(v3.0.0) Toelichting AVG-normen
Gegevens die door MedMij-deelnemers worden uitgewisseld betreffen bijna altijd bijzondere persoonsgegevens. Deelnemers moeten hiervoor voldoen aan de normen die de AVG stelt met betrekking tot het verwerken van deze persoonsgegevens. Vanwege het belang van een correcte uitvoering van deze wet door MedMij-deelnemers, geeft MedMij hieronder een toelichting op de verantwoordelijkheden en normen in de AVG. Wanneer aan de orde, staat in de tweede kolom of het MedMij Afsprakenstelsel een nadere invulling, dan wel een aanvulling heeft gedefinieerd op dat onderwerp. In de derde kolom staan eventuele opmerkingen of een aandachtspunt voor deelnemers opgenomen.
Onderstaande tabel is een hulpmiddel voor de deelnemer. De publicatie van deze tabel doet niets af aan de eigen verantwoordelijkheid van de verwerkingsverantwoordelijke om de AVG te implementeren. Deelnemers zijn zelf verantwoordelijk voor de correcte implementatie van de wet. Bij (v3.0.0) Toetreding tot het stelsel verklaart de deelnemer met de (v3.0.0) Zelfverklaring integriteit te voldoen aan de AVG.
Artikel AVG | Norm AVG | Aanvulling MedMij Afsprakenstelsel | Opmerking en/of aandachtspunt | Referentienummer |
---|---|---|---|---|
Toepassingsgebied AVG | ||||
Artikel 2, 3 | De AVG is van toepassing op:
Verwerking van persoonsgegevens waarop de AVG van toepassing is moet plaatsvinden in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Europese Unie, ongeacht of de verwerking al dan niet plaatsvindt in de Europese Unie. De AVG is ook van toepassing op organisaties die buiten de Europese Unie zijn gevestigd, indien zij persoonsgegevens verwerken van betrokkenen in de Europese Unie óf indien zij het gedrag van betrokkenen in de Europese Unie monitoren. | Het MedMij Afsprakenstelsel bepaalt dat haar deelnemers ingeschreven moeten zijn in een handelsregister in de EU. Inschrijving in een handelsregister in de EU impliceert ofwel een vestiging in de EU, ofwel ondernemingsactiviteiten in de EU. Zo is de AVG van toepassing op deelnemers aan het afsprakenstelsel. | jur.avg.001 | |
Algemene bepalingen en definities | ||||
Artikel 4, 9 | Het begrip 'persoonsgegevens' betreft alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. De AVG maakt een onderscheid tussen: 1) persoonsgegevens, en 2) bijzondere categorieën van persoonsgegevens. Bijzondere categorieën van persoonsgegevens, hierna bijzondere persoonsgegevens, betreffen gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Het zullen vooral bijzondere persoonsgegevens zijn die via het MedMij-netwerk uitgewisseld worden, aangezien de verwerking voornamelijk op gegevens betreffende de gezondheid van personen zal plaatsvinden. | jur.avg.101 | ||
Artikel 4 | In de AVG worden twee rollen gedefinieerd:
Een verwerkingsverantwoordelijke is degene die alleen, of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Deze rol kan vervuld worden door een natuurlijk persoon, een rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan. Een verwerker is een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van, en op instructie van, de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Het is de feitelijke situatie waaruit afgeleid wordt welke partij welke rol vervult. Dit is contractueel niet af te spreken. | Gelet op de rolomschrijvingen in het MedMij Afsprakenstelsel zullen de Aanbieder en de Dienstverlener persoon waarschijnlijk de rol van verwerkingsverantwoordelijke vervullen. De Dienstverlener aanbieder zal, indien gegevens verwerkt worden in opdracht van de Aanbieder, de rol aannemen van verwerker.  Dit hangt echter wel altijd af van de feitelijke informatie en omstandigheden. Een toelichting is gegeven op de pagina Toelichting verwerkingsverantwoordelijkheden | jur.avg.102 | |
Artikel 4 | Verwerking van persoonsgegevens is een breed begrip. Het omvat in feite elke handeling die de gegevens betreft, waaronder eenvoudigweg het houden, ontvangen, verzamelen, bewerken, opslaan of verwijderen van die gegevens. | jur.avg.103 | ||
