print

Algemene Verordening Gegevensbescherming (AVG)

Als zorgverlener bent u genoodzaakt om persoonsgegevens te verwerken. U moet bijgevolg de Algemene Verordening Gegevensbescherming (AVG) naleven, die sinds 25 mei 2018 geldt. Hieronder vermelden we de grote lijnen van de AVG. De AVG wordt beschouwd als de enige officiële bron.

Op deze pagina:


De AVG: waarover gaat het precies?

Met de AVG, beter bekend onder de Engelse afkorting "GDPR" die staat voor "General Data Protection Regulation" worden nieuwe regels ingevoerd voor het beheren en beschermen van persoonsgegevens voor de gegevensverwerking die plaatsvindt in het kader van de activiteiten van een instelling (van de verwerkingsverantwoordelijke of van een verwerker) op het grondgebied van de 'Europese Unie' (EU). Ongeacht of de verwerking al dan niet in de EU plaatsvindt.
 
In die verordening is de wijze van verwerking van die persoonsgegevens vastgelegd, dat wil zeggen van alle gegevens die toelaten een natuurlijke persoon te identificeren.

De AVG:

  • versterkt de basisprincipes waarrond de gegevensbescherming is opgebouwd en die reeds bestonden in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens
  • versterkt de verplichtingen die al in diezelfde wet bestonden en die u reeds moest naleven, in het bijzonder wat de gezondheidsgegevens van uw patiëntenbestand betreft
  • voorziet in sancties.

Wat is het doel van de AVG?

De AVG heeft tot doel:

  • de nationale wetgevingen over de bescherming van de persoonlijke levenssfeer binnen de Europese Unie op elkaar af te stemmen
  • de regels aan de nieuwe digitale werkelijkheid aan te passen
  • de burgers meer rechten te geven op hoe en waarvoor hun persoonsgegevens worden gebruikt.

     

Welke administratieve overheid is verantwoordelijk in België?

De administratieve autoriteit die verantwoordelijk is voor de controle en de correcte toepassing van de AVG in België is de Gegevensbeschermingsautoriteit (GBA). Ingevolge de wet van 3 december 2017 tot oprichting ervan, vervangt de GBA met ingang van 25 mei 2018 de Commissie voor de bescherming van de persoonlijke levenssfeer. Ze kan audits uitvoeren en krijgt sanctie- en repressiebevoegdheden.

Wat zijn persoonsgegevens?

Volgens artikel 4, §1 van de AVG gaat het om "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (...); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon".

Als een code de identificatiegegevens vervangt, blijft de persoon indirect identificeerbaar. De gecodeerde informatie moet op dezelfde manier als de persoonsgegevens worden beschermd.

We spreken pas van anonieme gegevens wanneer informatie redelijkerwijs niet meer kan worden gelinkt aan een individu (rekening houdende met de beschikbare technologie). De AVG is dan niet meer van toepassing.

Wat zijn "gevoelige" gegevens?

In de AVG wordt voorzien in een bijzondere bescherming voor de "gevoelige" persoonsgegevens.

De gezondheids- en genetische gegevens vallen onder de noemer "gevoelige" gegevens, net zoals de persoonsgegevens over ras of etnische afkomst, politieke overtuiging, godsdienst of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, de biometrische gegevens aan de hand waarvan een natuurlijke persoon op unieke wijze kan worden geïdentificeerd, alsook de gegevens over het seksuele leven of de seksuele geaardheid.

Wat is gegevensverwerking?

Het gaat om elke bewerking of een geheel van bewerkingen, al dan niet uitgevoerd via geautomatiseerde processen en toegepast op persoonsgegevens (bv. het verzamelen, vastleggen, opslaan, verspreiden of wissen van gegevens).

Welke basisbeginselen moet u naleven wanneer u persoonsgegevens verwerkt?

