9 doeleinden ter uitzondering van verwerkingsverbod
- Uitdrukkelijke toestemming
- Vitale belangen
- Verwerkingen door instanties actief op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied
- Gegevens die kennelijk openbaar zijn gemaakt
- Instelling, uitoefening of onderbouwing van een rechtsvordering
- Volkenrechtelijke verplichting
- Verwerking door ombudsman
- Verwerking in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard
- Wetenschappelijk onderzoek, historisch onderzoek, statistische doeleinden
gezondheidsgegevens
- persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn
gezondheidstoestand wordt gegeven.
Genetische gegevens
persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van
die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon
Relevante doeleinden o.b.v. 9
uitzonderingen
• De noodzaak voor medische diagnosen of het verstrekken van gezondheidszorg.
• De noodzaak voor preventieve of arbeidsgeneeskundige of voor de beoordeling van de arbeidsgeschiktheid van een werknemer.
• Het beheer van gezondheidszorgstelsels en –diensten.
• Het nakomen van verplichtingen op het gebied van
arbeidsrecht of sociale zekerheidsrecht.
• De bescherming van vitale belangen van de betrokkene.
• De bescherming van de volksgezondheid.
Rechten van de patiënt vanuit
GDPR wetgeving
- Recht op informatie over de verwerking;
- Recht op inzage;
- Recht op verbetering;
- Recht op gegevenswissing (right to be forgotten);
- Recht op beperking van de verwerking;
- Recht op gegevensoverdracht;
recht op informatie over gegevensverwerking: welke informatie mag je ontvangen als betrokkene?
- De verwerkingsverantwoordelijke
- Het doel van de verwerking
- De ontvangers van de persoonsgegevens
- De opslagtermijn
- De contactgegevens van de functionaris voor
gegevensbescherming (DPO)
recht op inzage is
=het recht om zelf en rechtstreeks de gegevens in te zien die over hem zijn opgeslagen, alsook recht op kopie en recht tot inzage van belangrijke samenhangende informatie:
- aan wie de gegevens zijn verstrekt
- de bron van de gegevens
- het mogelijke bestaan van geautomatiseerde
besluitvorming o.b.v. de opgeslagen gegevens
recht op verbetering is
• Verbetering eisen voor de gegevens betreffende de
betrokkene.
• Niet van toepassing op gegevens waarvoor de
medewerkers van de verwerkingsverantwoordelijke een
beoordelingsbevoegdheid hebben.
recht op gegevens wissing is
= integrale wissing van gegevens
!indien de gegevens onrechtmatig werden verkregen of enkel op basis van toestemming en de betrokkene de toestemming nadien intrekt.
recht op gegevensoverdracht
• De betrokkene kan vragen dat de gegevens die hij zelf
verstrekte, worden (terug)bezorgd in een ‘gestructureerde, gangbare en machineleesbare’ vorm, waarna hij het recht heeft deze aan een andere verwerkingsverantwoordelijke over te dragen.
!!! Geldt enkel voor gegevens die met toestemming gegeven zijn en dus niet met gegevens nodig voor een
diagnose/behandeling!
plichten voor de verwerker
• Aanwijzing van de verwerkingsverantwoordelijke
- controller
• Afsluiten van overeenkomsten met de verwerkers
- processors
• Opstellen van een register van verwerkingsactiviteiten
• Aanstellen van een functionaris voor de gegevensbescherming
- Data protection officer (DPO°
• Uitvoeren van een gegevensbeschermingseffectenbeoordeling (data protection impact assessment) (DPIA)
wie is de verwerkingsverantwoordelijke
• Vaak de rechtspersoon van de organisatie
DPO staat voor
data protection officer
DPO verplicht als
• De kerntaak van de verwerkingsverantwoordelijke of de
verwerker een grootschalige verwerking van
gezondheidsgegevens en/of gevoelige gegevens
veronderstelt.
• De kerntaak van de verwerkingsverantwoordelijke of
verwerker bestaat uit gegevensverwerkingen die een
grootschalige, regelmatige en stelselmatige observatie van personen vereist.
een observatie kan op twee manieren
- Een observatie is regelmatig indien ze constant of herhaaldelijk in een bepaalde periode plaatsvindt.
- Een observatie is systematisch indien ze volgens een bepaalde methode of strategie gebeurt.
DPO is verplicht in
• De publieke sector voor elke overheidsinstantie en elk
overheidsorgaan
wettelijke opdrachten van het DPO
• Ten aanzien van de verwerkingsverantwoordelijke/verwerkers/medewerkers
- Informeren en adviseren over hun verplichtingen, de GDPR en de overige privacyregels.
- Toezien op de naleving van GDPR en privacyregels.
- Toezien op de naleving van het eigen privacybeleid van de voorziening.
• Ten aanzien van de toezichthoudende autoriteit
- Optreden als contactpersoon
- Samenwerking
- Overleg plegen over privacyaangelegenheden indien nodig.
• Ten aanzien van de betrokkenen
- Optreden als contactpersoon
het register van de verwerkingsactiviteiten
- documenteren van alle verwerkingsactiviteiten van
persoonsgegevens. - Helpen bij het naleven en helpen bij het aantonen van naleven van GDPR.
Opdracht van de verwerkingsverantwoordelijke en verwerker
- register van alle verwerkingsactiviteiten onder
verantwoordelijkheid van de verwerkingsverantwoordelijke - register van alle categorieën van verwerkingsactiviteiten die verricht worden.
wettelijk verplichte informatie voor in register (als verwerkersverantwoordelijke)
• Naam en contactgegevens van de verwerkingsverantwoordelijke;
• Naam en contactgegevens van de gezamenlijke
verwerkingsverantwoordelijke;
• Naam en contactgegevens van de DPO;
• Verwerkingsdoeleinden;
• Beschrijving van de categorieën van persoonsgegevens;
• De bewaartermijn per verwerkingsdoel;
• Beschrijving van de categorieën van ontvangers;
• Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen.
wettelijke verplichte informatie: als verwerker
- Naam en contactgegevens van de verwerker;
- Naam en contactgegevens DPO van de verwerker;
- Naam en contactgegevens van iedere verwerkingsverantwoordelijke voor wie de verwerker handelt;
- Naam en contactgegevens DPO per verwerkingsverantwoordelijke waarvoor de verwerker handelt;
- Categorieën van verwerkingen per verwerkeringsverantwoordelijke;
- Bij doorgifte aan derde …
- Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen.
