Criteria voor grootschalige verwerking in de zorg

Een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt, is op grond van artikel 37 lid 1 sub c AVG verplicht een FG aan te stellen. Omdat zorgverleners per definitie bijzondere persoonsgegevens verwerken, is het voor hen van belang te weten wanneer hun verwerking het label “grootschalig” krijgt opgeplakt. Op 31 mei 2018 heeft de AP hiervoor een richtlijn gepubliceerd.

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, wordt de grens voor grootschalige verwerking getrokken bij 10.000 patiënten (ingeschreven of jaarlijks behandeld). En dan alleen voor zover deze gegevens zich in één systeem bevinden. Verwerkingen door ziekenhuizen en huisartsenposten zijn volgens de AP altijd grootschalig. Voor de beoordeling van andere zorgverleners geldt de 10.000 grens niet, maar wordt een set van vier criteria gegeven, op basis waarvan de beoordeling moet plaatsvinden:

  • het aantal patiënten van wie gegevens worden verwerkt
  • de hoeveelheid gegevens
  • de duur van de verwerking
  • de geografische reikwijdte van de verwerking

Hoe deze criteria moeten worden toegepast vermeldt de AP nog niet. Beloofd wordt hierop later terug te komen…

Lees meer

PIA-tool van Franse toezichthouder

De Franse privacy toezichthouder CNIL heeft een uitstekende PIA-tool ontwikkeld, die in meerdere ander talen beschikbaar is, waaronder het Nederlands. Aan de hand van een vragenboom die doet denken aan het aangifteprogramma van de Belastingdienst wordt de gebruiker systematisch door een groot aantal vragen en checklists geleid. Het programma bevat tevens uitgebreide uitleg bij de gebruikte begrippen.

De tool kan worden door iedereen worden gedownload op de website van CNIL. Hierop staat onder het kopje “what is it?” de volgende toelichting:

The PIA tool has been designed around three principles:

  • A didactic interface to carry out PIAs: the tool relies on a user-friendly interface to allow for a simple management of your PIAs. It clearly unfolds the privacy impact assessment methodology step by step. Several visualisation tools offer ways to quickly understand the risks.
  • A legal and technical knowledge base: the tool includes the legal points ensuring the lawfulness of processing and the rights of the data subjects. It also has a contextual knowledge base, available along all the steps of the PIA, adapting the contents displayed. The data are extracted from the GDPR, the PIA guides and the Security Guide from the CNIL, to the aspect of the processing studied.
  • A modular tool: designed to help you build your compliance, you can customise the tool contents to your specific needs or business sector, for example by creating a PIA model that you can duplicate and use for a set of similar processing operations. Published under a free licence, it is possible to modify the source code of the tool in order to add features or include it into tools used in your organisation

Lees meer

Verzekeraars en tussenpersonen beide Verantwoordelijke

Op 4 april 2018 heeft het Verbond van Verzekeraars een circulaire gepubliceerd waarin zij het standpunt innemen dat verzekeraars en tussenpersonen beide als zelfstandig verwerkingsverantwoordelijke in de zin van de AVG gelden. Dit standpunt wordt ook onderschreven door Adfiz, de brancheorganisatie van onafhankelijk financieel adviseurs. Een toelichting op het standpunt is te vinden in de circulaire en een samenvatting ervan op de website van AM.

Lees meer

Privacyafspraken bij ketensamenwerking

Het CIP heeft een publicatie uitgegeven over privacyafspraken bij ketensamenwerking. In het document vat het CIP de inhoud als volgt samen:

Risico en aansprakelijkheid kun je onder de moderne wetgeving niet zomaar wegwerken door naar anderen te wijzen. Werken in ketens vereist daarom afspraken met alle ketenbetrokkenen. En als je verstandig bent dan maak je die afspraken waterdicht. Dit document gaat over dergelijke afspraken in het licht van de nieuwe Europese privacywetgeving. Het analyseert de privacyproblematiek in ketenstructuren en geeft mogelijke oplossingen, niet in de laatste plaats in de vorm van een opzet voor een modelovereenkomst.

Klik hier voor het document: 20180212 Privacyafspraken in ketensamenwerking v1_0

Lees meer