Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & PrivacyZorg

Autoriteit Persoonsgegevens controleert privacybeleid zorginstellingen

Natascha van Duuren

14 januari 2019 - 2 minuten leestijd

De Autoriteit Persoonsgegevens heeft kenbaar gemaakt dat zij bij verschillende zorginstellingen, waaronder bloedbanken en IVF-klinieken, het privacybeleid heeft opgevraagd. Het opstellen van een privacybeleid is niet voor alle organisaties verplicht. Wanneer bestaat deze wettelijke verplichting nu wél en waar moet een privacybeleid aan voldoen? In deze kennisblog wordt nader op deze vragen ingegaan.

Als u in de AVG zoekt naar de term “privacybeleid” zult u die niet tegenkomen. In de AVG wordt gesproken over “gegevensbeschermingsbeleid”. Het opstellen van een gegevensbeschermingsbeleid is op grond van artikel 24 lid 2 AVG verplicht “wanneer zulks in verhouding staat tot de verwerkersactiviteiten”. “Wanneer zulks in verhouding staat” is volgens de toelichting op de wet is dit afhankelijk van de aard, de omvang en het doel van de gegevensverwerking. Zorginstellingen zijn in beginsel verplicht een privacybeleid op te stellen.

Welke eisen worden nu aan een privacybeleid gesteld? De wet zelf bevat geen opsomming van eisen waaraan het privacybeleid moet voldoen. Uit artikel 24 lid 1 AVG valt af te leiden dat het privacybeleid moet kunnen aantonen dat u persoonsgegevens verwerkt conform de wet. Wat betekent dit nu concreet? Dit betekent dat u in het beleid in ieder geval de volgende informatie dient op te nemen:

  • Welke categorieën persoonsgegevens u verwerkt;
  • Voor welke doeleinden en op basis van welke wettelijke grondslag u deze persoonsgegevens verwerkt;
  • Hoe u voldoet aan de beginselen van verwerking van persoonsgegevens, zoals het beginsel van dataminimalisatie;
  • Hoe betrokkenen hun rechten kunnen uitoefenen;
  • Welke organisatorische en technische beveiligingsmaatregelen u heeft genomen;
  • Hoe lang u de persoonsgegevens bewaart.

Indien zorginstellingen geen privacybeleid hebben dat voldoet aan bovengenoemde eisen, dan overtreden zij de wet en riskeren zij een boete. Bent u verantwoordelijk voor privacy bij een zorginstellingen en heeft u nog geen privacybeleid dan wel heeft u vragen over de inhoud van het privacybeleid, neem dat contact op met Natascha van Duuren, partner IT, IE & privacy, n.vanduuren@declercq.com of 06-54983766. Wilt u op de hoogte worden gehouden van alle ontwikkelingen op het gebied van zorg? Meld u dan hier aan voor de De Clercq Zorg Nieuwsbrief.

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?