Categorie Archief Nieuws

10 tips voor een goede datalekkenregistratie

Onder de AVG is het verplicht om van alle incidenten waarbij persoonsgegevens betrokken zijn een incidentenregistratie (ookwel datalekkenregister genoemd) bij te houden. Dit geldt zowel voor formeel gemelde datalekken alsook voor incidenten die niet gemeld zijn.

Recentelijk heeft de Autoriteit Persoonsgegevens n.a.v een steekproef naar de kwaliteit van een datalekkenregister bij overheidsinstellingen onderstaande 10 tips gepubliceerd:

  1. Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig;
  2. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekkenregister. Het kan nuttig zijn dezemaatregelen mee te nemen in de plan-do-check/learn-act cyclus;
  3. Voorkom versnippering van registraties; maak één overzichtelijke registratie die voor elkorganisatieonderdeel tot op hetzelfde inhoudelijke detailniveau wordt ingevuld. Overweeg bijvoorbeeld om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het registratieoverzicht kunnen consulteren voordat zij zelf iets registreren;
  4. Neem per incident op of de functionaris voor de gegevensbescherming (FG) betrokken is, en zo ja in welke mate.
  5. Neem per incident op of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd;
  6. Wees transparant richting getroffen personen als er een datalek is geweest. Communiceer hier doeltreffend en tijdig over. Bewaar het bewijs van die mededeling en neem deze op in de registratie.
  7. Stel een handleiding op of verzorg een training voor de medewerkers die de datalekregistratie invullen. Deze instructie kan onderdeel uitmaken van een gedocumenteerde meldingsprocedure voor de meldplicht datalekken.
  8. Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk (bijvoorbeeld medeverwerkingsverantwoordelijken, verwerkers of sub-verwerkers). Dit is handig als een organisatie nieuwe verwerkersovereenkomsten sluit met de desbetreffende verwerkers.
  9. Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen;
  10. Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check/learn-act cyclus. Zo kunnen organisaties leren van fouten. De FG kan bij deze besprekingen een actieve rol vervullen.

Bron: Autoriteit Persoonsgegevens

Uitleg begrip ‘grootschalig’ verduidelijkt voor alle zorgaanbieders

De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen interpreteert de Autoriteit Persoonsgegevens (AP) altijd als grootschalig. Voor alle overige zorgaanbieders geldt dat zij grootschalig persoonsgegevens verwerken als zij van meer dan 10.000 patiënten gegevens verwerken in één informatiesysteem. Met deze uitleg heeft de AP nu voor alle sectoren binnen de zorg verduidelijkt wanneer er sprake is van grootschalige gegevensverwerking. Eerder gaf de AP uitleg voor een deel van de zorgsector.

De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties zijn onder meer verplicht een functionaris voor de gegevensbescherming aan te stellen en moeten in bepaalde gevallen een DPIA doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken.

Definitie grootschaligheid voor (vrijwel) hele sector gelijk

De verwerking van bijzondere persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen is volgens de AP altijd grootschalig, ongeacht het aantal patiënten. Dat AP maakte dat al eerder bekend. Voor alle overige zorgaanbieders beschouwt de AP een verwerking als grootschalig als:
•    die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
•    én de gegevens van deze patiënten in één informatiesysteem staan.

Nuancering ten aanzien van apothekers

Verwerkingen van persoonsgegevens door  apothekers ziet de AP al gauw als grootschalig omdat apotheken gemiddeld genomen veel patiënten bedienen en met veel andere zorgaanbieders gegevens uitwisselen in het kader van de behandeling. Het zou dus goed zijn als apotheken een FG hebben. Maar als er minder dan 10.000 betrokkenen in het systeem van de apotheek zijn ingeschreven, ziet de AP dat – net als andere zorgaanbieders – niet als grootschalig. De AP nuanceert hiermee haar eerdere standpunt over apothekers na afstemming met de KNMP, de brancheorganisatie voor apothekers.

