Advocaten en notariaat in Leiden en Den Haag
Menu

De AVG komt eraan. Ook voor zorginstellingen. Zorginstellingen verwerken doorgaans veel persoonsgegevens, waaronder bijzondere persoonsgegevens. Natascha van Duuren (Advocaat/Partner IT, IE & Privacy) vertelt in een kort interview over de uitdagingen waar zorginstellingen voor staan, in de voorbereiding op de AVG. Klik hier om het interview te bekijken.

Eerder schreef Natascha van Duuren al een 3-delige serie van blogs over Privacy in de Zorg. U leest de blogs hier:

Wilt u de beste tips en updates ontvangen? Schrijf u dan in voor de nieuwsbrief! Of volg ons op LinkedIn en blijf op de hoogte.

Natascha van Duuren adviseert nationale en internationale cliënten over kwesties met betrekking tot IT en privacy. Dankzij haar analytische vermogen, projectmatige aanpak en grote toewijding is ze al jaren de vaste sparringpartner van diverse grote bedrijven en instellingen. In 2013 werd Natascha door Global Law Experts uitgeroepen tot IT-Lawyer Of The Year. Sinds 2014 is zij Managing Partner van De Clercq. Daarnaast is zij voorzitter van de Special Interest Group IT-Recht van het Ngi-NGN.

Nog ongeveer vier weken. Dan is het zover. Op 25 mei 2018 eindigt de implementatieperiode van de Algemene verordening gegevensbescherming (AVG). Vanaf die datum kan de Autoriteit Persoonsgegevens (AP) hoge boetes opleggen wanneer zij overtredingen van de nieuwe Europese wet constateert. Gaat de AP dat ook daadwerkelijk doen en waar zal de AP vanaf 25 mei vooral op gaan letten?

Geen gedoogsituatie

Onlangs verscheen in het online tijdschrift iBestuur een interview met de voorzitter van de AP, Aleid Wolfsen. In dat interview zegt Wolfsen dat na 25 mei in ieder geval geen sprake zal zijn van een “gedoogsituatie”. Privacy is een grondrecht en de AVG is geldende wetgeving, zegt hij. Bovendien werd de AVG vier jaar geleden al aangekondigd en hebben organisaties twee jaar de tijd gehad om de verordening te implementeren. De AP verwacht daarom van organisaties dat zij er nu klaar voor zijn.

Toepassingsbereik AVG vs. grootte AP

Het toepassingsbereik van de AVG is enorm. De AVG is van toepassing op alle personen, bedrijven, organisaties en overheidsinstellingen die gevestigd zijn in de Europese Unie of die persoonsgegevens verwerken van individuen binnen de Unie. De AP houdt toezicht op naleving van de AVG in Nederland. De AP doet dat op dit moment met ongeveer 140, 150 formatieplekken. Het is uiteraard ondoenlijk om met 150 medewerkers alle organisaties in Nederland actief te controleren op naleving van de AVG. De AP moet daarom keuzes maken.

Functionaris voor de gegevensbescherming

Een van de eerste punten waarop Wolfsen zegt te gaan controleren, is de aanstelling van een Functionaris voor de gegevensbescherming (FG). Organisaties zijn onder omstandigheden verplicht om een FG aan te stellen. Dat geldt bijvoorbeeld voor overheidsinstellingen en ziekenhuizen. De FG is een interne toezichthouder, een soort vooruitgeschoven post van de AP. Wolfsen: “Als wij er vertrouwen in hebben dat bij hem of haar [de FG] het toezicht goed is geborgd, dan kunnen wij wat meer op afstand blijven.” Het is daarom verstandig om (nog eens) goed na te gaan of uw organisatie verplicht is om een FG aan te stellen.

