Ze schieten als paddenstoelen uit de grond, de coronateststraten. Laten we niet vergeten dat er op zorgvuldige wijze wordt omgegaan met alle gezondheidsinformatie. Bent u van plan om een coronateststraat te beginnen, of bent u daar al mee gestart? Zorg ervoor dat u uw privacy zaken op orde heeft. In deze blog leest u welke documenten nodig zijn.
Als aanbieder van coronatesten moet u betrokkenen (websitebezoekers, cliënten maar ook sollicitanten) informeren over wat u gaat doen met de persoonsgegevens. Welke persoonsgegevens gaat u verwerken, voor welke doeleinden gaat u de gegevens gebruiken, op basis van welke grondslag gebeurt dat en hoelang blijven gegevens bewaard? Daarnaast geeft u aan naar welke derde partijen de persoonsgegevens gaan. Denk bijvoorbeeld aan ICT-dienstverleners, maar ook de GGD en het RIVM. Alle informatie hoort in een privacyverklaring te staan.
In de praktijk komt het vaak voor dat u niet alleen persoonsgegevens verwerkt, maar dat de gegevens ook nog door andere partijen worden verwerkt. Denk bijvoorbeeld aan ICT-dienstverleners die inzage hebben in de persoonsgegevens. Het is dan van belang om een verwerkersovereenkomst te sluiten. In een verwerkersovereenkomst staan afspraken over de omgang met persoonsgegevens. Wat moet er gebeuren in geval van een datalek of wanneer een betrokkene vraagt welke persoonsgegevens er worden verwerkt? Welke subverwerkers worden ingeschakeld? Welke beveiligingsmaatregelen worden getroffen?
Ook wanneer u niet de opdracht geeft aan een andere partij om namens uw organisatie persoonsgegevens te verwerken, maar er worden toch persoonsgegevens uitgewisseld, is het verstandig om hier afspraken over te maken. Dat kan bijvoorbeeld in een data-uitwisselingsovereenkomst.
Het verwerkingsregister is in feite een overzicht van alle gegevensverwerkingen die binnen de organisatie plaatsvinden. Welke persoonsgegevens worden verwerkt en van welke soorten betrokkenen? Naar welke partijen worden de gegevens doorgestuurd, en blijven de gegevens binnen Europa of worden die ook naar derde landen gestuurd? Welke beveiligingsmaatregelen zijn er genomen en hoelang blijven de persoonsgegevens bewaard?
Gaat er per ongeluk iets mis en worden persoonsgegevens verstrekt aan iemand terwijl dat niet de bedoeling was? Dan hebben we te maken met een datalek. Alle datalekken moeten in een datalekregister opgenomen worden. Eventueel moet het datalek ook nog worden gemeld aan de Autoriteit Persoonsgegevens en de betrokkene.
Een ander ‘moetje’ uit de Algemene verordening gegevensbescherming (AVG) is dat u moet beschikken over een datalekprocedure. Het moet intern duidelijk zijn wat er moet gebeuren als een datalek heeft plaatsgevonden.
Hetzelfde geldt voor de situatie waarin een betrokkene (bijvoorbeeld een cliënt) vraagt om een inzage- of verwijderverzoek. Er zullen regels opgesteld moeten worden zodat het voor medewerkers duidelijk is op welke wijze het verzoek kan worden afgehandeld.
Het uitvoeren van een Data Processing Impact Assessment (DPIA) is in sommige gevallen verplicht. Zo ook wanneer er sprake is van een grootschalige verwerking van bijzondere persoonsgegevens. Uit een DPIA volgt welke privacyrisico’s er zijn, en vervolgens is het de bedoeling dat die risico’s verkleind worden. Als de beveiligingsmaatregelen bijvoorbeeld nog niet op orde zijn, dan is het zaak om zo snel mogelijk verbeteringen door te voeren.
Tot slot, sommige organisaties zijn verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. Dit geldt bijvoorbeeld voor zorgpartijen. Het is aan de FG om toezicht te houden binnen de organisatie en te adviseren waar nodig. Gaat alles goed op het gebied van privacy? Is de documentatie op orde? Zijn medewerkers op de hoogte van allerlei regels?
De afgelopen periode hebben wij diverse organisaties die coronatesten aanbieden, geholpen om ervoor te zorgen dat de privacydocumentatie op orde is. Daarnaast vervullen wij voor hen de rol van FG, ook al is de pandemie hopelijk maar tijdelijk. Hulp nodig? Laat het ons weten!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.