Artikel 5 | Persoonsgegevens die verwerkt worden dienen juist te zijn en zo nodig geactualiseerd te worden. Redelijke maatregelen moeten worden genomen door de verwerkingsverantwoordelijke om de persoonsgegevens die onjuist zijn, onverwijld te wissen of te wijzigen. | Aanbieders zijn zelf verantwoordelijk om te communiceren aan personen over de persoonsgegevens die zij verwerken. Dienstverleners persoon, als aanbieder van een PGO, moeten zich ervan bewust te zijn dat ze verantwoordelijk zijn om de persoonsgegevens die zij zelf verzamelen (en eventueel ook in een PGO aanwezig zijn) actueel te houden. De dienstverlener is niet verantwoordelijk voor de juistheid van de gegevens/ inhoud van de PGO die daarin zelf door de Persoon wordt opgenomen. | jur.avg.104 | |
Artikel 5 | In beginsel mogen persoonsgegevens slechts voor:
verwerkt worden. Indien persoonsgegevens voor een ander, secundair, doeleinde verwerkt worden, is dit slechts mogelijk indien de betrokkene toestemming heeft gegeven voor deze verdere verwerking, of indien dit noodzakelijk is voor een specifiek wettelijk voorschrift ter waarborging van een belangrijke doelstelling van algemeen belang. Tot slot mogen persoonsgegevens niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld en verder verwerkt. | In het MedMij Afsprakenstelsel is bepaald dat in het kader van de uitvoering van de Deelnemersovereenkomst met MedMij het doel van de verwerking van de persoonsgegevens de waarborging en realisering van een veilige, interoperabele en betrouwbare gegevensuitwisseling tussen de Persoon en Aanbieder via de Dienstverlener persoon en de Dienstverlener aanbieder overeenkomstig het bepaalde in het MedMij Afsprakenstelsel is. Deze bepaling is ook opgenomen in artikel 9 van de Modelverwerkersovereenkomst Aanbieder – Dienstverlener aanbieder. In het MedMij Afsprakenstelsel zijn bewaartermijnen gegeven voor de vereiste logging van de gegevensuitwisseling en de verwerking. | Aanvullend moeten de Dienstverlener persoon en de Aanbieder de doeleinden voor (de verdere/eigen) verwerking van de persoonsgegevens specifiek te formuleren voor de Persoon, zodat duidelijk is waarom de verwerking van persoonsgegevens nodig is om dit doel te realiseren en ook in hoeverre de gegevens voor andere doeleinden kunnen worden verwerkt. Doordat het doel duidelijk geformuleerd is, wordt het ook snel duidelijk wanneer persoonsgegevens verwerkt zullen worden voor secundaire doeleinden. Voordat een Persoon zijn PGO in gebruik neemt moet de Dienstverlener persoon een specifieke toestemming verkrijgen van de Persoon voor het verwerken van persoonsgegevens. | jur.avg.105 |
Artikel 5 | Gegevensverwerkingen dienen te worden beperkt tot wat noodzakelijk is voor de verwerkingsdoeleinden. De gegevensverwerking moet derhalve vooraf getoetst worden aan de beginselen van proportionaliteit en subsidiariteit. Proportionaliteit  betekent dat moet worden beoordeeld of de inbreuk op de privacy van betrokkenen van de voorgenomen gegevensverwerking in een redelijke verhouding staat tot het doel. Daarbij zal moeten worden gekeken of de voorgenomen gegevensverwerking effectief is om het beoogde doel te bereiken en of de te verwerken persoonsgegevens relevant en toereikend zijn om het beoogde doel te bereiken. Bij subsidiariteit wordt bekeken of de verwerkingsdoeleinden met minder ingrijpende middelen kunnen worden bereikt. | In het MedMij Afsprakenstelsel is onder andere in de (v3.0.0) Architectuur en technische specificaties rekening gehouden met het proportionaliteits-  en subsidiariteitsbeginsel. Op die manier is gestreefd naar afspraken waarbij niet meer gegevens worden verwerkt dan noodzakelijk is voor de gegevensuitwisseling (Privacy by Design en Privacy by Default). Dit wordt onafhankelijk getoetst. | jur.avg.106 | |
Artikel 5, 6 | Indien persoonsgegevens verstrekt worden aan derde partijen, moet de verwerking door deze derde partijen in lijn zijn met het doel waarvoor de persoonsgegevens oorspronkelijk zijn verzameld en verwerkt. | Deze bepaling is aanvullend op de AVG ook opgenomen in artikel 5.6 van de Deelnemersovereenkomst Dienstverlener persoon en Dienstverlener aanbieder. | jur.avg.107 | |
Grondslagen & toestemming | ||||