Klachten

Verder geeft Wolfsen aan dat een belangrijk deel van het werk van de AP zal bestaan uit de behandeling van klachten. Vanaf 25 mei kan iedereen een privacyklacht indienen bij de AP. Wolfsen zegt dat iedere klacht in behandeling genomen gaat worden. De klachten zullen aanleiding zijn voor vervolgacties, zoals een onderzoek bij een specifieke organisatie, binnen een bepaalde branche of op een bepaald thema waar de AP een verhoogd risico ziet. De klachten zullen dus in belangrijke mate de blik van de AP gaan richten.

Het interview kunt u via deze link lezen: https://ibestuur.nl/nieuws/na-25-mei-wordt-er-niet-meer-gedoogd

Wilt u meer informatie over dit onderwerp? Neem dan contact op met een van onze specialisten van het team IT, IE & Privacy.

Een juiste voorbereiding op de GDPR betekent niet alleen dat u de security binnen uw bedrijf op orde heeft, maar ook dat u een aantal juridische stappen heeft genomen.

Voer een data-inventarisatie uit

Welke persoonsgegevens verwerkt u van welke categorie betrokkene(n)? Op basis van welke wettelijke grondslag en op basis van welke doeleinde(n)? Hoe lang bewaart u deze gegevens? Deze vragen komen onder meer aan de orde tijdens de data-inventarisatie. De privacy specialisten van De Clercq kunnen u helpen bij deze inventarisatie en kunnen u een sjabloon leveren om de inventarisatie op een overzichtelijke wijze te laten verlopen en vast te leggen.

Maakt u gebruik van verwerkers?

Indien u gebruik maakt van verwerkers is het wettelijk verplicht een verwerkersovereenkomst te sluiten. Het is niet in alle gevallen makkelijk vast te stellen of u te maken hebt met een bewerker. De Clercq helpt u in kaart brengen van welke verwerkers u gebruik maakt en kan ervoor zorgen dat u beschikt over een goede verwerkersovereenkomst. Als u al een verwerkersovereenkomst heeft gesloten, kan De Clercq u helpen met het AVG-proof maken van deze overeenkomst. Het spreekt voor zich dat een regeling omtrent datalekken hierin niet ontbreekt!

Beschikt u reeds over een privacybeleid, een privacy statement, een verwerkingsregister en – indien gebruik gemaakt wordt van cookies –een cookieverklaring?

De GDPR gaat uit van accountability. Dit betekent dat u aan zal moeten tonen dát u aan de wet voldoet. Een privacybeleid speelt hier een belangrijke rol. De Clercq kan u bovendien een sjabloon en handvatten aanreiken om ervoor te zorgen dat u tijdig over de documenten beschikt die wettelijk verplicht zijn.

De privacy specialisten van De Clercq hebben ruime ervaring met het voorbereiden van organisaties op de GDPR. Zij hechten daarbij aan een praktische “hands on” aanpak. Wilt u meer weten over wat De Clercq voor u kan betekenen? Wij staan u graag te woord om daar geheel vrijblijvend over van gedachten te wisselen!

Contactpersoon: Natascha van Duuren

n.vanduuren@declercq.com / 071-5815356 / 06-54983766

Hoe ontwikkelt zich de rechtspraak met betrekking tot IT-aanbestedingen? Welke lessen kunnen worden geleerd? Overwint de roep om transparantie en volledige controleerbaarheid of de roep om ruimte voor creativiteit? Menno de Wijs en Per van der Kooi verwachten het laatste, zeker in de IT-sector. Hun artikel hierover verscheen in de AG-connect van deze maand.

In AG Connect zijn de krachten van de vakbladen AutomatiseringGids, IT-Infra en Informatie gebundeld. AG Connect richt zich op alle IT-professionals in Nederland en brengt online nieuws en inspirerende artikelen over ontwikkelingen, innovaties en achtergronden in de IT. Naast een website, die 24/7 op elk device te volgen is, verschijnt er 10 keer per jaar een totaal vernieuwd magazine.

Menno de Wijs is advocaat aanbestedingsrecht. Dagelijks adviseert en procedeert hij op het gebied van IT-aanbestedingsrecht en Ondernemingsrecht.

Per van der Kooi is advocaat Aanbestedingsrecht. Hij treedt op voor zowel inschrijvers als aanbestedende diensten bij IT-aanbestedingen.

Wilt u het hele artikel lezen? Klik dan hier.

Door het gebruik van leerlingvolgsystemen verwerken onderwijsinstellingen een grote hoeveelheid (bijzondere) persoonsgegevens van leerlingen, zoals verzuimgegevens en studieresultaten. Naar aanleiding van onderzoek bij een aantal grote onderwijsinstellingen, roept de Autoriteit Persoonsgegevens (AP) iedereen op de werkwijze met leerlingvolgsystemen tegen het licht te houden en te zorgen dat de beginselen van de Algemene verordening gegevensbescherming (AVG) in acht worden genomen. In het recent door de AP uitgevoerde onderzoek kwam met name het gebrek aan goede beveiliging en toegang van leerlingvolgsystemen naar voren als “valkuil”.

Beveiliging

Onderwijsinstellingen moeten – als verantwoordelijke – passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Onder onrechtmatige verwerking wordt onder meer verstaan onbevoegde kennisneming, wijziging of verstrekking van gegevens.

De AP heeft in haar Richtsnoeren beveiliging van persoonsgegevens nader uitgewerkt wat onder ‘passende technische en organisatorische maatregelen’ moet worden verstaan. Voor onderwijsinstellingen is met name de Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging van belang (NEN 27002).

Onderwijsinstellingen dienen onder andere beveiligingsmaatregelen te treffen om toegang tot persoonsgegevens van leerlingen in leerlingvolgsystemen voor bevoegde medewerkers te bewerkstelligen en onbevoegde toegang tot deze persoonsgegevens te voorkomen.

De volgende aspecten worden door de AP betrokken in de beoordeling of een onderwijsinstelling passende beveiligingsmaatregelen heeft getroffen:

  1. Er dienen procedures te zijn om medewerkers toegang te geven tot persoonsgegevens van leerlingen in het leerlingvolgsysteem die zij voor de uitvoering van hun taken nodig hebben;
    • er dient een formele registratie- en afmeldingsprocedure te zijn om toewijzing van de toegangsrechten aan de medewerkers mogelijk te maken alsmede een formele gebruikerstoegangsverleningsprocedure om toegangsrechten voor alle typen gebruikers toe te wijzen of in te trekken
    • deze procedures dienen te zijn geïmplementeerd.
  2. Er dienen logbestanden te worden gemaakt van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren.
  3. De logbestanden dienen regelmatig te worden beoordeeld.

Toegang

Volgens de privacy wetgeving mogen niet meer mensen toegang hebben tot de persoonsgegevens van leerlingen dan noodzakelijk. Voornoemde Richtsnoeren vereisen dat de medewerkers slechts toegang mogen verkrijgen tot persoonsgegevens van leerlingen in het leerlingvolgsysteem die zij voor de uitvoering van hun taken nodig hebben. Dit betekent dat er grenzen dienen te worden gesteld aan de kring van medewerkers die toegang verkrijgen tot persoonsgegevens van een leerling. Wanneer deze grenzen niet of onvoldoende worden gesteld, dan bestaat er het risico dat medewerkers van een onderwijsinstelling onrechtmatig (bijzondere) persoonsgegevens van leerlingen verwerken.

In het algemeen geldt dat niet alle medewerkers standaard en continu toegang nodig hebben tot persoonsgegevens van (alle) leerlingen voor de uitvoering van hun taken. Gelet hierop dient een onderwijsinstelling in ieder geval de volgende stappen te nemen bij het toewijzen van toegangsrechten aan een medewerker:

  1. Bepaal welke rol(len) een medewerker krijgt;
  2. Bepaal ten aanzien van welke (groep(en)) leerlingen de medewerker zijn taken gaat uitvoeren;
  3. Bepaal welke persoonsgegevens van de leerlingen de medeweker nodig heeft om zijn taken goed te kunnen uitvoeren;
  4. Bepaal binnen welke tijdsperiode de medewerker de persoonsgegevens van de leerlingen nodig heeft om zijn taken goed te kunnen uitvoeren.

