Blog

Nog even over de AVG en privacy: hoe u als professional al snel goed voor de dag kunt komen

Nog even over de AVG en privacy: hoe u als professional al snel goed voor de dag kunt komen

18-05-2018

Bent u al AVG-moe? Ik soms wel. Niet van de juridische vragen hoor. Wij passen graag voorwaarden, beleid en overeenkomsten aan. Maar wel van hoeveel misverstanden er in de praktijk nog bestaan. Ondanks de hoeveelheid informatie die er op je wordt afgevuurd. Je kunt als internetgebruiker bijna geen website meer openen zonder tegen een cookie-wall aan te lopen. De AVG moet hier tegen helpen, maar vooralsnog lijkt het alleen maar erger te worden. We moeten er met zijn allen even doorheen.

Deel dit artikel

Naar het overzicht

Praktijkvoorbeeld

Onlangs belde ik mijn huisarts voor een verwijsbrief. De brief was geen probleem. Ik kon hem diezelfde middag nog komen ophalen. Op mijn vraag of hij hem ook kon e-mailen (het gaat tenslotte maar om een administratieve kwestie), was zijn antwoord: “nee, dat kan niet want dan hebben we een datalek”.  Aan de andere kant van de lijn kromde ik heel licht mijn tenen. Maar ik besloot me te schikken in mijn rol als (moeder van de) patiënt en even ouderwets langs te fietsen. Het was tenslotte mooi weer.  

Kort daarna zaten we bij de betreffende specialist aan tafel. Op diezelfde tafel lag een vragenlijst die ik vooraf had ingevuld en meegenomen. “Deze mag ik niet meer bewaren. Vanwege de privacy is papier niet meer toegestaan en moet ik alles op mijn laptop zetten”, aldus de specialist.

Is dat zo?

Nu denk ik dat zo’n opmerking op bijna iedereen wel professioneel en geloofwaardig over komt. Zo nu en dan eens een term als ‘datalek’ of ‘privacy’ laten vallen, maakt al snel dat je voor de dag komt als iemand die goed op de hoogte is. En inhoudelijk zegt het toch maar weinig mensen iets. Net als met algemene voorwaarden blijven dit soort verwijzingen meestal hangen in een grijs mentaal sprookjesbos van duffe formaliteiten, dat ver buiten de praktische werkelijkheid staat. Aan wetgevers, advocaten en juristen de eer om dit soort zaken voor iedereen praktisch te maken. Blijkbaar is dit nog niet voor iedereen gelukt.

Nog even in de herhaling, zodat u op de volgende klantbespreking, netwerkbijeenkomst, familiebarbecue of wherever ook goed voor de dag kunt komen.

Het kan in theorie zo zijn dat beide artsen gelijk hebben, maar waarschijnlijk is het niet.

Gegevensverwerking

In beide kwesties ging het om een legitieme gegevensverwerking van bijzondere (want medische, dus extra beschermde) persoonsgegevens. De verwerking berustte op een gerechtvaardigd doel (het met mijn toestemming verlenen van medische zorg). De verwerking was noodzakelijk en bevatte geen onnodige informatie. Aan de basisvereisten voor gegevensverwerking was dus voldaan.

Datalek

Een datalek is een “verlies of enige vorm van onrechtmatige verwerking van persoonsgegevens”.  Het moet gaan om een inbreuk op de beveiliging die leidt tot vernietiging, het verlies, de wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang tot opgeslagen persoonsgegevens. Denk bijvoorbeeld aan een hack van het computersysteem waarbij toegang tot de gegevens is geweest. Ik was als (moeder van de minderjarige) patiënt wel degelijk bevoegd om kennis te nemen van een verwijsbrief. Wel zou het kunnen zijn dat mijn Gmail account niet veilig genoeg werd geacht. Als onbevoegden er ook kennis van kunnen nemen, zou het een datalek kunnen zijn. Maar zover zou ik hier niet willen gaan. Het sturen van een verwijsbrief per mail is dus niet per definitie een datalek. Sowieso is het ook niet eerder een datalek dan bij het ophalen van de papieren verwijsbrief aan de balie (waarbij ook niet om mijn id wordt gevraagd). Als de verwijsbrief naar een verkeerd adres zou worden gestuurd, of aan een verkeerde persoon zou worden meegegeven, zou het wel een datalek zijn geweest.

Bewaren persoonsgegevens

Het bewaren van medische patiëntinformatie in papieren vorm is op zichzelf in de AVG niet verboden. Zolang het maar goed beveiligd wordt opgeborgen met behulp van de technische en organisatorische maatregelen die naar de huidige stand van de techniek passend zijn en zolang het niet langer wordt bewaard dan noodzakelijk. Kortom: alarm op het pand, een sleutelbeleid, kast op slot en het na 15 jaar (standaard bewaartermijn voor medische gegevens) laten vernietigen door een gecertificeerd bedrijf met een verwerkingsovereenkomst. Overigens kreeg ik in dit geval zelf de indruk dat de kans dat de privacy geschonden zou worden kleiner was wanneer het papiertje lokaal werd opgeslagen in een dossierlade met slot, dan bij het overtypen op een losse laptop, waar als de deskundige zelf geen technische fout maakt, de simpele hackers van deze wereld al snel toegang tot zouden kunnen krijgen. 

Conclusie

Kortom, in dit geval hadden de beide zorgverleners met betrekking tot het onderwerp privacy duidelijk de klok horen luiden. Gewichtig en alarmerend. Want de inwerkingtreding van de AVG (dus de Algemene Verordening Gegevensbescherming, voor degenen die nu wakker schrikken) op 25 mei 2018, nadert met rasse schreden. Awareness is goed. Maar die klepel hing echt niet zo ingewikkeld als zij vreesden. Heus, het valt wel mee. Maar als je toch met quasi-interessante termen je professionele window gaat dressen, doe het dan goed.

Heeft u nog vragen over dit onderwerp? Neem dan contact op met een van onze specialisten.

Esther den Haan-Van Wijk 

 
Mr. E.A.TH. (Esther)
Den Haan-van Wijk
+31 (0)72 515 55 44
+31 (0)72 515 54 93
denHaan-vanWijk@rensenadvocaten.nl
Meer over Esther