Artikel 6, 7, 9 | Persoonsgegevens mogen slechts verwerkt worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen, indien de verwerking plaatsvindt op een van de grondslagen die limitatief opgesomd zijn in de AVG. Dit betreft de volgende grondslagen: 1)     Toestemming van de betrokkene; 2)     De gegevens zijn noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene een partij is; 3)     De gegevens zijn noodzakelijk voor het volgen van een wettelijke verplichting; 4)     De gegevensverwerking is noodzakelijk om vitale belangen van de betrokkene of van een ander natuurlijk persoon te beschermen; 5)     De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag; 6)     De gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van u of van een derde aan wie de gegevens worden verstrekt. Bij verwerking van bijzondere of strafrechtelijke persoonsgegevens (zie de sectie Algemene bepalingen en definities bovenaan in deze tabel) dient één van de wettelijke uitzonderingen op het verwerkingsverbod van toepassing te zijn (art. 9 lid 2 AVG). Als geen van deze uitzonderingen van toepassing is, dan is de verwerking van dit type persoonsgegevens verboden. Op bovengenoemd verwerkingsverbod gelden samengevat de volgende uitzonderingen:
Indien persoonsgegevens worden verwerkt op basis van gegeven toestemming, gelden er nog enkele specifieke vereisten:
Indien een verdere verwerking niet verenigbaar is met het oorspronkelijke doel, dan zal de verwerkingsverantwoordelijke een specifieke wettelijke grondslag moeten hebben of toestemming moeten vragen van de betrokkene voor de verdere verwerking. Onder de AVG, anders dan onder de Wbp, is het BSN geen bijzonder persoonsgegeven meer, maar kent wel een specifieke bepaling in verband met de gegevensverwerking en opgenomen in art 87 AVG/46 Uitvoeringswet AVG. | Algemeen: In het afsprakenstelsel staat dat in het kader van de uitvoering van de Deelnemersovereenkomst met MedMij het doel van de verwerking van de persoonsgegevens de waarborging en realisering van een veilige, interoperabele en betrouwbare gegevensuitwisseling tussen de Persoon en Aanbieder via de Dienstverlener persoon en de Dienstverlener aanbieder overeenkomstig het bepaalde in het MedMij Afsprakenstelsel is. In de overeenkomst met de deelnemer is bepaald dat: Voor zover de verwerking van persoonsgegevens door de Deelnemer wordt gebaseerd op de rechtmatigheidsgrondslag 'toestemming' in de zin van artikel 6 lid 1 AVG is de verwerking voor een ander doel dan genoemd in artikel 5.5 van deze Overeenkomst toegestaan, mits de beginselen van de AVG op deze verdere verwerking wordt toegepast, de Persoon over deze verdere verwerking wordt geïnformeerd alsmede over de rechten die de Persoon tegen deze verdere verwerking kan uitoefenen. Voor zover de verwerking van de persoonsgegevens wordt gebaseerd op de rechtmatigheidsgrondslag 'noodzakelijk voor de uitvoering van de overeenkomst' in de zin van artikel 6 lid 1 sub c AVG, is verdere verwerking van de persoonsgegevens door de Deelnemer alleen toegestaan indien de evenredigheidstoets van artikel 6 lid 4 AVG succesvol is doorlopen.         Meer informatie is ook te vinden op de pagina Toelichting verwerkingsverantwoordelijkheden. De Deelnemer verstrekt geen persoonsgegevens van de Persoon aan anderen dan degenen waaraan de Deelnemer uit hoofde van de Deelnemersovereenkomst gegevens mag verstrekken c.q. op grond van een wettelijke verplichting moet verstrekken. Het is de Deelnemer uitdrukkelijk verboden om data van/over de Persoon te verkopen. Voor de rechtmatigheid van de verwerking van het BSN binnen de scope van het MedMij Afsprakenstelsel wordt verwezen naar het (v3.0.0) Juridisch kader (wet aanvullende bepalingen verwerking persoonsgegevens in de zorg) en de (v3.0.0) Toelichting verwerkingsverantwoordelijkheid     | Algemeen: Let goed op het verschil tussen toestemming en expliciete toestemming. Een grondslag voor de verwerking van bijzondere persoonsgegevens is uitdrukkelijke toestemming. Dit betreft een verzwaarde vorm van toestemming. De betrokkene moet nadrukkelijk uitdrukking hebben gegeven aan zijn wil om toestemming te verlenen voor het verwerken van zijn bijzondere persoonsgegevens. Impliciete toestemming is niet mogelijk. | jur.avg.201 |