Conclusie

Onderwijsinstellingen dienen ten minste formele procedures te hebben om medewerkers toegang te verlenen tot persoonsgegevens van leerlingen in het leerlingvolgsysteem. De toegangsverlening mag slechts betrekking hebben tot persoonsgegevens van leerlingen die de medewerkers voor de uitvoering van hun taken nodig hebben. Verder moeten er logbestanden worden gemaakt van gebeurtenissen binnen het leerlingvolgsysteem en deze logbestanden moeten regelmatig worden beoordeeld. Onderwijsinstellingen die hier niet aan voldoen, handelen in strijd met de privacywetgeving en kunnen forse boetes van de AP verwachten. Wees hier dus goed op voorbereid.

Contact

Wilt u meer weten over privacy in het onderwijs? Neemt u dan contact op met Anneloes Korremans  of een van de andere specialisten van het team IT, IE & Privacy.

Adidas heeft na een jarenlange strijd thans gelijk gekregen in de lang lopende zaak tegen Shoe Branding Europe. Deze partij verkocht schoenen met twee parallelle strepen op de zijkant. Het gebruik van deze twee strepen door Shoe Branding Europe kan thans als onrechtmatig worden bestempeld door een arrest van het Gerecht EU.

Wat er aan voorafging:

Op 1 juli 2009 heeft Shoe Branding Europe bij het EUIPO (“European Union Intellectual Property Office”) een aanvraag ingediend voor een Uniemerk (een merk voor alle 28 EU-landen). Het betreft een zogenaamd “positiemerk”. Door middel van een positiemerk kan een bepaald kenmerk worden gedeponeerd (in dit geval de twee strepen op de zijkant van de schoen) waarbij de rest van het product (in dit geval de schoen) slechts ter ondersteuning word meegedeponeerd om goed te kunnen aangeven waarvoor bescherming wordt gevraagd. In de onderhavige kwestie ziet het positiemerk er als volgt uit:

 

Op 13 september 2010 heeft Adidas oppositie aangetekend tegen dit merk. Zij heeft zich hierbij onder andere beroepen op het volgende (positie)merk:

 

Het EUIPO heeft de oppositie van Adidas in eerste instantie afgewezen. De tweede kamer van beroep van het EUIPO heeft vervolgens het beroep van Adidas ook afgewezen (bij beslissing d.d. 28 november 2013). Zij oordeelde hierbij onder meer dat de conflicterende merken in hun geheel van elkaar verschilden en dat deze omstandigheid volstond om elk verwarringsgevaar bij het relevante publiek uit te sluiten (in de zin van artikel 8, lid 1, onder b van verordening nr. 207/2009). Zij achtte het ook onwaarschijnlijk dat het publiek een verband zou leggen tussen de conflicterende merken.

Hierop heeft Adidas het beroep aangevochten bij het Gerecht EU. Bij arrest van 21 mei 2015 heeft het Gerecht EU de beslissing van 28 november 2013 vernietigd op grond van het feit dat de tweede kamer van beroep ten onrechte had geoordeeld dat geen sprake was van enige overeenstemming van de conflicterende merken en dat hierdoor ook het bestaan van verwarringsgevaar onjuist is beoordeeld. Hiertegen heeft Shoe Branding Europe op haar beurt beroep aangetekend, welk beroep bij beschikking d.d. 17 februari 2016 is afgewezen.

Het eindoordeel

De tweede kamer van beroep van het EUIPO (naar welke instantie werd terug verwezen) heeft vervolgens de gevolgen getrokken uit voornoemd arrest en heeft het beroep van Adidas opnieuw beoordeeld. Bij beslissing van 8 juni 2016 heeft de tweede kamer van beroep de oppositie van Adidas alsnog toegewezen (op grond van artikel 8, lid 5, van verordening nr. 207/2009). Zij was in het bijzonder van oordeel dat: “gelet op het feit dat de conflicterende merken in zekere mate overeenstemden, de door deze merken aangeduide waren dezelfde waren en het oudere merk grote bekendheid genoot, het gevaar bestond dat het relevante publiek een verband legt tussen de conflicterende merken en dat door het gebruik van het aangevraagde merk ongerechtvaardigd voordeel wordt getrokken uit de reputatie van het oudere merk, zonder dat daartoe in casu een geldige reden bestaat.”

