De Autoriteit Persoonsgegevens (AP) heeft bij 53 organisaties hun privacy-beleid opgevraagd. Het gaat om bloedbanken, IVF-klinieken en gemeentelijke politieke partijen. Deze organisaties verwerken bijzondere persoonsgegevens over gezondheid en politieke voorkeur. Dat verplicht hen op grond van nieuwe privacywet AVG verplicht om in een privacy-beleid of gegevensbeschermingsbeleid zaken vast te leggen zoals:
- Met welk doel zij persoonsgegevens verwerken.
- Hoelang ze de gegevens bewaren.
- Hoe de gegevens beveiligd worden.
Met een privacy-beleid brengt een organisatie in kaart welke maatregelen zij heeft genomen om de persoonsgegevens van bijvoorbeeld klanten, patiënten, cliënten te beschermen. Daarnaast is het een manier waarmee een organisatie aan zowel de doelgroep als aan de AP kan laten zien dat ze voldoet aan de AVG. Hebben dergelijke organisaties ze geen privacy-beleid of voldoet het beleid niet aan de eisen, dan overtreden zij volgens de AP de privacywet.
Controle ziekenhuizen, zorgverzekeraars
Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) in mei 2018 controleert de AP onder meer steekproefsgewijs of vereisten uit de privacywetgeving worden nageleefd. Zo werden overheidsorganisaties, ziekenhuizen, (zorg)verzekeraars en banken gecontroleerd op het hebben van een functionaris voor de gegevensbescherming (FG). Verder deed de AP een steekproef bij grote private organisaties om te onderzoeken of zij een register voor verwerkingsactiviteiten bijhouden.
In oktober gaf de AP aan dat ziekenhuizen en zorgverzekeraars
nu allemaal voldoen aan de wettelijke verplichtingen in de privacy-wet AVG op het gebied van de Functionaris Gegevensbescherming (FG). Dat bleek uit een nieuwe controle van de toezichthouder. Bij een eerdere steekproef onder 91 ziekenhuizen en 31 zorgverzekeraars
bleek in augustus dat bijna een kwart niet volledig aan de FG-verplichtingen voldeed.
Voldoet privacy-beleid aan AVG
De AP heeft nu dus het privacy-beleid opgevraagd bij bloedbanken en IVF-klinieken en de politieke partijen van drie gemeenten met meer dan 100.000 inwoners. De toezichthouder
gaat bekijken of het beleid voldoet aan de eisen die de AVG stelt.
Zo moet helder zijn welke categorieën persoonsgegevens worden verwerkt, met welk doel, hoe de gegevens worden beveiligd, welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Hebben de organisaties geen beleid dat voldoet aan de gestelde eisen, dan overtreden zij de wet. De AP zal zo nodig handhaven bij overtredingen.
Bloedbanken, IVF-klinieken en politieke partijen zijn voorbeelden van organisaties die op grond van de privacywet een privacy-beleid moeten hebben. Zij verwerken bijzondere persoonsgegevens over gezondheid en politieke voorkeur. Deze persoonsgegevens moeten goed beschermd worden. Niet iedere organisatie is verplicht een privacy-beleid op te stellen. Dat hangt af van aard, de omvang, de context en het doel van de gegevensverwerking.
Beleid versus verklaring
Een privacy-beleid is iets anders dan een privacyverklaring. Alle organisaties die persoonsgegevens verwerken, moeten mensen heldere informatie geven over de persoonsgegevens die zij verwerken en voor welk(e) doel(en) zij deze gegevens verwerken. De meest aangewezen manier hiervoor is het opstellen van een online privacyverklaring.
Openingsmanifestatie van de e-healthweek 2019
Meer weten over hoe, waarmee en met wie de zorg haar toekomst implementeert? Bezoek dan op 21 januari 2019 de jaarlijkse ICT&health Openingsmanifestatie van de e-healthweek. Entreekaarten zijn gratis, dus wacht niet en meld u snel aan want op is op!
