake is van diensten van de informatiemaatschappij. Indien sprake is van een dergelijke situatie, dient de toestemming verleend te worden door de ouder of voogd. 

Het aanbieden van een PGO door een Dienstverlener persoon kan gekwalificeerd worden als het aanbieden van een dienst van de informatiemaatschappij zoals omschreven in artikel 3:15d lid 3 BW.  Onder dienst van de informatiemaatschappij wordt namelijk verstaan elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van de afnemer van de dienst wordt verricht zonder dat partijen gelijktijdig op dezelfde plaats aanwezig zijn.

Algemeen: In het afsprakenstelsel zijn afspraken opgenomen voor uitwisseling van gezondheidsgegevens van personen van 16 jaar en ouder, en van personen van 0 tot en met 11 jaar met als voorwaarde dat de benodigde voorzieningen voor vertegenwoordiging beschikbaar zijn. Als de voorziening voor personen van 12 tot en met 15 jaar beschikbaar komt dan wordt het afsprakenstelsel uitgebreid met de hiervoor benodigde rollen, taken en verantwoordelijkheden. 

Let op: Voor het verwerken van persoonsgegevens van kinderen gelden specifieke (strengere) eisen en eventueel de betrokkenheid van ouder of voogd. Bekijk goed wat u wel/ niet toestaat in de registratie van personen jonger dan 16 jaar voor een PGO.

Informatievoorziening

Artikel 12, 13, 14

Een verwerkingsverantwoordelijke is verantwoordelijk om betrokkenen te informeren over de verwerking van persoonsgegevens. Deze informatie dient zowel verschaft te worden indien de persoonsgegevens rechtstreeks bij de betrokkene worden verzameld, alsook wanneer de persoonsgegevens niet rechtstreeks bij de betrokkene worden verzameld. 

Indien persoonsgegevens rechtstreeks bij de betrokkene worden verzameld, dient de volgende informatie bij de verkrijging van de persoonsgegevens verstrekt te worden door de verwerkingsverantwoordelijke:

• De identiteit en contactgegevens van de verwerkingsverantwoordelijke, en indien van toepassing van de vertegenwoordiger;
• De contactgegevens van de functionaris voor gegevensbescherming indien aanwezig;
• De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd;
• De grondslag voor de verwerking;
• Indien de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van u of van een derde aan wie de gegevens worden verstrekt, dient informatie omtrent de gerechtvaardigde belangen verstrekt te worden;
• De ontvangers of categorieën van ontvangers van de persoonsgegevens indien van toepassing;
• Indien de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie dient aangegeven te worden of er een adequaatheidsbesluit van de Europese Commissie bestaat, of welke passende of geschikte waarborgen er zijn voor deze doorgifte;
• De periode gedurende welke de persoonsgegevens zullen worden opgeslagen. Indien deze informatie niet verstrekt kan worden, dienen de criteria ter bepaling van die termijn verstrekt te worden;
• De rechten die betrokkenen toekomen;
• Of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
• Het bestaan van eventuele geautomatiseerde besluitvorming en/of profilering.

Indien persoonsgegevens niet rechtstreeks van betrokkenen worden verkregen, dient in aanvulling op bovenstaande opsomming, door de verwerkingsverantwoordelijke ook informatie verstrekt te worden over:

• de betrokken categorieën van persoonsgegevens;
• de bron waar de persoonsgegevens vandaan komen en, in voorkomend geval, of zij afkomstig zijn van openbare bronnen.

De verwerkingsverantwoordelijke verstrekt in dit geval de informatie binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens.

Indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, dient de verwerkingsverantwoordelijke de informatie uiterlijk op het moment van het eerste contact met de betrokkene te verstrekken.

Algemeen: De Dienstverlener persoon is aanvullend op de AVG ook op grond van de Deelnemersovereenkomst (artikel 4.1) verplicht verwerking van de persoonsgegevens overeenkomstig de privacywet- en -regelgeving uit te voeren. Specifiek voor de Dienstverlener persoon is nog opgenomen dat Gebruikers worden geïnformeerd over hoe de Persoon zijn rechten in deze bij de Dienstverlener persoon kan uitoefenen.

.  