Het Gerecht van het Hof van Justitie EU heeft nu bij arrest d.d. 1 maart 2018 dit oordeel in stand gelaten, waardoor (bijna) negen jaar na het depot van Shoe Branding Europe duidelijkheid bestaat: Adidas staat met recht op haar strepen!

Teun PouwAdvocaat IE-recht en (Erkend) BMM Merkengemachtigde

Informatieplicht

De Algemene Verordening Gegevensbescherming (“AVG”) schrijft voor dat de verwerkingsverantwoordelijke (“verantwoordelijke”) betrokkenen moet informeren over de verwerking van hun persoonsgegevens. Dit kan bijvoorbeeld worden gedaan in een privacy statement. Betrokkenen moeten onder andere worden geïnformeerd over de doeleinden en de wettelijke basis van de verwerking van hun gegevens, over bewaartermijnen en over hun specifieke rechten onder de AVG.

Persoonsgegevens niet afkomstig van betrokkene zelf – toch informeren

Indien er sprake is van direct contact met de betrokkenen zal het niet zo een probleem zijn om voorafgaand aan de gegevensverwerking een privacy statement met de vereiste informatie te verstrekken. Dit wordt echter anders indien de gegevens niet van de betrokkenen zelf worden verkregen, maar van derden. Denk hierbij bijvoorbeeld aan een arbodienst die van werkgevers persoonsgegevens van werknemers verkrijgt of een app die zonder tussenkomst van de gebruiker persoonsgegevens van Facebook gebruikers verkrijgt. Ook in die gevallen is de verantwoordelijke gehouden de betrokkenen te informeren.

Art. 14 van de AVG bepaalt dat wanneer persoonsgegevens niet van de betrokkene zelf zijn verkregen, alsnog de volgende informatie aan de betrokkene moet worden verstrekt:

Het bovenstaande moet uiterlijk binnen één maand na het verkrijgen van de persoonsgegevens aan de betrokkenen worden verstrekt, dan wel uiterlijk op het moment van het eerste contact met de betrokkene indien de persoonsgegevens worden gebruikt voor communicatie met de betrokkene. Worden de persoonsgegevens doorgegeven aan andere ontvangers, dan moet de informatie uiterlijk worden verstrekt op het moment van deze doorgifte.

Escape

In de praktijk kan het voor verantwoordelijken moeilijk zijn om aan deze informatieplicht te voldoen als zij geen direct contact met de betrokkenen hebben. De enige escapes die de AVG in dat geval lijkt te bieden is indien de betrokkene reeds over de informatie beschikt, als het informeren onmogelijk is of onevenredig veel inspanning zou vergen, als de verkrijging of verstrekking is voorgeschreven door EU of nationaal recht (en voorziet in passende maatregelen ter bescherming van het gerechtvaardigd belang van de betrokkene), of als de gegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van EU of nationaal recht.

In het geval de verantwoordelijke niet zelf contact heeft met de betrokkenen, zou het voor een verantwoordelijke uitkomst kunnen bieden indien in dat geval een beroep kan worden gedaan op de uitzondering dat het informeren onmogelijk is of onevenredig veel inspanning zou vergen. Het is vooralsnog echter onduidelijk wanneer van deze uitzondering sprake is. Echter, zelfs indien van deze uitzondering sprake zou zijn laat dit onverlet dat de verantwoordelijke ook aan de andere verplichtingen jegens de betrokkenen moet voldoen. Zo moeten de betrokkenen hun rechten onder de AVG (zoals inzage, rectificatie, verwijdering, gegevensoverdraagbaarheid) bij de verantwoordelijke kunnen uitoefenen.

