Vlaams Artsensyndicaat vzw

Afd. Antwerpen, Limburg en Vlaams-Brabant

Login

  1. Home
  2. STAP 9 - Ga na of u een DPO of DPIA nodig heeft

STAP 9 - Ga na of u een DPO of DPIA nodig heeft

Deze termen zullen u misschien niet direct bekend in de oren klinken.

DPO is de Engelse afkorting voor ‘functionaris voor gegevensbescherming’ (‘Data Protection Officer’).
DPIA is de Engelse afkorting voor ‘gegevensbeschermingseffectbeoordeling’ (‘Data Protection Impact Assessment’).

Functionaris voor gegevensbescherming (DPO)
Gegevensbeschermingseffectbeoordeling (DPIA)

Functionaris voor gegevensbescherming (DPO)

Een functionaris voor gegevensbescherming is iemand die als onafhankelijke partij mee waakt over uw privacybeleid.

De GDPR bepaalt dat u zo’n functionaris moet aanstellen wanneer u :

  • Hoofdzakelijk belast bent met verwerkingen die vanwege hun aard, omvang en/of doeleinden een regelmatige en stelselmatige observatie op grote schaal vereist van de betrokkenen;
  • Hoofdzakelijk belast bent met grootschalige verwerking van bijzondere categorieën van persoonsgegevens (zie de definitie in stap 1) en van strafrechtelijke gegevens.

 

Voor zorgverstrekkers is de tweede categorie relevant. Zij verwerken immers per definitie ‘bijzondere categorieën van persoonsgegevens’, namelijk gezondheidsgegevens.

De vraag of een zorgverstrekker een DPO moet aanstellen, hangt dan ook af van de vraag of de verwerking van die gevoelige gegevens moet beschouwd worden als een ‘grootschalige verwerking’.

Helaas geeft de GDPR geen verdere verduidelijking van wat als ‘grootschalige verwerking’ moet worden gezien. Wel wordt in de preliminaria van de GDPR uitdrukkelijk gesteld dat de verwerking van persoonsgegevens niet als een grootschalige verwerking mag worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten door een individuele arts of andere zorgprofessional.

Wat met de groepspraktijken?

Hierop is in de wetgeving geen antwoord terug te vinden en ook de relevante adviesorganen en toezichthouders hebben zich hierover nog niet uitgesproken. Dat wil dus zeggen dat elke groepspraktijk in principe zelf moet nagaan of er sprake kan zijn van ‘grootschalige verwerking’.

In Nederland heeft de Nederlandse toezichthouder wel een specifieke regeling uitgewerkt voor groepspraktijken van huisartsen en ‘andere specialistische zorg dan ziekenhuizen’. De Nederlandse toezichthouder gaat er daarbij van uit dat een dergelijke groepspraktijk aan grootschalige verwerking doet wanneer ze:

  • meer dan 10.000 ingeschreven patiënten heeft of gemiddeld meer dan 10.000 patiënten per jaar behandelt, én;
  • de gegevens van deze patiënten in één informatiedossier bewaren.

 

Dit zijn richtlijnen van de Nederlandse toezichthouder, die dus geen juridische waarde hebben in België. Maar omdat de GDPR in eerste instantie niet zozeer kijkt naar de beslissingen die u in het kader van de GDPR neemt, maar wel naar de verantwoording en argumentatie van die beslissing, kan de Nederlandse richtlijn mogelijks ook hier in België een leidraad vormen, althans voor de groepspraktijken van huisartsen en ‘ andere specialistische zorgverstrekkers’.

Zolang de Belgische toezichthouder zelf geen richtlijn heeft uitgevaardigd, doet u er best aan om in geval van twijfel, toch een DPO aan te stellen.

terug

Gegevensbeschermingseffectbeoordeling (DPIA)

De GDPR bepaalt dat u in bepaalde gevallen voordat u een verwerking start, een beoordeling moet uitvoeren van het effect van die verwerking op de rechten en vrijheden van de betrokkenen.

Het uitvoeren van een DPIA moet steeds in de volgende gevallen:

  • bij een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
  • bij grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of
  • bij stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

 

Net zoals bij de aanstelling van de DPO, is het ook hier onduidelijk wanneer het gaat over de grootschalige verwerking van persoonsgegevens.

De preliminaria van de GDPR bepalen ook hier uitdrukkelijk:  “De verwerking van persoonsgegevens mag niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat. In die gevallen mag een gegevensbeschermingseffectbeoordeling niet verplicht worden gesteld.”

Individuele zorgverleners moeten met andere woorden geen DPIA uitvoeren. De groepspraktijken dienen dit zelf te beoordelen aan de hand van hun concrete werking.

Daarnaast dient er ook een DPIA te worden uitgevoerd in alle andere gevallen wanneer de verwerking een hoog risico inhoudt voor die rechten en vrijheden. Dit kan dus ook gelden voor een individuele zorgverlener.

Dit kan bijvoorbeeld het geval zijn bij:

  • Het toekennen van een evaluatie of een score (inclusief profiling en voorspelling), in het bijzonder wanneer ze gebaseerd zijn op persoonlijke aspecten van de betrokkene zoals zijn werkprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, gedrag, loyaliteit, of verplaatsingen;
  • Geautomatiseerde besluitvorming met een juridisch of vergelijkbaar gevolg (bijvoorbeeld: automatische verwerking van gegevens die beslissen om iemand wel of niet als klant, leverancier, … toe te laten)
  • Stelselmatige monitoring van natuurlijke personen (bijvoorbeeld op publiek toegankelijke ruimten)
  • De niet-occasionele verwerking van gevoelige gegevens of de verwerking van gegevens van zeer persoonlijke aard
  • Gegevens die op grote schaal worden verwerkt
  • Matching of samenvoeging van datasets
  • Gegevens over kwetsbare personen (kinderen, geesteszieken, bejaarden, …)
  • Het gebruik van nieuwe technologieën (of nieuwe toepassingen van bestaande technologieën) of organisatorische oplossingen, waarvan de impact op de risico’s voor persoonsgegevens nog niet is onderzocht.
  • Verwerking van gegevens die de toegang tot een bepaalde dienst kan verhinderen (bijvoorbeeld een bank die  haar klanten screent op grond van kredietinformatie om te bepalen of ze al dan niet een lening toekent);
  • Doorgifte buiten de grenzen van de Europese Unie

 

Als vuistregel kan worden vooropgesteld dat er zeker een DPIA dient te worden uitgevoerd indien minstens twee van bovenstaande criteria vervuld zijn.

De bedoeling van zo’n beoordeling is vooraf na te gaan wat de impact van de vooropgestelde verwerking van persoonsgegevens is of kan zijn op de rechten van de betrokkenen. Daarbij kan gebruik worden gemaakt van al bestaande studies, mits deze voldoende worden geconcretiseerd naar de situatie in België.

Zo’n beoordeling bevat ten minste:

  • Een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder in voorkomend geval de gerechtvaardigde belangen die u inroept;
  • Een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
  • Een beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen;
  • De beoogde maatregelen om de risico’s aan te pakken.

 

Wanneer uit deze beoordeling zou blijken dat de verwerking inderdaad een hoog risico zou opleveren indien u geen maatregelen neemt om het risico te beperken, moet u voorafgaand aan de verwerking de Gegevensbeschermingsautoriteit raadplegen.

terug

terug naar het overzicht

Het Vlaams Artsensyndicaat is er voor u!

Uw steun en belangen doorheen uw loopbaan als arts

Bekijk wat we voor u als syndicaat kunnen doen