Functionaris voor de gegevensbescherming 

Als een organisatie niet grootschalig persoonsgegevens verwerkt, kan het nog steeds nuttig zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Een FG kan een organisatie helpen een organisatie AVG-proof in te richten. De AP adviseert ook zorgaanbieders die niet grootschalig gegevens verwerken om een FG aan te stellen. Een FG kan worden ‘gedeeld’ met andere zorgaanbieders of extern (voor een beperkt aantal uren) worden ingehuurd, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.

Bron: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/uitleg-begrip-‘grootschalig’-verduidelijkt-voor-alle-zorgaanbieders

Aanvulling t.a.v. Jeugdhulp en andere zorgaanbieders

N.a.v. dit bericht van de AP heeft Samen Veilig Midden NL extra vragen gesteld aan de AP ten aanzien van of deze info door te trekken is naar de jeugdzorg en op welke wijze. Hierbij de antwoorden van de AP:

Wie wordt gezien als zorgaanbieder? 

De AP geeft aan dat het artikel heel specifiek toeziet op de traditionele medische zorgaanbieders. Dat is de jeugdzorg niet en wij (GI en VT) zijn sowieso geen zorgaanbieder. E.a. is dus niet direct op ons van toepassing en dat geeft in die zin ruimte om anders te kiezen. Echter de AP gaf aan dat de discussie over wat grootschalige verwerking is wel in de lijn van het artikel wordt gevoerd en dat er komend jaar (vanuit ook de Europese discussie op dit vlak) mogelijk verdere toespitsing volgt op deelgebieden. Kortom de leidraad t.a.v. wat grootschaligheid is, is een handvat ook voor onze sector (omdat dat ook een sector is met veel bijzondere persoonsgegevens). De AP noemde dat wanneer je op 9.000 komt met veel bijzondere persoonsgegevens het een goede beargumentering waard is waarom je dan niet kiest voor een FG. (en hoe je e.a. dan wel inricht). Maar in dat geval zou je zeker meer ruimte kunnen voelen voor een alternatieve inrichting van je org met nog steeds wel het doel te voldoen aan de AVG.

T.a.v. betrokkenen.

Dit zijn alle personen waarover zorgaanbieders gegevens verwerken. De AP gaf aan dat dit niet alleen de cliënt is maar ook de ouders, broertjes en zusjes, opa, oma, buren, pleegouders etc. als wij daarover gegevens verwerken. De AP gaf aan: stel dat er ergens iemand in 1 zinnetje in een rapport wordt genoemd: nee, die hoe je niet te tellen. Maar iedereen die om inzage in de eigen persoonsgegevens kan vragen, dus wel.

Archief

Archief valt er buiten. Dus afgesloten dossiers in WIJZ of Clavis (systeem VT) tellen niet mee als onderdeel van de grootschalige verwerking.

Bron: Jeugdzorg Nederland

Regelhulp Algemene Verordening Gegevensbescherming (GDPR)

De Autoriteit Persoonsgegevens (AP) heeft een tool (regelhulp) gepubliceerd om te controleren in hoeverre u al voldoet aan de verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG). Tevens krijgt u praktische tips hoe u de nog niet volledig uitgevoerde verplichtingen kunt invullen.

De link naar deze tool:
https://rvo.regelhulpenvoorbedrijven.nl/avg

De AP geeft wel nog mee dat de tool geen vervanging is voor het voldoen aan de AVG:

“De informatie in deze Regelhulp is beknopt en bedoeld voor eigen gebruik. De uitkomsten kunt u niet gebruiken om aan te tonen dat u aan de AVG voldoet. De AP houdt altijd het recht om onderzoek te doen binnen uw organisatie en handhavend op te treden als dat nodig is.”

Algemene verordening gegevensbescherming

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Wat verandert er?

De AVG zorgt onder meer voor:

Lees meer over de achtergrond van de nieuwe privacyregels op de website van de Europese Commissie.

Overgangsperiode tussen Wbp en AVG

Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.

Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Let op: tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

Aparte richtlijn politie en justitie

Naast de AVG is er een aparte Richtlijn gegevensbescherming politie en justitie. Deze richtlijn is alleen bedoeld voor politie en justitie.

Bron: Autoriteit Persoonsgegevens