  • Rechtmatigheid, behoorlijkheid en transparantie  
    U moet de persoonsgegevens verwerken op een wijze die rechtmatig, behoorlijk en transparant is ten aanzien van de betrokkene.
  • Doelbinding
    De persoonsgegevens worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen uitsluitend worden verwerkt op een wijze die verenigbaar is met die doeleinden.
  • Minimale gegevensverwerking
    De persoonsgegevens moeten toereikend en ter zake dienend  zijn en beperkt  blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
  • Juistheid
    De persoonsgegevens moeten juist en geactualiseerd zijn. Onjuiste gegevens moeten onverwijld worden gewist of rechtgezet.
  • Opslagbeperking
    De persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is.
  • Integriteit en vertrouwelijkheid
    De noodzakelijke (technische en organisatorische) maatregelen worden genomen om een beveiligde verwerking van de persoonsgegevens te garanderen.

Wat zijn de rechten van de betrokkenen?

De AVG kent rechten toe aan de betrokkenen; die rechten moet u in acht nemen, behoudens in de bij wet vastgestelde uitzonderingen  (opslag van het patiëntendossier, fiscale regelgeving, enz.):

Recht op informatie 

Als u persoonsgegevens verzamelt, moet u de betrokkene de nodige informatie geven.
Die informatie moet u geven:

  • op een duidelijke manier :
    • in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm
    • in een eenvoudige taal
    • zeker wanneer de informatie bedoeld is voor een kind
    • schriftelijk en indien passend met elektronische middelen
    • mondeling als de betrokkene daarom verzoekt
  • kosteloos
    • als de verzoeken ongegrond of buitensporig zijn, kan een redelijke vergoeding worden aangerekend of mag de verantwoordelijke het verzoek weigeren
    • zonder afbreuk te doen aan de rechten van anderen:  beroepsgeheim, intellectuele eigendomsrechten, copyright.

Welke informatie moet aan de betrokkene worden verstrekt?

Wanneer gegevens bij de betrokkene worden verzameld

Wanneer gegevens niet bij de betrokkene worden verzameld

De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de functionaris voor gegevensbescherming

De verwerkingsdoeleinden waarvoor de gegevens bestemd zijn en de rechtsgrond voor de verwerking

Als de verwerking gebaseerd is op artikel 6 (1)(f), de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde

De betrokken categorieën van persoonsgegevens

Indien van toepassing, de ontvangers of categorieën van ontvangers van de persoonsgegevens

Indien van toepassing, dat de verwerkingsverantwoordelijke het voornemen heeft de gegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Europese Commissie bestaat; wat de passende of geschikte waarborgen zijn; hoe een kopie ervan kan worden verkregen of waar ze kunnen worden geraadpleegd

De periode waarin de gegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn

 

Wanneer de verwerking gebaseerd is op artikel 6(1) (f), de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde

Het bestaan van het recht op inzage en rechtzetting  of wissen van de gegevens, beperking van de verwerking, het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid


Het recht om de toestemming te allen tijde in te trekken, voor verwerkingen op basis van artikel 6.1(a) of 9.2(a)

Het recht om een klacht in te dienen bij een toezichthoudende autoriteit.

Of de verstrekking van gegevens een wettelijke of contractuele verplichting is, dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten en of betrokkene verplicht is om de gegevens te verstrekken + mogelijke gevolgen als zij niet worden verstrekt

De bron waar de gegevens vandaan komen en, indien van toepassing, of zij afkomstig zijn van openbare bronnen.

Het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, (1 en 4) bedoelde profilering en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsook het belang en de verwachte gevolgen van die verwerking voor de betrokkene

 

Recht van inzage

Iedere betrokkene geniet het recht op inzage en afschrift van de verwerkte persoonsgegevens (meer bepaald het patiëntendossier). De bepalingen van de wet van 22 augustus 2002 over de rechten van de patiënt blijven van toepassing.

Recht op rectificatie

Eenieder heeft het recht om te vragen dat onjuiste of onvolledige verwerkte gegevens worden rechtgezet of vervolledigd (bv. adres van de patiënt).

