Deze website gebruikt cookies

We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.

Onze privacyverklaring:

Blogs / 

Autoriteit Persoonsgegevens controleert privacybeleid zorginstellingen

IT, Privacy & Cybersecurity

14 januari 2019

Geschreven door

Natascha van Duuren

Blog Image
De Autoriteit Persoonsgegevens heeft kenbaar gemaakt dat zij bij verschillende zorginstellingen, waaronder bloedbanken en IVF-klinieken, het privacybeleid heeft opgevraagd. Het opstellen van een privacybeleid is niet voor alle organisaties verplicht. Wanneer bestaat deze wettelijke verplichting nu wél en waar moet een privacybeleid aan voldoen? In deze kennisblog wordt nader op deze vragen ingegaan.

Als u in de AVG zoekt naar de term “privacybeleid” zult u die niet tegenkomen. In de AVG wordt gesproken over “gegevensbeschermingsbeleid”. Het opstellen van een gegevensbeschermingsbeleid is op grond van artikel 24 lid 2 AVG verplicht “wanneer zulks in verhouding staat tot de verwerkersactiviteiten”. “Wanneer zulks in verhouding staat” is volgens de toelichting op de wet is dit afhankelijk van de aard, de omvang en het doel van de gegevensverwerking. Zorginstellingen zijn in beginsel verplicht een privacybeleid op te stellen.

Welke eisen worden nu aan een privacybeleid gesteld? De wet zelf bevat geen opsomming van eisen waaraan het privacybeleid moet voldoen. Uit artikel 24 lid 1 AVG valt af te leiden dat het privacybeleid moet kunnen aantonen dat u persoonsgegevens verwerkt conform de wet. Wat betekent dit nu concreet? Dit betekent dat u in het beleid in ieder geval de volgende informatie dient op te nemen:

  • Welke categorieën persoonsgegevens u verwerkt;
  • Voor welke doeleinden en op basis van welke wettelijke grondslag u deze persoonsgegevens verwerkt;
  • Hoe u voldoet aan de beginselen van verwerking van persoonsgegevens, zoals het beginsel van dataminimalisatie;
  • Hoe betrokkenen hun rechten kunnen uitoefenen;
  • Welke organisatorische en technische beveiligingsmaatregelen u heeft genomen;
  • Hoe lang u de persoonsgegevens bewaart.

Vragen?

Indien zorginstellingen geen privacybeleid hebben dat voldoet aan bovengenoemde eisen, dan overtreden zij de wet en riskeren zij een boete. Bent u verantwoordelijk voor privacy bij een zorginstellingen en heeft u nog geen privacybeleid dan wel heeft u vragen over de inhoud van het privacybeleid, neemt u dan contact op met Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity