GDPR - Algemene informatie
Wat is de GDPR ?
De General Data Protection Regulation (GDPR), of in het Nederlands, de Algemene Verordening Gegevensbescherming (AVG), is een Europese regelgeving betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. De regelgeving kwam tot stand op 27 april 2016. De regels die hierin zijn opgenomen treden in werking op 25 mei 2018.
Zoals de naam het doet vermoeden, betreft de GDPR de bescherming van persoonsgegevens (en dus niet van ondernemingen of rechtspersonen). Het vervangt de huidige privacyregelingen die tot 25 mei 2018 in de verschillende Europese lidstaten golden. Voor België was dat de Privacywet uit 1992.
Het doel van de uniforme regeling bestaat erin het handelsverkeer te bevorderen door de regels te vereenvoudigen. Aangezien elke onderneming in Europa nu aan dezelfde regels onderwerpen is, zou er sprake moeten zijn van een administratieve vereenvoudiging. Eén van de belangrijkste doelen is ook de burger meer controle geven over zijn gegevens.
Wat doet de GDPR ?
De GDPR legt alle Europese lidstaten dezelfde privacyregels op. In dat kader wordt geen onderscheid gemaakt tussen een zelfstandige met een cliënteel van enkele honderden personen of een multinational die in meerdere landen actief is. Iedereen die gegevens verwerkt, valt onder het toepassingsgebied van de Verordening.
In de praktijk komt het er dus op neer dat alle ondernemingen zich in regel moeten stellen. De enige uitzondering geldt voor de verwerking van persoonsgegevens in het kader van louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit.
De GDPR wenst vooral transparantie na te streven. Het is de bedoeling dat een betrokkene (lees: patiënt) beter op de hoogte is wat met zijn gegevens wordt gedaan, over welke gegevens het gaat, met wie ze worden gedeeld, etc. De rechten van de betrokkene staan centraal. Het betreft hier voornamelijk zijn recht om inzage te krijgen, om correcties door te voeren en (nieuw) om zijn gegevens te laten wissen. U bent verplicht om te antwoorden op een verzoek van de betrokkene binnen 1 maand na ontvangst ervan.
Voortaan heeft elke nationale toezichthoudende overheid (zie verder) ook de mogelijkheid om controles uit te voeren en eventuele boetes op te leggen in geval van schending van de regels.
Binnen het toepassingsgebied van de GDPR dient u onder de volgende definities te verstaan:
- “Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
- “Verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Wat betekent de GDPR voor mij ?
Afhankelijk van de rol die u heeft, zal de GDPR verschillende verplichtingen opleggen. Wat betreft de verwerking van persoonsgegevens moet een onderscheid gemaakt worden tussen de volgende categorieën van personen:
“Verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vastlegt.
“Verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Het is niet altijd gemakkelijk om te achterhalen of u verwerkingsverantwoordelijke dan wel verwerker bent. Voor elke activiteit dient u zich opnieuw de vraag te stellen: bepaal ikzelf het doel van en de middelen voor de verwerking van de persoonsgegevens of niet? Als het antwoord hierop ‘ja’ is, dan bent u de verantwoordelijke voor de verwerking.
De verwerkingsverantwoordelijke kan het verwerken van de gegevens uitbesteden aan een derde. Indien dat het geval is, treedt de verwerker op in naam van de verwerkingsverantwoordelijke. De eindverantwoordelijkheid blijft altijd bij de verwerkingsverantwoordelijke liggen, deze kan niet doorgeschoven worden naar de verwerker. Het is dus belangrijk om uw verwerker dezelfde verplichtingen op te leggen die ook op u rusten.
Aan wat moet ik allemaal denken?
In de meeste gevallen gaat u optreden als verwerkingsverantwoordelijke. In die gevallen bent u onderworpen aan heel wat (nieuwe) verplichtingen. Voor deze verplichtingen kan u hier modellen/templates terugvinden.
- Ten eerste dient u een register van verwerkingsactiviteiten bij te houden. In dit register somt u op welke gegevens u allemaal verwerkt, voor welk doeleinden, hoe u deze gegevens beschermt, waar u ze bewaart, etc. Het integrale register van verwerkingsactiviteiten is terug te vinden in het hoofdstuk GDPR in MyQA (via APB). Er werden verschillende registers gepubliceerd gebaseerd op de verschillende activiteiten die uitgeoefend kunnen worden in de apotheek.
- Ten tweede moeten de personen van wie u gegevens ontvangt, geïnformeerd worden over de manier waarop hun data worden gebruikt. Dat doet u bij voorkeur op het moment dat u deze gegevens ontvangt. In de praktijk komt het erop neer dat u – verplicht ! – een informatievermelding zal moeten afficheren aan/op de toonbank van de apotheek.
- Vervolgens moet u ook, wanneer u als verwerkingsverantwoordelijke een beroep doet op een verwerker, een overeenkomst afsluiten met de verwerker. Deze overeenkomst somt duidelijk op welke gegevens hij/zij voor u verwerkt, voor welke doeleinden, hoe hij/zij deze verwerkt en wat hij hiermee dient te doen bij het einde van de overeenkomst.
- Verder moeten ook heel wat documenten aangepast worden. Zo denken we maar aan de privacy policy die u eventueel hebt vermeld op uw website, of de cookie policy. Voor aanpassingen aan de vertrouwelijkheidsclausules in arbeidsovereenkomsten met (onderhouds)personeel kan u best contact opnemen met uw sociaal secretariaat.
- Ten slotte dient u ook te beschikken over een formulier dat mogelijke datalekken beschrijft. Wanneer een lek zich voordoet (u verliest bv. een doos met voorschriften), dan dient u dit formulier stap voor stap in te vullen. Eventueel dient u ook de Gegevensbeschermingsautoriteit en de betrokkene zelf op de hoogte te brengen van het datalek. Meer uitgebreide informatie vindt u hierover terug in de FAQ.
- Eventueel dient u ook nog een DPO – Data Protection Officer (Functionaris voor Gegevensbescherming) – aan te stellen of een DPIA – Data Protection Impact Assessment (Gegevensbeschermingseffectbeoordeling) te laten uitvoeren. Beide zijn echter afhankelijk van de schaal waarop u persoonsgegevens verwerkt en dient dus geval per geval bekeken te worden. Dit was ook hoe de Privacycommissie op onze vraag heeft geantwoord.
Wie controleert mij?
Per land is er een toezichthoudende overheid. Dit is een door de lidstaat benoemde onafhankelijke overheidsinstantie. Voor België is dit vanaf 25 mei 2018 de Gegevensbeschermingsautoriteit. De Gegevensbeschermingsautoriteit is te bereiken op: Drukpersstraat 35, 1000 Brussel, tel. +32 (0)2/274.48.00 .
Indien een patiënt een klacht heeft, zal deze zich eerst tot u wenden. Daarnaast heeft hij ook de mogelijkheid om een klacht in te dienen bij de Gegevensbeschermingsautoriteit. Deze instantie heeft ook de mogelijkheid om u een administratieve geldboete op te leggen.
Wat zijn de mogelijke sancties?
De ordegrootte van de sancties mag niet onderschat worden. In geval van een schending van een bepaling van de GDPR, kunnen de administratieve boetes opgelegd door de Gegevensbeschermingsautoriteit oplopen tot 20 miljoen EURO of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dat cijfer hoger is.
Vragen?
Voor vragen die hier niet beantwoord zouden zijn, verwijzen wij u graag door naar de FAQ – Frequently Asked Questions.