Werkgroep Gegevensbescherming

Werkgroep Gegevensbescherming

De werkgroep Gegevensbescherming, bestaande uit de Functionarissen Gegevensbescherming (hierna FG) van de SRZ-ziekenhuizen, is in 2014 gevormd met als doel ontwikkelingen binnen de privacy wetgeving gezamenlijk te volgen en de hieruit voorkomende verplichtingen tijdig en juist in alle SRZ-ziekenhuizen te implementeren.

 
Samenstelling werkgroep Gegevensbescherming

De voorzitter van de werkgroep Gegevensbescherming is Afke de Vries, FG Ikazia Ziekenhuis. Verder bestaat de werkgroep uit de FG’s van de SRZ-ziekenhuizen.

Albert van Wijk, lid Algemeen Bestuur SRZ, is vanuit het SRZ-bestuur portefeuillehouder voor de werkgroep Gegevensbescherming. Er wordt afstemming en samenhang gezocht tussen de werkzaamheden van de werkgroep Gegevensbescherming en de werkzaamheden van de Regionale Privacy Commissie (RPC)en de werkgroep cybersecurity.

 
Taak

De werkgroep heeft als taak om ervoor te zorgen dat alle (Europese) privacy verplichtingen tijdig en op de juiste wijze in alle SRZ-ziekenhuizen worden geïmplementeerd.

 

Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming (hierna AVG) geldt vanaf 25 mei 2016 en is verplicht gesteld per 25 mei 2018.  Met de invoering van de AVG verviel de Wet Meldplicht Datalekken en de Wet bescherming persoonsgegevens (Wbp).

In de AVG zijn regels vastgelegd over hoe er op rechtmatige wijze met persoonsgegevens omgegaan moet worden en hoe en wanneer deze met anderen uitgewisseld mogen worden. De Autoriteit Persoonsgegevens (AP) is de toezichthouder voor de naleving van wet- en regelgeving voor de verwerking van persoonsgegevens.

De belangrijkste bepalingen uit de AVG zijn volgends de AP als volgt samen te vatten (klik hier):

  • Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet. Voor de betrokkene (dat is degene van wie de persoonsgegevens verwerkt worden) moet het behoorlijk en transparant zijn hoe en waarom de persoonsgegevens verwerkt worden;
  • Persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel. Dat doel moet welbepaald zijn en vooraf uitdrukkelijk zijn omschreven. Het doel waarvoor een organisatie de persoonsgegevens gaat verwerken moet verenigbaar zijn met het doel waarmee de persoonsgegevens zijn verzameld;
  • Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke) en van het doel van de gegevensverwerking;
  • Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij als uitgangspunt hanteren ‘zo min mogelijk’. Dat houdt o.a. in dat de verwerking van de gegevens moet passen bij het doel waarvoor ze worden verwerkt;
  • De verwerkingsverantwoordelijke moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd;
  • De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.

 

Werkzaamheden van de werkgroep Gegevensbescherming

Een belangrijk uitgangspunt voor de praktijkaanpak is: wees altijd transparant en auditable. De werkgroep EPV houdt zich daarom bezig met o.a.:

  • het doorvoeren en controleren van allerlei zaken op het gebied van privacywetgeving en gegevensbescherming;
  • het verkrijgen van overzicht en inzicht in verwerkingen van persoonsgegevens binnen de verschillende ketenrelaties;
  • het ontwikkelen van beleid waarbij veel aandacht is voor brede bewustwording in alle SRZ-ziekenhuizen;
  • het opnemen van gegevensbescherming, privacy en informatiebeveiliging als onderdeel van de bestuur-cyclus;
  • het uitwisselen van informatie en casuïstiek om van elkaar te leren en gezamenlijke standpunten te formuleren;
  • het gevraagd en ongevraagd geven van advies rondom gegevensbescherming.