Rechten van betrokkenen

Artikel 15, 16, 17, 18, 20, 21, 22, 23

Betrokkenen waarvan persoonsgegevens verwerkt worden komen verschillende rechten toe op grond van de AVG. De verwerkingsverantwoordelijke is degene die de uitoefening van deze rechten moet faciliteren. Daarnaast is de verwerkingsverantwoordelijke verantwoordelijk om iedere ontvanger aan wie de persoonsgegevens zijn verstrekt, in kennis te stellen van ieder verzoek tot rectificatie of wissing van persoonsgegevens, of verzoek tot beperking van de verwerking. 

Recht op inzage

Betrokkenen hebben het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hen betreffende persoonsgegevens. Indien dit het geval is, heeft de betrokkene het recht om inzage te verkrijgen van die persoonsgegevens.  Bovendien dient dan informatie omtrent de verwerking van persoonsgegevens verstrekt te worden, die ook verstrekt dient te worden indien de persoonsgegevens verzameld worden bij de betrokkenen. 

Indien de betrokkene een verzoek tot inzage doet, verstrekt de verwerkingsverantwoordelijke een kopie van de persoonsgegevens die verwerkt worden aan de betrokkene. 

Recht op rectificatie

Indien persoonsgegevens onjuist zijn, heeft de betrokkene het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van deze onjuiste persoonsgegevens te verkrijgen. Indien bepaalde persoonsgegevens onvolledig worden verwerkt, gelet op de doeleinden van de verwerking, heeft de betrokkene ook het recht om deze persoonsgegevens te vervolledigen.  

Recht op gegevenswissing

Betrokkenen hebben het recht om van de verwerkingsverantwoordelijke, zonder onredelijke vertraging, wissing van hem betreffende persoonsgegevens te verkrijgen. De verwerkingsverantwoordelijke is in de volgende gevallen verplicht om de persoonsgegevens te wissen:

1. indien de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt;
2. de betrokkene trekt gegeven toestemming in, en er is geen andere rechtsgrond voor de verwerking;
3. de betrokkene maakt bezwaar tegen de verwerking, waarbij er geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking aanwezig zijn;
4. de persoonsgegevens zijn onrechtmatig verwerkt;
5. de persoonsgegevens moeten worden gewist om als verwerkingsverantwoordelijke te kunnen voldoen aan een wettelijke verplichting die op hem rust;
6. de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij aan een kind jonger dan 16 jaar. 

Een verwerkingsverantwoordelijke hoeft niet te voldoen aan een verzoek tot gegevenswissing indien de verwerking noodzakelijk is:

• voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
• voor het nakomen van een wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust;
• om redenen van algemeen belang op het gebied van volksgezondheid;
• met het oog op archivering in het algemeen belang, wetenschappelijke of historisch onderzoek of statistische doeleinden;
• voor de instelling, uitoefening of onderbouwing van een rechtsvordering. 

Recht op beperking van de verwerking

Betrokkenen hebben het recht om de verwerking van hen betreffende persoonsgegevens te beperken (de gegevens mogen in dat geval alleen door de verwerkingsverantwoordelijke worden bewaard en alleen voor beperkte doeleinden worden gebruikt) indien:

• de nauwkeurigheid van de gegevens wordt betwist (en alleen zolang als nodig is om die nauwkeurigheid te verifiëren);
• de verwerking onrechtmatig is en de betrokkene verzoekt om beperking en zich verzet tegen het wissen van de persoonsgegevens;
• de verwerkingsverantwoordelijke de gegevens niet meer nodig heeft voor het oorspronkelijke doel, maar de betrokkene de gegevens nog wel nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering; of
• de betrokkene bezwaar heeft gemaakt tegen de verwerking, en in afwachting is van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan zijn eigen rechten.

Recht op overdraagbaarheid van gegevens

Betrokkenen hebben het recht om:

• een kopie te ontvangen van hun betreffende persoonsgegevens in een gestructureerde, veelgebruikte, machineleesbare vorm die hergebruik ondersteunt;
• hen betreffende persoonsgegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere over te dragen.