Indien een organisatie betrokkenen niet zelf over de verwerking van hun gegevens kan informeren, is het aan te raden duidelijke afspraken te maken met de derde van wie de gegevens worden verkregen. Deze derde dient de betrokkene dan namens de verantwoordelijke te informeren over alle hierboven genoemde punten.

Richella Soetens, advocaat IT, IE & Privacy

Deze vraag doet zich voor in een geschil dat thans loopt bij de rechtbank Den Haag en waarin door de rechtbank thans een tussenvonnis is gewezen.

Wat is het geval? In de periode 2002 – 2003 heeft [A] het softwareproduct Mega-Kassa ontwikkeld, een computerprogramma dat kan worden geïnstalleerd op een kassasysteem en de gebruiker een volledige beheertoepassing biedt. Mega-Kassa is vooral bedoeld voor het MKB.

Tussen 2003 en 2005 heeft Cerme meerdere licenties van het programma Mega-Kassa van [A] gekocht met de bedoeling deze te verkopen aan haar klanten in Nederland. Op initiatief van Cerme zijn partijen met ingang van 1 januari 2010 vervolgens een vennootschap onder firma aangegaan (hierna: “de VOF”). Over de precieze inhoud van deze samenwerking verschillen partijen van mening. Vast staat in elk geval dat de door de VOF gedreven onderneming zich bezighield met de verkoop van (verdere ontwikkelingen van) het programma Mega-Kassa in Nederland en dat de daarmee te behalen winst zou worden verdeeld volgens de sleutel 51% voor Cerme en 49% voor [A] .

In maart 2010 hebben partijen hun samenwerking onder de vlag van de VOF beëindigd. In dat kader is op 12 maart 2010 een overeenkomst gesloten tussen enerzijds Cerme en [A] (in hun hoedanigheid van vennoten van de VOF) als verkopende partij en anderzijds Cerme als kopende partij. Kern van deze koopovereenkomst is de verkoop van:

de onderneming waar onder begrepen:

  1. Het tot voormeld bedrijf behorende Auteursrecht van de software en alle rechten van intellectuele of industriële eigendom op alle krachtens de overeenkomst ontwikkelde of ter beschikking gestelde programmatuur (…)

Van belang voor deze kwestie is dat uitsluitend de VOF als verkopende partij  optreedt en dus niet ook de vennoten in privé. Hierdoor kan alleen hetgeen aan de VOF toebehoort worden verkocht. Hierdoor is de vraag gerezen of de software (en de auteursrechten hierop) eigenlijk wel van de VOF waren en dus of deze überhaupt konden worden overgedragen. Cerme stelt in dit verband dat [A] bij de oprichting het programma Mega-Kassa, de bijbehorende behorende broncode(s) en de daarop rustende auteursrechten en andere rechten van intellectuele eigendom heeft ingebracht. Deze rechten zijn daarmee volgens Cerme eigendom geworden van de VOF. [A] betwist dit en stelt dat hij bij de oprichting van de VOF uitdrukkelijk als voorwaarde heeft gesteld dat de intellectuele eigendomsrechten op dit programma van hem zouden blijven en dat hij de ook de broncode van dit programma zou behouden.

Aangezien Cerme inmiddels geconfronteerd is met een concurrent op de markt die stelt dat haar leverancier de software rechtstreeks van [A] heeft gekocht, is het voor Cerme van groot belang dat hij kan aantonen dat de VOF de eigenaar/auteursrechthebbende was geworden met betrekking tot de software (door inbreng van de software in de VOF door [A]) en dat deze vervolgens door middel van de overeenkomst tussen de VOF en Cerme op Cerme zijn overgegaan. Hier is Cerme vooralsnog niet in geslaagd en de rechtbank draagt Cerme nu op nader bewijs aan te dragen voor haar stellingen. Dit lijkt een uiterst moeilijke opgave voor Cerme, ook al is haar standpunt wellicht volledig in lijn met de uitdrukkelijke bedoeling van partijen destijds. Hieruit volgt maar weer eens hoe belangrijk het is om tijdig de juiste afspraken vast te leggen (tussen de juiste partijen!) om geschillen in de toekomst te voorkomen. Zeker wanneer rechten van intellectuele eigendom centraal staan kan het tijdig inwinnen van juridisch advies hierbij essentieel zijn. Ik zal u op de hoogte houden van de afloop van deze kwestie.

