Gegevensverwerkingsbeleid voor de (para)-medische sector
De Autoriteit Persoonsgegevens (AP) heeft de kwaliteit van gegevensverwerkingsbeleid onderzocht. Heeft u ook zo’n privacybeleid nodig en zo ja, hoe stelt u dan op?
Is een gegevensverwerkingsbeleid verplicht?
Een gegevensbeschermingsbeleid (privacybeleid) is verplicht als dat in verhouding staat tot de verwerkingsactiviteiten. Het is afhankelijk van de aard, omvang, context en het doel van de gegevensverwerking. U verwerkt waarschijnlijk bijzondere persoonsgegevens, maar harde richtlijnen over wanneer wel/niet een beleid verplicht is ontbreken.
Heeft u 10 cliënten/patiënten dan lijkt een privacybeleid niet verplicht. Bij 100 is het al de vraag en bij meer dan 100 wordt er sowieso geadviseerd een beleidsstuk op te stellen.
Wat neemt u in op in een gegevensbeschermingsbeleid?
Uit het stuk moet de volgende zaken blijken:
- de categorieën persoonsgegevens;
- de doeleinden waarvoor de gegevens verwerkt worden én de juridische grondslag daarvan;
- de rechten die betrokkenen hebben en hoe zij deze kunnen uitoefenen;
- de organisatorische en technische beveiligingsmaatregelen die u heeft genomen; en
- de bewaartermijnen van de persoonsgegeven.
De aanbevelingen van de AP
Expertise. De aanbevelingen van de AP bevatten een aantal open deuren zoals ‘gebruik expertise’. Heeft u een Functionaris Gegevensbescherming (FG) in dienst, laat die dan het beleid opstellen.
Verplichting? Uiteraard beoordeelt u eerst of u verplicht bent een beleid op te stellen. Is dat niet zo, dan is het wellicht tóch slim om het wel te doen.
Eén document? De derde aanbeveling is praktisch: zorg ervoor dat het beleid vastligt in één document. Vaak is alle informatie verspreid over meerdere documenten zoals het verwerkingsregister en de privacyverklaring. Dat is niet erg, als de informatie een compleet beeld geeft en makkelijk te raadplegen is.
Wellicht dat u uw AVG-documenten kunt samenvoegen in één Excel- of Wordbestand. De AP beveelt aan om het beleid bekend te maken. Naar patiënten toe, zou dat kunnen met een mededeling in de wachtkamer, op de website, e.d. ‘Wilt u ons privacybeleid inzien? Vraag er dan naar aan de balie.’
Concreet. Tot slot stelt de AP dat het beleid concreet moet zijn. Dat is lastig: want hoe concreet is concreet en wat hoort (niet) thuis in het beleidsstuk? Een beleidsstuk moet kort en krachtig, maar wel volledig zijn.
Neem op wat geldt voor de privacy van álle medewerkers, cliënten of patiënten en wat er van hen wordt verwacht. Geef in hoofdlijnen antwoord op privacyvragen of geef inzicht in waar of bij wie een antwoord gevonden kan worden. Verwijs gerust naar andere documenten ter verduidelijking of vervollediging.
Twee voorbeelden
- Een (oud-)medewerker of een patiënt wil zijn dossier inzien. Neem in het privacybeleid op hoe en bij wie zo’n verzoek moet worden ingediend. Wie dan daadwerkelijk het dossier boven water haalt, e.d. hoeft niet in het privacybeleid te staan.
- Werkt u voor de verwerking samen met derden? Neem in het beleidsstuk op dat hiermee een verwerkersovereenkomst gesloten wordt/is die voldoet aan de AVG-regels. De verwerkers staan niet in het beleidsstuk; verwijs daarvoor naar het verwerkingsregister.
Voor de (para)-medische praktijk is een privacybeleid verplicht. Geef hierin in hoofdlijnen antwoord op privacyvragen die voor álle cliënten, patiënten en/of medewerkers gelden en verwijs voor details en volledigheid door naar andere documenten.