Recht van bezwaar

Betrokkenen hebben het recht om bezwaar te maken, vanwege met specifieke situatie verband houdende redenen, tegen de verwerking van persoonsgegevens indien die grondslag voor die verwerking is:

• noodzakelijkheid voor de vervulling van een taak van algemeen belang, of
• noodzakelijkheid voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

De verwerkingsverantwoordelijke moet deze verwerking staken, tenzij de verantwoordelijke:

• aan kan tonen dat hij dwingende gerechtvaardigde gronden heeft voor de verwerking die prevaleren boven de belangen, rechten en vrijheden van de betrokkene, of
• er gerechtvaardigde gronden zijn die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.

Daarnaast hebben betrokkenen het recht om bezwaar te maken tegen de verwerking van persoonsgegevens met het oog op direct marketing, inclusief profilering. 

Geautomatiseerde individuele besluitvorming, waaronder profilering

Betrokkenen hebben tot slot het recht niet te worden onderworpen aan een besluit dat tot stand is gekomen door een uitsluitend geautomatiseerde verwerking of profilering.

NB Er zijn uitzonderingen mogelijk op de uitoefening van de rechten van betrokkene, op voorwaarde dat de wezenlijke inhoud van de grondrechten en fundamentele vrijheden niet wordt aangetast en dat het gaat om noodzakelijke en evenredige maatregelen ter waarborging van enkele expliciet opgesomde belangrijke doelstellingen van algemeen belang. Uitzonderingen dienen altijd een wettelijke grondslag te hebben.

Algemeen: Betrokkenen, Personen in termen van het MedMij Afsprakenstelsel, kunnen hun rechten uitoefenen jegens de Dienstverlener persoon voor de gegevens die verwerkt worden binnen de PGO. 

Verzoeken die gebaseerd zijn op een recht dat de betrokkene toekomt moeten daarom rechtstreeks aan de Dienstverlener persoon gericht te worden als het gaat om persoonsgegevens die verwerkt worden in de PGO. In art. 4.1 van de Deelnemersovereenkomst staat dat de deelnemers de verwerking van de persoonsgegevens overeenkomstig de privacywet- en
-regelgeving uitvoeren. Specifiek voor de Dienstverlener persoon is nog opgenomen dat Gebruikers worden geïnformeerd over hoe de Persoon zijn rechten in deze bij de Dienstverlener persoon kan uitoefenen.

Algemeen : Betrokkenen, Personen in termen van het MedMij Afsprakenstelsel, kunnen daarnaast hun rechten uitoefenen jegens de Aanbieder met betrekking tot de gegevens die verwerkt worden door de Aanbieder in de uitoefening van zijn zorgtaken. De relatie Persoon – Aanbieder valt buiten de scope van het Afsprakenstelsel MedMij. De Dienstverlener aanbieder is de Deelnemer. Om ervoor te zorgen dat de Aanbieder zijn verantwoordelijkheid kan nemen bij een verzoek om uitoefening van rechten van één van zijn patiënten die gebruik maakt van een PGO dat via het MedMij-netwerk gegevens uitwisselt, is in art. 3.7 van de modelverwerkersovereenkomst tussen de Dienstverlener aanbieder en de Aanbieder opgenomen dat de Dienstverlener aanbieder zijn medewerking verleent. 

Algemeen: Zorg dat betrokkenen, Personen, de genoemde rechten kunnen uitoefenen en richt hiervoor processen in. Het is van belang dat de deelnemer kan aantonen dat dit gebeurt/is gebeurd. Indien mogelijk, richt dit dan zo in dat veel rechten, zoals hier genoemd, al automatisch uit te oefenen zijn in onder andere de PGO zelf. 

Verplichtingen verwerkingsverantwoordelijken

Artikel 5, 24 t/m 28, 30 t/m 36

Op partijen die de rol van verwerkingsverantwoordelijke vervullen rusten diverse verplichtingen.

1. Allereerst is de verwerkingsverantwoordelijke verantwoordelijk voor, en moet hij in staat zijn om aan te tonen dat de gegevensbeschermingsbeginselen zoals neergelegd in de AVG worden nageleefd.

2. De verwerkingsverantwoordelijke is verantwoordelijk voor het implementeren van passende technische en organisatorische maatregelen om te garanderen, en om aan te tonen, dat zijn verwerkingsactiviteiten voldoen aan de vereisten van de AVG. Deze maatregelen kunnen het implementeren van een passend gegevensbeschermingsbeleid omvatten. Het naleven van goedgekeurde gedragscodes kan een bewijs zijn van naleving.