Teun Pouw, Advocaat IE-/IT-recht en BMM Erkend Merkengemachtigde

Vanuit een groeiende behoefte om gegevens van leerlingen op een efficiënte, veilige en met de nodige privacy waarborgen uit te wisselen, is op 1 februari jl. de Wet pseudonimisering  leerlinggegevens in werking getreden. Deze wet voorziet in een grondslag op basis waarvan onderwijsinstellingen het persoonsgebonden nummer eenmalig kunnen gebruiken om een pseudoniem te genereren. Met deze wet wordt aangesloten bij de Algemene verordening gegevensbescherming (AVG) die per 25 mei 2018 van toepassing is.

 Dataminimalisatie

Ook in het onderwijs is digitalisering niet meer weg te denken. Onderwijsinstellingen wisselen direct tot de persoon herleidbare gegevens uit met educatieve uitgevers en distributeurs. Dit is voor de werking van de leermiddelen echter niet altijd noodzakelijk. Bij het afnemen van digitale toetsen en examens lopen onderwijsinstellingen tegen vergelijkbare problemen aan. Vanuit het oogpunt van dataminimalisatie, een beginsel dat ook is vastgelegd in de AVG, mogen alleen de strikt noodzakelijke persoonsgegevens uitgewisseld worden. Pseudonimisering maakt dataminimalisatie mogelijk.

Pseudonimiseren

De Autoriteit Persoonsgegevens omschrijft het pseudonimiseren van persoonsgegevens als een methode om met persoonsgegevens te werken zonder daarbij te weten over welke personen de gegevens gaan. Het pseudonimiseren van persoonsgegevens zorgt er namelijk voor dat gegevens alleen nog herleidbaar zijn tot een specifiek persoon als er gebruik wordt gemaakt van aanvullende gegevens. Een pseudoniem (in de technische uitvoering bekend als ketenID’s) is een unieke identiteit voor onderwijsdeelnemers.

Met de invoering van de ketenID’s hoeven alleen nog maar die persoonsgegevens uitgewisseld te worden die nodig zijn voor het beoogde doel. Bij het gebruik van digitale leermiddelen hoeft dan bijvoorbeeld de geboortedatum of het geslacht van een leerling niet langer meegestuurd te worden om zeker te weten dat de school en de leverancier het over dezelfde leerling hebben. De onderwijsinstelling beschikt in juridische zin als verantwoordelijke over het PGN, pseudoniem en ketenID’s en weet om welke leerling het gaat. In de praktijk krijgen de partijen waarmee de school gegevens uitwisselt enkel een ketenID. Hiermee wordt beoogd aan de onwenselijke situatie van onnodige gegevensuitwisseling in het onderwijs een einde te maken, zo blijkt uit de memorie van toelichting.

Nummervoorziening

Om een pseudoniem en ketenID’s te genereren is er een centraal georganiseerde nummervoorziening gerealiseerd. Dit is een voorziening voor het aanmaken, wijzigen en verwijderen van een pseudoniem en ketenID’s. Onderwijsinstellingen sluiten met de beheerder van de nummervoorziening een bewerkersovereenkomst waarin de gegevensuitwisseling tussen de onderwijsinstelling en de nummervoorziening is vastgelegd.

Stichting Kennisnet is verantwoordelijk voor de realisatie van de nummervoorziening. De betrokken partijen en leveranciers werken nu samen aan een zorgvuldige invoering.

