Overslaan en naar de inhoud gaan
Terug naar overzicht
Nieuwsbericht

Verantwoordingsplicht voor ondernemers

Datum
28 mei 2018
Geplaatst door
Algemeen ZBW

Sinds 25 mei 2018 geldt er een Algemene Verordening van Gegevensbescherming (AVG). Deze wet is relevant wanneer je een bedrijf hebt of ZZP’er bent en persoonsgegevens opslaat en beheert. Zeker in de zorg en medische sector waar zeer privacygevoelige gegevens worden verwerkt is het nodig om de AVG consequent na te leven.

Met de Algemene Verordening Gegevensbescherming wordt er meer verantwoordelijkheid neergelegd bij organisaties die persoonsgegevens verwerken. Iedere organisatievorm, ook de ZZP’er, heeft een verantwoordingsplicht. Hier wordt daadwerkelijk op gehandhaafd. Dat houdt tevens in dat er flinke boetes opgelegd kunnen worden.

33% van de datalekken is afkomstig uit de zorgsector
Welke maatregelen je exact moet treffen heeft te maken met de grootte, de risico’s en de privacy gevoeligheid van de gegevens die je verwerkt. In 2017 zijn er ruim 10.000 datalekken gemeld bij de Autoriteit Persoonsgegevens. Het hoogste percentage, namelijk 33%, van de lekken was afkomstig uit de zorgsector. Het is dus verstandig om als ondernemer in de zorg de nodige maatregelen zorgvuldig uit te voeren.

Welke maatregelen worden er van je verwacht vanuit de verantwoordingsplicht?
De Autoriteit Persoonsgegevens vermeldt een aantal verplichte maatregelen:
1. Het bijhouden van een register van verwerkingsactiviteiten.
2. Uitvoeren van een Data Protection Assessment.
3. Bijhouden van een register van datalekken.
4. Aantonen dat een betrokkene toestemming heeft gegeven voor de verwerking van zijn/haar gegevens.
5. Een onderbouwing van de reden wanneer je geen FG hebt aangesteld.

1. Bijhouden van een register van verwerkingsactiviteiten
Alle bedrijven met meer dan 250 medewerkers zijn verplicht hun verwerkingsactiviteiten te registreren. Maar ook kleinere bedrijven ZZP’ers kunnen verplicht zijn om een register bij te houden. Dat is het geval wanneer:

  • De gegevensverwerking niet incidenteel is. Wat in de meeste gevallen zo is. Denk aan patiënten, cliënten, werknemers, klanten in je bestand.
  • Gegevens een risico vormen voor de rechten en vrijheden van betrokkenen.
  • Gegevens vallen onder bijzondere persoonsgegevens. Ze bevatten bijvoorbeeld informatie over godsdienst, gezondheid of het seksuele leven van een betrokkene.

In de zorg zijn het eerste en derde punt meestal van toepassing. Wat er exact moet staan in een register van verwerkingsactiviteiten lees je hier.

2. Uitvoeren van een Data Protection Assessment
De DPIA is verplicht voor organisaties die op grote schaal persoonsgegevens verwerken, systematisch en uitvoerig persoonlijke aspecten evalueren of op grote schaal mensen systematisch volgen en evalueren in de openbare ruimte. Er is geen duidelijke definitie gegeven van wat ‘op grote schaal’ concreet betekent, maar de genoemde activiteiten moeten behoren tot de kernactiviteiten van een bedrijf. Twijfel je of je een DPIA moet uitvoeren? Lees er dan hier meer over.

3. Bijhouden register van datalekken
Zijn er datalekken opgetreden dan ben je verplicht om deze te melden bij de Autoriteit Persoonsgegevens. Daarnaast houd je het bij in een register. Hierin vermeld je de datum, een korte omschrijving over wat er gebeurd is, het type gegevens waar het om gaat en wiens persoonsgegevens het zijn.

4. Aantonen dat de betrokkene toestemming heeft gegeven
Het is verplicht om te kunnen overleggen:
1. Het bewijs van toestemming van betrokkenen.
2. Op basis van welke informatie betrokkenen toestemming hebben gegeven.
Toestemming kan zowel online (via je website) als offline (contract) verkregen worden.

5. Onderbouwing wanneer je geen FG hebt aangesteld
Overheidsinstanties en publieke organisaties zijn altijd verplicht om een Functionaris voor de Gegevensbescherming aan te stellen. Zorgondernemingen in bepaalde gevallen ook. Verder komen de voorwaarden overeen met die van de DPIA (punt 2). Wanneer er onduidelijkheid is en je kiest ervoor geen FG aan te stellen moet je dit onderbouwd hebben.

Extra maatregelen
Gezien de mate van verwerking van bijzondere persoonsgegevens in de zorg en het grote aantal datalekken vanuit de zorgsector is het aan te raden om ook extra maatregelen te overwegen, bijvoorbeeld:

  • Heb je andere partijen ingeschakeld om door jou verzamelde persoonsgegevens te verwerken? Laat een verwerkersovereenkomst tekenen. Hierin staan de wederzijdse rechten en plichten, je blijft zelf verantwoordelijk.
  • Sluit je aan bij een (branche)vereniging die een gedragscode heeft opgesteld.
  • Hanteer een specifiek ICT-beveiligingsbeleid.
  • Leg verantwoording af en benoem de handhaving van persoonsgegevens in je (openbare) jaarstukken.

Wil je meer weten of heb je nog vragen? Neem dan contact op met Zorg- en Bemiddelingsbureau Witting.

Terug naar overzicht