Artikel 8 | Specifieke voorwaarden worden gesteld in de AVG voor toestemming van kinderen in het geval er sprake is van diensten van de informatiemaatschappij. Indien sprake is van een dergelijke situatie, dient de toestemming verleend te worden door de ouder of voogd. Het aanbieden van een PGO door een Dienstverlener persoon kan gekwalificeerd worden als het aanbieden van een dienst van de informatiemaatschappij zoals omschreven in artikel 3:15d lid 3 BW.  Onder dienst van de informatiemaatschappij wordt namelijk verstaan elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van de afnemer van de dienst wordt verricht zonder dat partijen gelijktijdig op dezelfde plaats aanwezig zijn. | Algemeen: In het afsprakenstelsel zijn afspraken opgenomen voor uitwisseling van gezondheidsgegevens van personen van 16 jaar en ouder, en van personen van 0 tot en met 11 jaar met als voorwaarde dat de benodigde voorzieningen voor vertegenwoordiging beschikbaar zijn. Als de voorziening voor personen van 12 tot en met 15 jaar beschikbaar komt dan wordt het afsprakenstelsel uitgebreid met de hiervoor benodigde rollen, taken en verantwoordelijkheden. | Let op: Voor het verwerken van persoonsgegevens van kinderen gelden specifieke (strengere) eisen en eventueel de betrokkenheid van ouder of voogd. Bekijk goed wat u wel/ niet toestaat in de registratie van personen jonger dan 16 jaar voor een PGO. | jur.avg.202 |
Informatievoorziening | ||||
Artikel 12, 13, 14 | Een verwerkingsverantwoordelijke is verantwoordelijk om betrokkenen te informeren over de verwerking van persoonsgegevens. Deze informatie dient zowel verschaft te worden indien de persoonsgegevens rechtstreeks bij de betrokkene worden verzameld, alsook wanneer de persoonsgegevens niet rechtstreeks bij de betrokkene worden verzameld. Indien persoonsgegevens rechtstreeks bij de betrokkene worden verzameld, dient de volgende informatie bij de verkrijging van de persoonsgegevens verstrekt te worden door de verwerkingsverantwoordelijke:
Indien persoonsgegevens niet rechtstreeks van betrokkenen worden verkregen, dient in aanvulling op bovenstaande opsomming, door de verwerkingsverantwoordelijke ook informatie verstrekt te worden over:
De verwerkingsverantwoordelijke verstrekt in dit geval de informatie binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens. Indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, dient de verwerkingsverantwoordelijke de informatie uiterlijk op het moment van het eerste contact met de betrokkene te verstrekken. | Algemeen: De Dienstverlener persoon is aanvullend op de AVG ook op grond van de Deelnemersovereenkomst (artikel 4.1) verplicht verwerking van de persoonsgegevens overeenkomstig de privacywet- en -regelgeving uit te voeren. Specifiek voor de Dienstverlener persoon is nog opgenomen dat Gebruikers worden geïnformeerd over hoe de Persoon zijn rechten in deze bij de Dienstverlener persoon kan uitoefenen. .  | jur.avg.301 | |
Rechten van betrokkenen | ||||
Artikel 15, 16, 17, 18, 20, 21, 22, 23 | Betrokkenen waarvan persoonsgegevens verwerkt worden komen verschillende rechten toe op grond van de AVG. De verwerkingsverantwoordelijke is degene die de uitoefening van deze rechten moet faciliteren. Daarnaast is de verwerkingsverantwoordelijke verantwoordelijk om iedere ontvanger aan wie de persoonsgegevens zijn verstrekt, in kennis te stellen van ieder verzoek tot rectificatie of wissing van persoonsgegevens, of verzoek tot beperking van de verwerking. Recht op inzage Betrokkenen hebben het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hen betreffende persoonsgegevens. Indien dit het geval is, heeft de betrokkene het recht om inzage te verkrijgen van die persoonsgegevens.  Bovendien dient dan informatie omtrent de verwerking van persoonsgegevens verstrekt te worden, die ook verstrekt dient te worden indien de persoonsgegevens verzameld worden bij de betrokkenen. Indien de betrokkene een verzoek tot inzage doet, verstrekt de verwerkingsverantwoordelijke een kopie van de persoonsgegevens die verwerkt worden aan de betrokkene. Recht op rectificatie Indien persoonsgegevens onjuist zijn, heeft de betrokkene het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van deze onjuiste persoonsgegevens te verkrijgen. Indien bepaalde persoonsgegevens onvolledig worden verwerkt, gelet op de doeleinden van de verwerking, heeft de betrokkene ook het recht om deze persoonsgegevens te vervolledigen.  Recht op gegevenswissing Betrokkenen hebben het recht om van de verwerkingsverantwoordelijke, zonder onredelijke vertraging, wissing van hem betreffende persoonsgegevens te verkrijgen. De verwerkingsverantwoordelijke is in de volgende gevallen verplicht om de persoonsgegevens te wissen:
Een verwerkingsverantwoordelijke hoeft niet te voldoen aan een verzoek tot gegevenswissing indien de verwerking noodzakelijk is:
Recht op beperking van de verwerking Betrokkenen hebben het recht om de verwerking van hen betreffende persoonsgegevens te beperken (de gegevens mogen in dat geval alleen door de verwerkingsverantwoordelijke worden bewaard en alleen voor beperkte doeleinden worden gebruikt) indien:
Recht op overdraagbaarheid van gegevens Betrokkenen hebben het recht om:
Recht van bezwaar Betrokkenen hebben het recht om bezwaar te maken, vanwege met specifieke situatie verband houdende redenen, tegen de verwerking van persoonsgegevens indien die grondslag voor die verwerking is:
De verwerkingsverantwoordelijke moet deze verwerking staken, tenzij de verantwoordelijke:
Daarnaast hebben betrokkenen het recht om bezwaar te maken tegen de verwerking van persoonsgegevens met het oog op direct marketing, inclusief profilering. Geautomatiseerde individuele besluitvorming, waaronder profilering Betrokkenen hebben tot slot het recht niet te worden onderworpen aan een besluit dat tot stand is gekomen door een uitsluitend geautomatiseerde verwerking of profilering. NB Er zijn uitzonderingen mogelijk op de uitoefening van de rechten van betrokkene, op voorwaarde dat de wezenlijke inhoud van de grondrechten en fundamentele vrijheden niet wordt aangetast en dat het gaat om noodzakelijke en evenredige maatregelen ter waarborging van enkele expliciet opgesomde belangrijke doelstellingen van algemeen belang. Uitzonderingen dienen altijd een wettelijke grondslag te hebben. | Algemeen: Betrokkenen, Personen in termen van het MedMij Afsprakenstelsel, kunnen hun rechten uitoefenen jegens de Dienstverlener persoon voor de gegevens die verwerkt worden binnen de PGO. Verzoeken die gebaseerd zijn op een recht dat de betrokkene toekomt moeten daarom rechtstreeks aan de Dienstverlener persoon gericht te worden als het gaat om persoonsgegevens die verwerkt worden in de PGO. In art. 4.1 van de Deelnemersovereenkomst staat dat de deelnemers de verwerking van de persoonsgegevens overeenkomstig de privacywet- en Algemeen : Betrokkenen, Personen in termen van het MedMij Afsprakenstelsel, kunnen daarnaast hun rechten uitoefenen jegens de Aanbieder met betrekking tot de gegevens die verwerkt worden door de Aanbieder in de uitoefening van zijn zorgtaken. De relatie Persoon – Aanbieder valt buiten de scope van het Afsprakenstelsel MedMij. De Dienstverlener aanbieder is de Deelnemer. Om ervoor te zorgen dat de Aanbieder zijn verantwoordelijkheid kan nemen bij een verzoek om uitoefening van rechten van één van zijn patiënten die gebruik maakt van een PGO dat via het MedMij-netwerk gegevens uitwisselt, is in art. 3.7 van de modelverwerkersovereenkomst tussen de Dienstverlener aanbieder en de Aanbieder opgenomen dat de Dienstverlener aanbieder zijn medewerking verleent. | Algemeen: Zorg dat betrokkenen, Personen, de genoemde rechten kunnen uitoefenen en richt hiervoor processen in. Het is van belang dat de deelnemer kan aantonen dat dit gebeurt/is gebeurd. Indien mogelijk, richt dit dan zo in dat veel rechten, zoals hier genoemd, al automatisch uit te oefenen zijn in onder andere de PGO zelf. | jur.avg.401 |
Verplichtingen verwerkingsverantwoordelijken | ||||