3. Verwerkingsverantwoordelijken moeten ervoor zorgen dat zowel in de ontwerpfase van nieuwe verwerkingsactiviteiten, als in de implementatiefase van een nieuw product of dienst (bijvoorbeeld een nieuw ontwikkelde PGO), gegevensbeschermingsbeginselen en passende voorzorgsmaatregelen worden onderzocht en geïmplementeerd. Daarnaast dienen de nodige waarborgen in de verwerking ingebouwd te worden ter bescherming van de rechten van de betrokkenen. Dit wordt ook wel gegevensbescherming door ontwerp genoemd. 

Daarnaast dienen passende technische en organisatorische maatregelen getroffen te worden om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Dit wordt ook wel gegevensbescherming door standaardinstellingen genoemd. 

4. Indien twee of meer verwerkingsverantwoordelijkheden gezamenlijk de doeleinden en de middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. In dit geval dienen zij hun respectievelijke verantwoordelijkheden met betrekking tot de nakoming van de verplichtingen uit de AVG vast te stellen door middel van een onderlinge regeling. Betrokkenen kunnen in dit geval hun rechten uitoefenen jegens iedere verwerkingsverantwoordelijke afzonderlijk. 

5. Een verwerkingsverantwoordelijke die buiten de EU is gevestigd, moet een vertegenwoordiger aanwijzen in een van de lidstaten waar de verwerkingsverantwoordelijke goederen of diensten aanbiedt of EU-ingezetenen monitort, tenzij de verwerking incidenteel en kleinschalig is en geen gevoelige persoonsgegevens bevat.

6. Verwerkingsverantwoordelijken kunnen verwerkers inschakelen om persoonsgegevens te verwerken op hun instructie, zoals een hostingbedrijf dat de PGO-gegevens moet hosten. 

Slechts verwerkers die de naleving van de AVG garanderen mogen ingeschakeld worden. De verwerkingsverantwoordelijke dient een verwerkersovereenkomst af te sluiten met de verwerker. Er is een MedMij Modelverwerkersovereenkomst beschikbaar die gebruikt kan worden tussen de Aanbieder en de Dienstverlener aanbieder. 

Indien er wordt gekozen voor een eigen verwerkersovereenkomst moet daarin informatie opgenomen te worden over:

• het onderwerp van de verwerking(en);
• de duur van de verwerking;
• de aard van het doel van de verwerking;
• het soort persoonsgegevens en de categorieën van betrokkenen;
• de rechten en verplichtingen van de verwerkingsverantwoordelijke. 

In de verwerkersovereenkomst moet bovendien opgenomen worden dat de verwerker:

1. alleen persoonsgegevens mag verwerken op basis van gedocumenteerde instructies door de verwerkingsverantwoordelijke;
2. waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen;
3. de beveiliging van de persoonsgegevens die hij verwerkt moet garanderen;
4. aan regels is gebonden indien hij een sub-verwerker in wilt schakelen;
5. maatregelen implementeert om de verwerkingsverantwoordelijke te kunnen helpen bij de naleving van de rechten van betrokkenen;
6. de verwerkingsverantwoordelijke assisteert bij het verkrijgen van goedkeuring van een toezichthouder indien nodig;
7. na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of deze aan hem terugbezorgt;
8. alle informatie verstrekt aan de verwerkingsverantwoordelijke die noodzakelijk is om naleving van de AVG aan te kunnen tonen. 

7. Een verwerkingsverantwoordelijke dient een register van de verwerkingsactiviteiten, ook wel verwerkingsregister genoemd, bij te houden. Dit register dient minimaal de volgende gegevens te bevatten:

• De naam en contactgegevens van:
  • de verwerkingsverantwoordelijke
  • indien van toepassing die van de gezamenlijke verwerkingsverantwoordelijken en/of vertegenwoordiger van de verwerkingsverantwoordelijke, en van de functionaris voor gegevensbescherming;
• De verwerkingsdoeleinden;
• Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
• De categorieën van ontvangers aan wie de persoonsgegevens zijn óf zullen worden verstrekt;
• Indien van toepassing: doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of internationale organisatie en de passende waarborgen; 
• De van toepassing zijnde bewaartermijnen;
• Een omschrijving van de geïmplementeerde beveiligingsmaatregelen. 