Zelfregulering

De wetgever heeft er bewust voor gekozen het gebruik van pseudoniemen niet te verplichten, maar de keuze voor passende maatregelen om de privacy van onderwijsdeelnemers te waarborgen aan de onderwijsinstelling als verantwoordelijke te laten. De wetgever acht het van belang dat een onderwijsinstelling, vanuit haar eigen ambities en visie op goed onderwijs, en in goed overleg met ouders en de medezeggenschapsraad, een zorgvuldige afweging maakt over de persoonsgegevens die zij van onderwijsdeelnemers ter beschikking stelt en voor welke doeleinden.

De wet bevat wel een evaluatiebepaling, die inhoudt dat de regering binnen vijf jaar na de inwerkingtreding van de wet verslag uitbrengt over de doeltreffendheid en de effecten van deze wet in de praktijk. Mocht deze evaluatie aantonen dat de gekozen aanpak van zelfregulering onvoldoende effect sorteert, dan zal een nadere afweging plaatsvinden over de te nemen maatregelen, zoals het wettelijk voorschrijven van het gebruik van het pseudoniem/ketenID en/of van de aanvullende persoonsgegevens die mogen worden verstrekt.

Contact

Wilt u meer weten over dit onderwerp of privacy in het onderwijs in het algemeen? Neemt u dan contact op met Anneloes Korremans  of een van de andere specialisten van het team IT, IE & Privacy.

Op grond van de huidige Wet bescherming persoonsgegevens moeten zorgaanbieders loggegevens bijhouden. Met de inwerkingtreding van het Besluit elektronische gegevensverwerking door zorgaanbieders per 1 januari 2018 moet deze logging voldoen aan NEN 7513.

Wat is logging?

Logging voorziet in een stelselmatige geautoriseerde registratie van gegevens rondom de toegang tot het (elektronisch) patiëntdossier. Dit is nodig vanwege het belang van de integriteit van de gegevens in het elektronisch patiëntendossier en de aanwezigheid van bijzondere persoonsgegevens. In het elektronisch patiëntendossier worden immers gegevens omtrent de gezondheid van de patiënt opgeslagen. Deze gegevens kwalificeren als bijzondere persoonsgegevens. Het is dan ook van belang te kunnen achterhalen wie toegang heeft gehad tot het dossier, of deze toegang wel rechtmatig was en welke acties in het dossier zijn uitgevoerd. Om dit te kunnen vaststellen is logging noodzakelijk.

NEN

NEN 7513 biedt aanwijzingen voor het loggen en het gebruik van logging om te voldoen aan wettelijke verplichtingen en levert ontwikkelaars van informatiesystemen een aantal eisen waaraan hun informatiesystemen moeten voldoen. Gegevens die tenminste bijgehouden moeten worden om logging mogelijk te maken zijn:

Hoe lang moeten de loggegevens worden bewaard?

In het Besluit elektronische gegevensverwerking door zorgaanbieders is vastgelegd dat vertegenwoordigende organisaties van zorgaanbieders en patiënten in overleg met de Autoriteit Persoonsgegevens, een bewaartermijn moeten vaststellen en bekend maken. Deze bewaartermijn moet voor 1 juli 2018 bekend worden gemaakt in de Staatscourant. Ook in de NEN 7513 is opgenomen dat het in beginsel aan patiënten, zorgaanbieders en toezichthouders is om termijnen overeen te komen voor het bewaren van loggegevens. De reden hiervoor is een praktische. De algemene bewaartermijn van medische gegevens is immers 15 jaar. Een bewaartermijn van 15 jaar voor loggegevens zou echter een bulk aan data opleveren dat volgens de wetgever op praktische bezwaren kan stuiten. Tot 1 juli 2018, de datum waarop de bewaartermijn van loggegevens bekend wordt gemaakt, doen zorgaanbieders er echter goed aan de bewaartermijn van 15 jaar aan te houden.

Wilt u meer weten over privacy in de zorg? Neem dan contact op met Natascha van Duuren, partner IT, IE & privacy, n.vanduuren@declercq.com of 06-54983766.

Lees ook deel 1 en deel 2 in de serie Privacy in de zorg.