Recht op wissen van gegevens (recht op vergetelheid)

De gegevens van de persoon die dat vraagt, moeten zo snel mogelijk worden gewist. Als die gegevens aan derden zijn doorgegeven, moet u die derden daarvan op de hoogte stellen, zodat zij ze ook kunnen wissen. Dat recht is echter niet volledig van toepassing op de medische gegevens, waarvoor de bewaringstermijn blijft gelden. Er is eveneens een beperking van toepassing op verwerking die wordt uitgevoerd om redenen van algemeen belang op het gebied van volksgezondheid.

Recht op beperking van de verwerking

Eenieder mag u, in specifieke gevallen, vragen om zijn gegevens niet te verwerken, waardoor u enkel het recht hebt om die gegevens op te slaan. Om redenen van algemeen belang kan het echter noodzakelijk zijn om met de gegevens meer te doen dan ze enkel op te slaan.

Kennisgevingsplicht

U moet de betrokkene in kennis te stellen van elke rechtzetting of het wissen van zijn gegevens.

Recht op overdraagbaarheid van gegevens

Eenieder mag vragen om zijn gegevens te verkrijgen (in een elektronisch, gangbaar en gestructureerd bestandsformaat) om dan van verwerkingsverantwoordelijke te kunnen veranderen.

Recht van bezwaar

Behoudens in de bij wet vastgestelde uitzonderingen, mag eenieder weigeren dat u zijn gegevens verwerkt.  

Wanneer mag u persoonsgegevens verwerken?

Basisbeginselen

U mag persoonsgegevens verwerken onder een van de volgende voorwaarden:

  • de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden. 
    • de toestemming moet vrijwillig, geïnformeerd, specifiek en duidelijk  zijn
    • de verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven
    • de betrokkene heeft het recht om zijn toestemming op ieder moment in te trekken.
  • de verwerking is noodzakelijk om een overeenkomst uit te voeren waarbij de betrokkene partij is, of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen.
  • de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
  • de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen, bv. verwerking van persoonsgegevens bij een spoedopname.
  • de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
  • de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde. 

Iedere verwerker moet voor alle verwerkingen nagaan volgens welke van die voorwaarden ze toegestaan zijn.

Wat met de verwerking van de gezondheidsgegevens?

De verwerking van de gezondheidsgegevens (en andere "gevoelige" gegevens) is verboden, tenzij

  • de patiënt vooraf zijn uitdrukkelijke toestemming heeft gegeven
  • de verwerking noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen als de betrokkene lichamelijk of juridisch niet in staat is om zijn toestemming te geven
  • de verwerking noodzakelijk is voor doeleinden van preventieve geneeskunde of arbeidsgeneeskunde
  • de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid.

Wat zijn uw verplichtingen in het kader van de AVG?

Bijhouden van een register van verwerkingsactiviteiten

Als u 'gevoelige' gegevens verwerkt, wat voor u als zorgverlener het geval is, moet u een register per type van verwerkte persoonsgegevens bijhouden en regelmatig bijwerken. Voorbeelden van verwerkingstypes:  gegevens uit patiëntendossiers, gegevens die via de online raadplegingskalender zijn geregistreerd.

U moet dat register bijhouden en op verzoek van de Gegevensbeschermingsautoriteit GBA kunnen voorleggen.

Dat register zal allerlei informatie bevatten, zoals de verwerkingsverantwoordelijke, het doel van de verwerking, het soort gegevens, het medium, de personen met wie u de gegevens hebt gedeeld, informatie over de risico's en de beveiligingsmaatregelen. 

U vindt een voorbeeldregister terug op de website van de GBA.

Aanwijzen van een functionaris voor gegevensbescherming

De AVG voorziet in bepaalde gevallen in de aanwijzing van een functionaris voor gegevensbescherming, beter bekend onder de Engelse afkorting DPO, die staat voor "Data Protection Officer". Die DPO is iemand binnen de organisatie die erop toeziet dat u de persoonsgegevens correct verwerkt.