Artikel 5, 24 t/m 28, 30 t/m 36 | Op partijen die de rol van verwerkingsverantwoordelijke vervullen rusten diverse verplichtingen. 1. Allereerst is de verwerkingsverantwoordelijke verantwoordelijk voor, en moet hij in staat zijn om aan te tonen dat de gegevensbeschermingsbeginselen zoals neergelegd in de AVG worden nageleefd. 2. De verwerkingsverantwoordelijke is verantwoordelijk voor het implementeren van passende technische en organisatorische maatregelen om te garanderen, en om aan te tonen, dat zijn verwerkingsactiviteiten voldoen aan de vereisten van de AVG. Deze maatregelen kunnen het implementeren van een passend gegevensbeschermingsbeleid omvatten. Het naleven van goedgekeurde gedragscodes kan een bewijs zijn van naleving. 3. Verwerkingsverantwoordelijken moeten ervoor zorgen dat zowel in de ontwerpfase van nieuwe verwerkingsactiviteiten, als in de implementatiefase van een nieuw product of dienst (bijvoorbeeld een nieuw ontwikkelde PGO), gegevensbeschermingsbeginselen en passende voorzorgsmaatregelen worden onderzocht en geïmplementeerd. Daarnaast dienen de nodige waarborgen in de verwerking ingebouwd te worden ter bescherming van de rechten van de betrokkenen. Dit wordt ook wel gegevensbescherming door ontwerp genoemd. Daarnaast dienen passende technische en organisatorische maatregelen getroffen te worden om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Dit wordt ook wel gegevensbescherming door standaardinstellingen genoemd. 4. Indien twee of meer verwerkingsverantwoordelijkheden gezamenlijk de doeleinden en de middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. In dit geval dienen zij hun respectievelijke verantwoordelijkheden met betrekking tot de nakoming van de verplichtingen uit de AVG vast te stellen door middel van een onderlinge regeling. Betrokkenen kunnen in dit geval hun rechten uitoefenen jegens iedere verwerkingsverantwoordelijke afzonderlijk. 5. Een verwerkingsverantwoordelijke die buiten de EU is gevestigd, moet een vertegenwoordiger aanwijzen in een van de lidstaten waar de verwerkingsverantwoordelijke goederen of diensten aanbiedt of EU-ingezetenen monitort, tenzij de verwerking incidenteel en kleinschalig is en geen gevoelige persoonsgegevens bevat. 6. Verwerkingsverantwoordelijken kunnen verwerkers inschakelen om persoonsgegevens te verwerken op hun instructie, zoals een hostingbedrijf dat de PGO-gegevens moet hosten. Slechts verwerkers die de naleving van de AVG garanderen mogen ingeschakeld worden. De verwerkingsverantwoordelijke dient een verwerkersovereenkomst af te sluiten met de verwerker. Er is een MedMij Modelverwerkersovereenkomst beschikbaar die gebruikt kan worden tussen de Aanbieder en de Dienstverlener aanbieder. Indien er wordt gekozen voor een eigen verwerkersovereenkomst moet daarin informatie opgenomen te worden over:
In de verwerkersovereenkomst moet bovendien opgenomen worden dat de verwerker:
7. Een verwerkingsverantwoordelijke dient een register van de verwerkingsactiviteiten, ook wel verwerkingsregister genoemd, bij te houden. Dit register dient minimaal de volgende gegevens te bevatten:
8. Een verwerkingsverantwoordelijke is, samen met de verwerker, verplicht om desgevraagd samen te werken met de toezichthoudende autoriteit bij het vervullen van haar taken. 9. De verwerkingsverantwoordelijke moet passende technische en organisatorische beveiligingsmaatregelen treffen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging of verlies, wijziging, ongeautoriseerde openbaarmaking of toegang. Afhankelijk van de verwerkingsactiviteiten kunnen de beveiligingsmaatregelen het volgende omvatten:
Wat een passend niveau van beveiliging is, dient te worden getoetst aan de hand van de verwerkingsrisico’s die met de verwerkingsactiviteit gepaard gaan. 10. De verwerkingsverantwoordelijke is verplicht om een inbreuk in verband met persoonsgegevens, ook wel datalek genoemd, zonder onredelijke vertraging en uiterlijk 72 uur nadat hij er kennis van heeft genomen te melden bij de bevoegde toezichthoudende autoriteit. (In Nederland is dit de Autoriteit Persoonsgegevens). De enige uitzondering hierop is wanneer beoordeeld is dat het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van betrokkenen. De melding moet minimaal de volgende informatie bevatten:
De verwerkingsverantwoordelijke is bovendien verplicht om alle inbreuken in verband met persoonsgegevens te documenteren, inclusief informatie over de gevolgen daarvan en de genomen corrigerende maatregelen. Indien een inbreuk in verband met persoonsgegevens een hoog risico oplevert voor betrokkenen, is de verwerkingsverantwoordelijke bovendien verplicht om de betrokkenen te informeren over deze inbreuk. Deze melding dient minimaal punt 2 t/m 4 van de verplichte informatie aan de toezichthoudende autoriteit te bevatten. Een verwerkingsverantwoordelijke is uitgezonderd van deze meldingsplicht indien:
11. De verwerkingsverantwoordelijke dient in elk geval een functionaris voor gegevensbescherming aan te wijzen indien hij hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens. 12. Indien een soort verwerking van persoonsgegevens, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen, dient de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit te voeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Een dergelijke beoordeling wordt een gegevensbeschermingseffectbeoordeling genoemd. Dit is een degelijk instrument om vooraf privacyrisico’s van de voorgenomen verwerkingsactiviteit(en) in kaart te brengen. Een gegevensbeschermingseffectbeoordeling is in ieder geval vereist indien het een grootschalige verwerking van bijzondere persoonsgegevens betreft. Een beoordeling bevat tenminste de volgende punten:
Wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren indien geen maatregelen genomen worden om het risico te beperken, dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking de toezichthoudende autoriteit te raadplegen. | Algemeen: Het afsprakenstelsel bepaalt dat de deelnemers aan het afsprakenstelsel ingeschreven moeten zijn in een handelsregister in de EU. In het MedMij Afsprakenstelsel is onder andere in de architectuur en technische specificaties rekening gehouden met het proportionaliteits-  en subsidiariteitsbeginsel. Op die manier is gestreefd naar afspraken waarbij niet meer gegevens worden verwerkt dan noodzakelijk is voor de gegevensuitwisseling (Privacy by Design en Privacy by Default). Dit wordt onafhankelijk getoetst.  6. Verwerkersovereenkomst. Aanvullend op de verplichtingen in de AVG staat in het MedMij Afsprakenstelsel dat verwerkers van persoonsgegevens, die in opdracht van de verwerkingsverantwoordelijke werken, waaronder de Dienstverlener aanbieder die de gegevensuitwisseling conform MedMij-afspraken regelt, een verwerkersovereenkomst af moeten sluiten. Hiervoor is een model verwerkersovereenkomst beschikbaar gesteld, waarin expliciet rekening is gehouden met de situatie die voortvloeit uit deelname aan het MedMij Afsprakenstelsel.                    9. Passende technische en organisatorische beveiligingsmaatregelen. In het MedMij Afsprakenstelsel is een aanvullend normenkader informatiebeveiliging opgenomen. Op basis van een stelselrisicoanalyse en/of PIA worden maatregelen (her)overwogen en eventueel aanvullende privacy- en informatiebeveiligingsmaatregelen gedefinieerd. Dit kan resulteren in bijstelling van het (v3.0.0) Normenkader informatiebeveiliging en de (v3.0.0) Architectuur en technische specificaties.  10. Datalek. MedMij-deelnemers zijn zelf verantwoordelijk om eventuele datalekken te signaleren. Zie hiervoor ook de Guidelines on Personal data breach notification van de Europese privacytoezichthouders: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken. In het MedMij Afsprakenstelsel staat in het (v3.0.0) Normenkader informatiebeveiliging opgenomen dat beveiligingsincidenten binnen 48 uur gemeld moeten worden bij de beheerorganisatie. Hieronder vallen ook datalekken. De beheerorganisatie is verantwoordelijk om een impactanalyse te doen op het beveiligingslek en/of beveiligingsincident voor het stelsel als geheel, en dit te delen met andere partijen als dit nodig wordt geacht. |       7. Verwerkingsregister. Een verwerkingsregister biedt ook een goed uitgangspunt voor een verwerkingsverantwoordelijke om de data die verzameld is goed in beeld te krijgen. Door de identificatie van alle data ontstaat ook een goed beeld over de stappen die ondernomen moeten worden op het gebied van beveiliging van de data. Voor een deelnemer is het dus belangrijk een dergelijk register bij te houden en hierin ook de verwerkingen op te nemen die het gevolg zijn van deelname aan het MedMij Afsprakenstelsel. . 12. Formats voor gegevensbeschermingseffectbeoordelingen: Van de ICO: https://ico.org.uk/media/about-the-ico/consultations/2258461/dpia-template-v04-post-comms-review-20180308.pdf | jur.avg.501 |
Verplichtingen verwerker | ||||
