Criteria voor grootschalige verwerking in de zorg

Een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt, is op grond van artikel 37 lid 1 sub c AVG verplicht een FG aan te stellen. Omdat zorgverleners per definitie bijzondere persoonsgegevens verwerken, is het voor hen van belang te weten wanneer hun verwerking het label “grootschalig” krijgt opgeplakt. Op 31 mei 2018 heeft de AP hiervoor een richtlijn gepubliceerd.

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, wordt de grens voor grootschalige verwerking getrokken bij 10.000 patiënten (ingeschreven of jaarlijks behandeld). En dan alleen voor zover deze gegevens zich in één systeem bevinden. Verwerkingen door ziekenhuizen en huisartsenposten zijn volgens de AP altijd grootschalig. Voor de beoordeling van andere zorgverleners geldt de 10.000 grens niet, maar wordt een set van vier criteria gegeven, op basis waarvan de beoordeling moet plaatsvinden:

  • het aantal patiënten van wie gegevens worden verwerkt
  • de hoeveelheid gegevens
  • de duur van de verwerking
  • de geografische reikwijdte van de verwerking

Hoe deze criteria moeten worden toegepast vermeldt de AP nog niet. Beloofd wordt hierop later terug te komen…

Lees meer

PIA-tool van Franse toezichthouder

De Franse privacy toezichthouder CNIL heeft een uitstekende PIA-tool ontwikkeld, die in meerdere ander talen beschikbaar is, waaronder het Nederlands. Aan de hand van een vragenboom die doet denken aan het aangifteprogramma van de Belastingdienst wordt de gebruiker systematisch door een groot aantal vragen en checklists geleid. Het programma bevat tevens uitgebreide uitleg bij de gebruikte begrippen.

De tool kan worden door iedereen worden gedownload op de website van CNIL. Hierop staat onder het kopje “what is it?” de volgende toelichting:

The PIA tool has been designed around three principles:

  • A didactic interface to carry out PIAs: the tool relies on a user-friendly interface to allow for a simple management of your PIAs. It clearly unfolds the privacy impact assessment methodology step by step. Several visualisation tools offer ways to quickly understand the risks.
  • A legal and technical knowledge base: the tool includes the legal points ensuring the lawfulness of processing and the rights of the data subjects. It also has a contextual knowledge base, available along all the steps of the PIA, adapting the contents displayed. The data are extracted from the GDPR, the PIA guides and the Security Guide from the CNIL, to the aspect of the processing studied.
  • A modular tool: designed to help you build your compliance, you can customise the tool contents to your specific needs or business sector, for example by creating a PIA model that you can duplicate and use for a set of similar processing operations. Published under a free licence, it is possible to modify the source code of the tool in order to add features or include it into tools used in your organisation

Lees meer

NOREA publiceert Privacy Control Framework

Op 1 mei 2018 heeft NOREA haar Privacy Control Framework (PCF) gepubliceerd. Het betreft concreet toetsingskader op basis waarvan de mate van implementatie van de AVG in een organisatie kan worden beoordeeld. Op de website van NOREA is naast het PCF-document tevens een persbericht en een oplegnotitie voor IT-auditor beschikbaar, waarin de toepassing en de doelstelling van de standaard worden toegelicht.

Citaat van de website:

“Het primaire doel van het PCF is het bieden van een handreiking aan (audit) professionals bij het beoordelen of de controledoelstellingen van een entiteit met betrekking tot privacy en bescherming van persoonsgegevens worden bereikt. Naast de kernelementen van de Algemene Verordening Gegevensbescherming (AVG) is rekening gehouden met ‘best practices’ op het gebied van privacy- en gegevensbescherming en informatie lifecycle management. Als zodanig kan het PCF worden gebruikt als startpunt voor op maat gemaakte privacyaudits. Het PCF bevat de voorgeschreven doelstellingen en elementen voor privacy-opdrachten op basis van de NOREA Assurance richtlijn 3000.”

Lees meer

Verzekeraars en tussenpersonen beide Verantwoordelijke

Op 4 april 2018 heeft het Verbond van Verzekeraars een circulaire gepubliceerd waarin zij het standpunt innemen dat verzekeraars en tussenpersonen beide als zelfstandig verwerkingsverantwoordelijke in de zin van de AVG gelden. Dit standpunt wordt ook onderschreven door Adfiz, de brancheorganisatie van onafhankelijk financieel adviseurs. Een toelichting op het standpunt is te vinden in de circulaire en een samenvatting ervan op de website van AM.

Lees meer

Verwerker of Verantwoordelijke?

Voor iedereen die zich dit wel eens afvraagt of er wel of geen Verwerkersovereenkomst moet worden afgesloten, is het goed om op de website van Dirkzwager Advocaten het blog van Mark Jansen te lezen. Onder de titel “De verschillende soorten afspraken bij de uitwisseling van persoonsgegevens” legt hij helder het onderscheid uit tussen het uitbesteden van een verwerking (wel een verwerkersovereenkomst), het enkele doorgeven van gegevens (geen verwerkersovereenkomst) en het samenwerken als gezamenlijk verantwoordelijken (afspraken vastleggen in een regeling).

Lees meer