Enkel voor grootschalige verwerkingsoperaties moet een DPO worden aangewezen.

In §91 van de preambule tot de AVG wordt het volgende bepaald:

  • "Met grootschalige verwerkingen wordt verwezen naar de verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden en die bijvoorbeeld vanwege hun gevoelige aard een hoog risico met zich kunnen brengen.(...)
  • De verwerking van persoonsgegevens mag niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat.  In die gevallen mag een gegevensbeschermingseffectbeoordeling niet verplicht worden gesteld."

Uitvoeren van een gegevensbeschermingseffectbeoordeling (GEB, of DPIA in het Engels 'Data Protection Impact Assessment'

Op grond van de AVG is het onder bepaalde omstandigheden verplicht om een "gegevensbeschermingseffectbeoordeling" (GEB, of DPIA in het Engels: 'Data Protection Impact Assessment') uit te voeren. Dat is een procedure om te beoordelen of een verwerking van persoonsgegevens risico's inhoudt voor de rechten en vrijheden van de persoon wiens gegevens worden verwerkt, en om te beoordelen hoe die risico's kunnen worden beheerst.

Enkel voor grootschalige verwerkingsoperaties moet een DPO worden aangewezen.
(zie uitleg hierboven over §91 van de AVG in verband met de verwerking op grote schaal)

Waarvoor bent u verantwoordelijk als verwerkingsverantwoordelijke?

Overeenstemming met de regels van de AVG

Als verwerkingsverantwoordelijke moet u de regels van de AVG in acht te nemen en dat  kunnen aantonen (via een documentatieplicht, met name door het aanleggen van het register van de verwerkingsactiviteiten).

Verwerking en opslag van gegevens door een verwerker

Als de opslag of verwerking van uw gegevens is uitbesteed (bv.. onlineagenda, gegevens in de Cloud, externe tarificatiedienst), is het meer bepaald uw verantwoordelijkheid om te controleren of uw dienstverlener voldoet aan de eisen van de AVG op het vlak van beveiliging en vertrouwelijkheid van de gegevens en voldoende garanties biedt tegen verlies, vernietiging, wijziging of ongeautoriseerde toegang en verspreiding van die gegevens. Wij vestigen uw aandacht op artikel 28 van de AVG, dat meer informatie bevat met betrekking tot uw verantwoordelijkheid.

Gebruik van de eHealth-diensten

De verschillende eHealth-diensten die te uwer beschikking staan op het eHealth-platform moeten ook voldoen aan de verplichtingen van de AVG.

Gebruik van de software in het kader van uw praktijk

Als u in uw praktijk gebruik maakt van software (bv. beheer patiëntendossier, facturatie), is het meer bepaald uw verantwoordelijkheid om te controleren of uw dienstverlener ook voldoet aan de eisen van de AVG, via uw overeenkomst.

Beveiliging van de elektronische gegevensuitwisseling

U moet gebruik  maken van  een beveiligd kanaal, met een niveau dat aan het risico is aangepast, om de medische gegevens langs elektronische weg over te dragen (bv. eBox burger, eHealthBox, 7-Zip File manager).

Wat zijn de sancties voor het niet naleven van de AVG?

Als de AVG niet wordt nageleefd, kan de Gegevensbeschermingsautoriteit van de verwerkingsverantwoordelijke of van diens verwerker eisen dat die correctiemaatregelen neemt (bv. in orde brengen binnen een bepaalde termijn, verwerkingsbeperking, rectificatie of wissing van gegevens). Niet-naleving van de AVG kan ook gepaard gaan met geldboetes die de lokale toezichthouders vaststellen.

Contacten

Algemene Verordening Gegevensbescherming (AVG)

​Voor alle informatie met betrekking tot uw beroep, gelieve contact op te nemen met uw beroepsvereniging, wetenschappelijke vereniging of medische orde.

Voor al uw specifiekere vragen over de AVG, gelieve deGegevensbeschermingsautoriteit (GBA) te contacteren.