8. Een verwerkingsverantwoordelijke is, samen met de verwerker, verplicht om desgevraagd samen te werken met de toezichthoudende autoriteit bij het vervullen van haar taken. 

9. De verwerkingsverantwoordelijke moet passende technische en organisatorische beveiligingsmaatregelen treffen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging of verlies, wijziging, ongeautoriseerde openbaarmaking of toegang. Afhankelijk van de verwerkingsactiviteiten kunnen de beveiligingsmaatregelen het volgende omvatten:

• Pseudonimisering en versleuteling van persoonsgegevens;
• Doorlopende beoordelingen van de beveiligingsmaatregelen;
• Redundantie en back-up mogelijkheden;
• Regelmatig testen, beoordelen en evalueren van de beveiligingsmaatregelen. 

Wat een passend niveau van beveiliging is, dient te worden getoetst aan de hand van de verwerkingsrisico’s die met de verwerkingsactiviteit gepaard gaan. 

10. De verwerkingsverantwoordelijke is verplicht om een inbreuk in verband met persoonsgegevens, ook wel datalek genoemd, zonder onredelijke vertraging en uiterlijk 72 uur nadat hij er kennis van heeft genomen te melden bij de bevoegde toezichthoudende autoriteit. (In Nederland is dit de Autoriteit Persoonsgegevens). De enige uitzondering hierop is wanneer beoordeeld is dat het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van betrokkenen. De melding moet minimaal de volgende informatie bevatten:

1. Een omschrijving van de inbreuk in verband met persoonsgegevens, met inbegrip van het aantal betrokken betrokkenen en de getroffen categorieën van persoonsgegevens;
2. De naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
3. De waarschijnlijke gevolgen van de inbreuk;
4. De maatregelen die zijn getroffen om de inbreuk aan te pakken, waaronder maatregelen die de eventuele nadelige gevolgen van de inbreuk beperken. 

De verwerkingsverantwoordelijke is bovendien verplicht om alle inbreuken in verband met persoonsgegevens te documenteren, inclusief informatie over de gevolgen daarvan en de genomen corrigerende maatregelen. 

Indien een inbreuk in verband met persoonsgegevens een hoog risico oplevert voor betrokkenen, is de verwerkingsverantwoordelijke bovendien verplicht om de betrokkenen te informeren over deze inbreuk. Deze melding dient minimaal punt 2 t/m 4 van de verplichte informatie aan de toezichthoudende autoriteit te bevatten. 

Een verwerkingsverantwoordelijke is uitgezonderd van deze meldingsplicht indien:

• Er passende technische en organisatorische beschermingsmaatregelen genomen zijn en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, zoals bijvoorbeeld versleuteling van de data. 
• Achteraf maatregelen genomen zijn om ervoor te zorgen dat de bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen.
• De mededeling onevenredige inspanningen zou vergen.

11. De verwerkingsverantwoordelijke dient in elk geval een functionaris voor gegevensbescherming aan te wijzen indien hij hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens. 

12. Indien een soort verwerking van persoonsgegevens, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen, dient de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit te voeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Een dergelijke beoordeling wordt een gegevensbeschermingseffectbeoordeling genoemd. Dit is een degelijk instrument om vooraf privacyrisico’s van de voorgenomen verwerkingsactiviteit(en) in kaart te brengen. 

Een gegevensbeschermingseffectbeoordeling is in ieder geval vereist indien het een grootschalige verwerking van bijzondere persoonsgegevens betreft. 

Een beoordeling bevat tenminste de volgende punten:

• een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
• een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
• een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen;
• beoogde maatregelen om de risico's aan te pakken.

Wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren indien geen maatregelen genomen worden om het risico te beperken, dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking de toezichthoudende autoriteit te raadplegen. 

Algemeen: Het afsprakenstelsel bepaalt dat de deelnemers aan het afsprakenstelsel ingeschreven moeten zijn in een handelsregister in de EU.

In het MedMij Afsprakenstelsel is onder andere in de architectuur en technische specificaties rekening gehouden met het proportionaliteits-  en subsidiariteitsbeginsel. Op die manier is gestreefd naar afspraken waarbij niet meer gegevens worden verwerkt dan noodzakelijk is voor de gegevensuitwisseling (Privacy by Design en Privacy by Default). Dit wordt onafhankelijk getoetst.