Artikel 28 t/m 33, 37 | Op partijen die de rol van verwerker vervullen rusten diverse verplichtingen. 1. Een verwerker mag alleen persoonsgegevens verwerken op basis van gedocumenteerde instructies van een verwerkingsverantwoordelijke. Tussen de verwerkingsverantwoordelijke en de verwerker dient een verwerkersovereenkomst afgesloten te worden. 2. Een verwerker moet de beveiliging van de persoonsgegevens die hij verwerkt garanderen aan de verwerkingsverantwoordelijke. 3. De verwerker moet ervoor zorgen dat alle persoonsgegevens die hij verwerkt vertrouwelijk worden behandeld. De verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker moet van de verwerker eisen dat hij ervoor zorgt dat alle personen die gemachtigd zijn om de persoonsgegevens te verwerken, een passende geheimhoudingsplicht hebben. 4. Een verwerker mag slechts sub-verwerkers inschakelen indien de verwerkingsverantwoordelijke hier, vooraf, schriftelijk toestemming voor heeft gegeven. Wanneer de verwerkingsverantwoordelijke instemt met de aanstelling van sub-verwerkers, moeten die sub-verwerkers op dezelfde voorwaarden worden aangesteld als zijn vastgesteld in de verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker.  5. Een verwerker dient een register van de verwerkingsactiviteiten, ook wel verwerkingsregister genoemd, bij te houden. Dit register dient minimaal de volgende gegevens te bevatten:
6. Verwerkers (en hun vertegenwoordigers, indien aanwezig) zijn verplicht om op verzoek samen te werken met toezichthoudende autoriteiten bij de uitvoering van haar taken. 7. De verwerker moet passende technische en organisatorische beveiligingsmaatregelen treffen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging of verlies, wijziging, ongeautoriseerde openbaarmaking of toegang. Afhankelijk van de verwerkingsactiviteiten kunnen de beveiligingsmaatregelen het volgende omvatten:
Wat een passend niveau van beveiliging is, dient te worden getoetst aan de hand van de verwerkingsrisico’s die met de verwerkingsactiviteit gepaard gaan. 8. De verwerker is verplicht om een inbeuk in verband met persoonsgegevens, ook wel datalek genoemd, zonder onredelijke vertraging te melden aan de verwerkingsverantwoordelijke. 9. Indien de verwerkingsverantwoordelijke waarvoor de verwerker persoonsgegevens verwerkt verplicht is om een functionaris voor de gegevensbescherming aan te stellen, werkt deze verplichting door op de verwerker. NB. Indien een verwerker, in strijd met de AVG, zelf doeleinden en middelen van een verwerkingsactiviteit vaststelt, wordt de verwerker met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd. | In artikel 8 van de Deelnemersovereenkomst zijn, aanvullend op de AVG, verantwoordelijkheden van een deelnemer jegens derden, waaronder verwerkers van persoonsgegevens, opgenomen.  7.  Passende technische en organisatorische beveiligingsmaatregelen.  In het MedMij Afsprakenstelsel is een (v3.0.0) Normenkader informatiebeveiliging opgenomen waarin de informatiebeveiliging binnen het MedMij-netwerk uiteen is gezet. In de Deelnemersovereenkomst is aangegeven dat de Deelnemer de voor hem geldende afspraken uit het MedMij Afsprakenstelsel in dit kader moet doorvertalen naar (sub)verwerkers. De Deelnemer staat er jegens de Stichting MedMij voor in dat de door hem ingeschakelde derde voor zijn Diensten en/of Gegevensdiensten alle verplichtingen uit de Deelnemersovereenkomst nakomt, onder andere dus de uitvoering van de afspraken in het MedMij Afsprakenstelsel, en is aansprakelijk voor het handelen op grond van deze Overeenkomst van de door hem ingeschakelde derde. | Algemeen: Ook voor verwerkers (bijvoorbeeld de Dienstverlener aanbieder of subverwerkers van dienstverleners) is het belangrijk om in een verwerkersovereenkomst duidelijke afspraken te maken met een verwerkingsverantwoordelijke over de verwerkingen die zij uit zullen gaan voeren. Zij kunnen zelf het initiatief nemen om een verwerkersovereenkomst af te sluiten mocht de verwerkingsverantwoordelijke dit initiatief niet tonen.   9. Functionaris voor de gegevensbescherming. We raden verwerkers aan zelf te onderzoeken of zij een functionaris voor de gegevensbescherming aan moeten stellen doordat de verwerkingsverantwoordelijke hiertoe ook verplicht is. | jur.avg.601 |