Transcript auteur: P. van Hoogdalem Toetsmodel Wbp Functionaris

Toetsmodel Wbp Functionaris Gegevensbescherming
auteur: P. van Hoogdalem
versie 1.0 (01‐08‐2014)
1
‘Privacy regels’ en Track & Trace
Wet bescherming persoonsgegevens
20-11-2014
Peter van Hoogdalem
Functionaris Gegevensbescherming
Wbp - Persoonsgegevens
 Persoonsgegevens zijn alle gegevens
die iets over u zeggen en
die van invloed kunnen zijn op de manier
waarop u wordt beoordeeld of behandeld
 Gegevens die feitelijke informatie bevatten
over een natuurlijke - identificeerbare - persoon
1
Wbp - Bijzondere persoonsgegevens
 Persoonsgegevens waarvan de aard meebrengt dat de verwerking
ervan een grote inbreuk kan vormen op de persoonlijke levenssfeer
van de betrokkene, omdat die gegevens gevoelige informatie over
iemand verschaffen
 gezondheid / ras / seksuele leven
godsdienst of levensovertuiging
politieke gezindheid
lidmaatschap van een vakvereniging
strafrechtelijke gegevens
Wbp - Verwerking persoonsgegevens
 Elke handeling of elk geheel van handelingen met persoonsgegevens
of
Geautomatiseerde verwerkingen van persoonsgegevens en
handmatige verwerkingen van persoonsgegevens opgenomen in een
bestand
 Verwerking van persoonsgegevens voor een bepaald doel
waarbij gebruik wordt gemaakt van elektronische middelen
2
Wbp - Actoren verwerking persoonsgegevens
 Betrokkene (-> patiënt)
waarvan persoonsgegevens wordt verwerkt, heeft bepaalde rechten
 Verantwoordelijke (-> RvB / medisch afdelingshoofd / arts)
stelt het doel en de middelen van de verwerking vast
 Verwerker (-> arts / medisch technicus)
verwerking op basis van directe aanwijzing van verantwoordelijke
 Bewerker (-> ‘derde partij’ - extern)
verwerking op basis van overeenkomst met verantwoordelijke
Wbp - Eisen aan verwerking persoonsgegevens
 Volgens Wet- en Regelgeving
Wbp, Wgbo, Wmo, Wet BIG, Wet BSN (in de zorg)
 Wbp – transparant
Volledige en voor betrokkene begrijpelijke beschrijving.
 Wbp - grondslag
Op basis van welke wettelijke grond toegestaan?
 Wbp - proportioneel
Kan men toe met minder gegevens?
 Wbp - subsidiair
Kan het met minder identificerende gegevens?
3
Wbp - Verwerkingsgrondslag
 Wettelijke grond (reden) op basis waarvan de verwerking van de
persoonsgegevens is toegestaan.
 Ondubbelzinnige toestemming betrokkene
of:
Noodzakelijk voor de uitvoering van een overeenkomst
Noodzakelijk ter uitvoering van wettelijke plicht verantwoordelijke
Noodzakelijk ter vrijwaring van vitaal belang betrokkene
Noodzakelijk voor de goede vervulling van een publiekrechtelijke taak
Noodzakelijk voor de behartiging van een gerechtvaardigd belang
Wbp - Melding bij (interne) toezichthouder
Wettelijk voorgeschreven informatie aan de betrokkene:
 Contactgegevens verantwoordelijke
 Doel /doeleinden van de verwerking
 Categorieën betrokkenen
 (Categorieën) verwerkte gegevens betrokkenen
 (Categorieën) eventuele ontvangers
 Voorgenomen doorgifte gegevens naar landen buiten EU
 Algemene beschrijving beschermings- en beveiligingsmaatregelen
4
Enkele praktische richtlijnen
Algemeen
 Documentatie in termen van de Wbp-melding aanwezig
 (IT-)middelen beschermings-/beveiligingsmaatregelen
 Twijfel? -> Functionaris Gegevensbescherming
College Bescherming Persoonsgegevens (www.cbpweb.nl)
Verzamelfase
 Aantoonbare – expliciete/impliciete - toestemming betrokkene
Analysefase
 Scheiding identificerende gegevens van inhoudelijke gegevens
 Tabel identiteit <-> pseudo-identiteit bij verantwoordelijke
Contactgegevens
Functionaris Gegevensbescherming Erasmus MC
Peter van Hoogdalem
Erasmus MC
Afdeling Juridische Zaken
Team gegevensbescherming
[email protected]
5