Het verwerkingsregister van persoonsgegevens is sinds 25 mei 2018 verplicht aan te leggen door alle professionals en organisaties, die gestructureerd met persoonsgebonden informatie werken. Deze nieuwe regelgeving heeft ook impact op de bescherming van gegevens in de huisartsenpraktijk. Om deze verplichting nog eens op te frissen worden in dit artikel de voornaamste regels, tools en praktische zaken nog eens kort toegelicht.
Waarover gaat het?
- Onder persoonsgegevens wordt alle persoonsgerelateerde informatie verstaan die kan leiden tot identificatie van een persoon. Onder deze gegevens vallen bijgevolg niet enkel de naam, het adres of het rijksregisternummer, maar ook alle gegevens zoals de leeftijd, het geslacht, de soort auto waarmee de betrokkene rijdt, enzovoort. Het criterium dat gebruikt wordt is dat een combinatie van deze gegevens kan leiden tot identificatie van een persoon.
- Onder verwerking worden alle handelingen begrepen die met de persoonsgegevens gesteld kunnen worden bijvoorbeeld de opslag van deze gegevens.
- Onder verwerkingsverantwoordelijke wordt een persoon, overheidsinstelling of dienst die/dat het doel van en de middel voor de verwerking van persoonsgegevens vaststelt bedoelt. Wanneer je als praktijk beslist waarom en hoe de persoonsgegevens verwerkt worden, ben je dus een verwerkingsverantwoordelijke.
- Onder verwerkers worden de personen, overheidsinstellingen of diensten bedoelt die persoonsgegevens verwerken ten behoeve van de verwerkingsverantwoordelijke.
- De functionaris voor de gegevensbescherming is de persoon/organisatie die toeziet op de naleving van de GDPR-regels binnen de organisatie.
De medische gegevens vormen echter een bijzondere categorie. Deze mogen in principe niet verwerkt worden, tenzij er wordt voldaan aan de juiste rechtsgrond en de gegevens worden verwerkt door (of onder verantwoordelijkheid van) personen die gebonden zijn aan het beroepsgeheim. Artsen die een medisch dossier bijhouden, wachtposten en groepspraktijken hebben dus het recht om deze gegevens te verwerken maar dienen dit goed te documenteren en te verantwoorden.
Praktische aanpak
In een artikel uit Huisarts Nu werd er een volledig stappenplan uitgewerkt om de bescherming van de persoonsgegevens te garanderen. Er zijn drie belangrijke opdrachten die vervuld moeten worden namelijk:
- het opstellen van een verwerkingsregister en privacyverklaring;
- een procedure voor het melden van gegevenslekken opstellen en;
- de overeenkomsten met verwerkers nakijken en waar nodig aanpassen.
In deze toelichting wordt de eerste opdracht kort uitgelegd.
Een verwerkingsregister helpt om aan te geven welke gegevens worden bewaard in de praktijk, van zowel medewerkers als patiënten, de redenen om de gegevens bij te houden en te verwerken, de rechtsgronden, de genomen beschermingsmaatregelen enzovoort. Domus Medica biedt een template en checklist aan voor haar leden die u op weg helpen om een verwerkingsregister op te stellen. De gegevens die zeker verwerkt dienen te worden zijn:
- Naam en contactgegevens van de verwerkingsverantwoordelijke (en van diens vertegenwoordiger wanneer de verantwoordelijke buiten de EU gevestigd is);
- Indien van toepassing, naam en contactgegevens van de Functionaris voor de Gegevensverwerking (FG of DPO);
- De doeleinden waarvoor persoonsgegevens worden verwerkt (per onderscheiden doeleinde zal een apart register of een aparte onderverdeling vereist zijn);
- Categorieën van personen waarvan gegevens worden verwerkt (bv. klanten, leerlingen, patiënten,…);
- Welke persoonsgegevens worden bijgehouden;
- De bewaartermijn;
- Of gegevens door verwerkers worden verwerkt en desgevallend door wie en de contactgegevens van de verwerkers;
- Eventuele derde ontvangers van de gegevens;
- Hoe gegevens worden beveiligd (bv. encryptie, login, fysieke beveiliging,…);
- Eventuele opslag van gegevens buiten de EU (belangrijk omdat daar andere regelgeving m.b.t. verwerking van persoonsgegevens geldt).
Aan de hand van de tools die Domus Medica ter beschikking stelt kan u zelf aan de slag gaan om een verwerkingsregister op te stellen. Kiest u er echter voor om deze taak door een derde partij te laten uitvoeren, dient u een verwerkingsovereenkomst af te sluiten. De GDPR voorziet richtlijnen rond de afspraken die er tussen verwerkingsverantwoordelijken en verwerkers moeten worden gemaakt (artikel 28). Er wordt eveneens een document met aandachtspunten rond dergelijke overeenkomsten en voorbeelden van overeenkomsten ter beschikking gesteld op de website van Domus Medica.
Voor meer informatie omtrent de GDPR-regelgeving kan u ook steeds de door Domus Medica aangeboden opleiding volgen via onze website.
Yente Reinenbergh
Jurist Domus Medica