6. Verwerkersovereenkomst. Aanvullend op de verplichtingen in de AVG staat in het MedMij Afsprakenstelsel dat verwerkers van persoonsgegevens, die in opdracht van de verwerkingsverantwoordelijke werken, waaronder de Dienstverlener aanbieder die de gegevensuitwisseling conform MedMij-afspraken regelt, een verwerkersovereenkomst af moeten sluiten. Hiervoor is een model verwerkersovereenkomst beschikbaar gesteld, waarin expliciet rekening is gehouden met de situatie die voortvloeit uit deelname aan het MedMij Afsprakenstelsel. 

9. Passende technische en organisatorische beveiligingsmaatregelen. In het MedMij Afsprakenstelsel is een aanvullend normenkader informatiebeveiliging opgenomen. Op basis van een stelselrisicoanalyse en/of PIA worden maatregelen (her)overwogen en eventueel aanvullende privacy- en informatiebeveiligingsmaatregelen gedefinieerd. Dit kan resulteren in bijstelling van het Normenkader informatiebeveiliging en de Architectuur en technische specificaties.

10. Datalek. MedMij-deelnemers zijn zelf verantwoordelijk om eventuele datalekken te signaleren. Zie hiervoor ook de  Guidelines on Personal data breach notification van de Europese privacytoezichthouders:

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken.

In het MedMij Afsprakenstelsel staat in het Normenkader informatiebeveiliging opgenomen dat beveiligingsincidenten binnen 48 uur gemeld moeten worden bij de beheerorganisatie. Hieronder vallen ook datalekken. 

De beheerorganisatie is verantwoordelijk om een impactanalyse te doen op het beveiligingslek en/of beveiligingsincident voor het stelsel als geheel, en dit te delen met andere partijen als dit nodig wordt geacht. 

7. Verwerkingsregister. Een verwerkingsregister biedt ook een goed uitgangspunt voor een verwerkingsverantwoordelijke om de data die verzameld is goed in beeld te krijgen. Door de identificatie van alle data ontstaat ook een goed beeld over de stappen die ondernomen moeten worden op het gebied van beveiliging van de data. Voor een deelnemer is het dus belangrijk een dergelijk register bij te houden en hierin ook de verwerkingen op te nemen die het gevolg zijn van deelname aan het MedMij Afsprakenstelsel.

.

12. Formats voor gegevensbeschermingseffectbeoordelingen:

Van de ICO: https://ico.org.uk/media/about-the-ico/consultations/2258461/dpia-template-v04-post-comms-review-20180308.pdf
Van de CNIL: https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-2-en-templates.pdf
Het Rijksoverheidmodel: https://www.rijksoverheid.nl/documenten/rapporten/2017/09/29/model-gegevensbeschermingseffectbeoordeling-rijksdienst-pia

Verplichtingen verwerker 

Artikel 28 t/m 33, 37

Op partijen die de rol van verwerker vervullen rusten diverse verplichtingen. 

1. Een verwerker mag alleen persoonsgegevens verwerken op basis van gedocumenteerde instructies van een verwerkingsverantwoordelijke. Tussen de verwerkingsverantwoordelijke en de verwerker dient een verwerkersovereenkomst afgesloten te worden. 

2. Een verwerker moet de beveiliging van de persoonsgegevens die hij verwerkt garanderen aan de verwerkingsverantwoordelijke. 

3. De verwerker moet ervoor zorgen dat alle persoonsgegevens die hij verwerkt vertrouwelijk worden behandeld. De verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker moet van de verwerker eisen dat hij ervoor zorgt dat alle personen die gemachtigd zijn om de persoonsgegevens te verwerken, een passende geheimhoudingsplicht hebben.

4. Een verwerker mag slechts sub-verwerkers inschakelen indien de verwerkingsverantwoordelijke hier, vooraf, schriftelijk toestemming voor heeft gegeven. Wanneer de verwerkingsverantwoordelijke instemt met de aanstelling van sub-verwerkers, moeten die sub-verwerkers op dezelfde voorwaarden worden aangesteld als zijn vastgesteld in de verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker.  

5. Een verwerker dient een register van de verwerkingsactiviteiten, ook wel verwerkingsregister genoemd, bij te houden. Dit register dient minimaal de volgende gegevens te bevatten:

• De naam en contactgegevens van:
  • de verwerkingsverantwoordelijke
  • indien van toepassing, de gezamenlijke verwerkingsverantwoordelijken en/of vertegenwoordiger van de verwerkingsverantwoordelijke, en van de functionaris voor gegevensbescherming;
• De verwerkingsdoeleinden;
• Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
• De categorieën van ontvangers aan wie de persoonsgegevens zijn óf zullen worden verstrekt;
• Indien van toepassing: doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of internationale organisatie en de passende waarborgen; 
• De van toepassing zijnde bewaartermijnen;
• Een omschrijving van de geïmplementeerde beveiligingsmaatregelen. 

6. Verwerkers (en hun vertegenwoordigers, indien aanwezig) zijn verplicht om op verzoek samen te werken met toezichthoudende autoriteiten bij de uitvoering van haar taken.

7. De verwerker moet passende technische en organisatorische beveiligingsmaatregelen treffen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging of verlies, wijziging, ongeautoriseerde openbaarmaking of toegang. Afhankelijk van de verwerkingsactiviteiten kunnen de beveiligingsmaatregelen het volgende omvatten:

• pseudonimisering en versleuteling van persoonsgegevens;
• doorlopende beoordelingen van de beveiligingsmaatregelen;
• redundantie en back-up-mogelijkheden;
• regelmatig testen, beoordelen en evalueren van de beveiligingsmaatregelen. 

Wat een passend niveau van beveiliging is, dient te worden getoetst aan de hand van de verwerkingsrisico’s die met de verwerkingsactiviteit gepaard gaan. 

8. De verwerker is verplicht om een inbeuk in verband met persoonsgegevens, ook wel datalek genoemd, zonder onredelijke vertraging te melden aan de verwerkingsverantwoordelijke. 

9. Indien de verwerkingsverantwoordelijke waarvoor de verwerker persoonsgegevens verwerkt verplicht is om een functionaris voor de gegevensbescherming aan te stellen, werkt deze verplichting door op de verwerker. 

NB. Indien een verwerker, in strijd met de AVG, zelf doeleinden en middelen van een verwerkingsactiviteit vaststelt, wordt de verwerker met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.

In artikel 8 van de Deelnemersovereenkomst zijn, aanvullend op de AVG, verantwoordelijkheden van een deelnemer jegens derden, waaronder verwerkers van persoonsgegevens, opgenomen.  

7.  Passende technische en organisatorische beveiligingsmaatregelen.  In het MedMij Afsprakenstelsel is een Normenkader informatiebeveiliging opgenomen waarin de informatiebeveiliging binnen het MedMij-netwerk uiteen is gezet. In de Deelnemersovereenkomst is aangegeven dat de Deelnemer de voor hem geldende afspraken uit het MedMij Afsprakenstelsel in dit kader moet doorvertalen naar (sub)verwerkers. De Deelnemer staat er jegens de Stichting MedMij voor in dat de door hem ingeschakelde derde voor zijn Diensten en/of Gegevensdiensten alle verplichtingen uit de Deelnemersovereenkomst nakomt, onder andere dus de uitvoering van de afspraken in het MedMij Afsprakenstelsel, en is aansprakelijk voor het handelen op grond van deze Overeenkomst van de door hem ingeschakelde derde.

Algemeen: Ook voor verwerkers (bijvoorbeeld de Dienstverlener aanbieder of subverwerkers van dienstverleners) is het belangrijk om in een verwerkersovereenkomst duidelijke afspraken te maken met een verwerkingsverantwoordelijke over de verwerkingen die zij uit zullen gaan voeren. Zij kunnen zelf het initiatief nemen om een verwerkersovereenkomst af te sluiten mocht de verwerkingsverantwoordelijke dit initiatief niet tonen.   

9. Functionaris voor de gegevensbescherming. We raden verwerkers aan zelf te onderzoeken of zij een functionaris voor de gegevensbescherming aan moeten stellen doordat de verwerkingsverantwoordelijke hiertoe ook verplicht is.