Label: AVG

Taken van de FG volgens de AVG

Taken van de FG volgens de AVG

Taken van de FG volgens de AVG

Volgens de Algemene Verordening voor de Gegegevensbescherming moet de Functionaris Gegevensbescherming (“FG”) met de volgende taken worden belast:

Dit geldt voor zowel Nederland als Spanje. Alhoewel er in Spanje nog meer taken aan de FG worden toebedeeld.:

  1. Het informeren en adviseren de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken over hun verplichtingen uit hoofde van de AVG en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen;
  2. Het toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
  3. Het desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 35;
  4. Met de toezichthoudende autoriteit samenwerken;
  5. Optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid.

De FG houdt bij de uitvoering van zijn taken rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.

Contact

Wilt u meer weten over de taken van de FG volgens de AVG, neem dan contact met ons op of bel direct 0034 610 739 364

Persoonsgegevensbescherming zorgsector Spanje

Persoonsgegevensbescherming zorgsector Spanje

Tips voor zorgsector

De Spaanse toezichthouder, de AEPD heeft een aantal tips gegeven aan medisch en administratief personeel. Die tips gaan over persoonsgegevensbescherming in de zorgsector in Spanje. Zoals waarschijnlijk bekend zijn medische gegevens een bijzondere categorie van persoonsgegevens. Dat betekent dat de verwerking van deze gegevens in principe verboden is en alleen onder bepaalde condities is toegestaan. Een van die condities is medische hulpverlening.

Bescherming

Dat betekent natuurlijk wel dat die gegevens goed beschermt moeten worden. Omdat verlies of ongeoorloofde toegang tot die gegevens grote gevolgen voor het slachtoffer in kwestie kan hebben. En ook al spreekt dat voor zich, veelal zijn medische instellingen niet voorbereid op hun verantwoordelijkheden met betrekking tot die beveiliging. Dat komt omdat er geen duidelijke regels bestaan omtrent het werken met dat soort gegevens; omdat personeel niet ingelicht of getraind is; omdat (extra) beveiliging te duur is; of omdat er simpelweg geen tijd om regels, training of beschermingsmaatregelen te treffen.

Zowel de Nederlandse Autoriteit Persoonsgegevens als de Spaanse AEPD hebben daarvoor een aantal tips opgesteld: Tips Spaanse toezichthouder:  Continue reading “Persoonsgegevensbescherming zorgsector Spanje”

Tips voor zorginstellingen om datalekken te voorkomen

Tips voor zorginstellingen om datalekken te voorkomen

Interessante tips voor zorginstellingen om datalekken te voorkomen van de Autoriteit Persoonsgegevens “AP”). Eerst publiceert ze een artikel waarin duidelijk wordt dat zorginstellingen in Nederland wederom koplopers zijn in het melden van datalekken. Dat de zorgsector gevoelige gegevens verwerkt die al snel tot een meldplicht leiden is bekend. Een vraag die zich men hier kan stellen is: is de zorgsector het braafste jongetje van de klas of worden er daadwerkelijk de meeste fouten gemaakt? 

Overzicht datalekken

De AP ontving in de eerste helft van 2019 11.906 meldingen van datalekken. Het gaat om ongeveer 2.000 meldingen per maand. Als deze trend zich voortzet dan verwacht de AP voor heel 2019 een stijging van 14 procent ten opzichte van 2018. De meeste datalekken worden opnieuw gemeld door de zorgsector. De AP geeft zorginstellingen daarom tips om een aantal veel voorkomende typen datalekken te voorkomen.

Zorgsector

Sinds de inwerkingtreding van de meldplicht datalekken ontvangt de AP, naast datalekmeldingen uit de financiële sector en de sector openbaar bestuur, de meeste meldingen uit de zorgsector. Dit is voor de AP aanleiding deze sector extra uit te lichten in de datalekkenrapportage.

Het grootste aantal datalekmeldingen binnen de zorgsector is afkomstig van ziekenhuizen (23%) en apotheken (22%). Continue reading “Tips voor zorginstellingen om datalekken te voorkomen”

De Kerk en het inzagerecht onder de AVG

De Kerk en het inzagerecht onder de AVG

Interessante uitspraak van het gerechtshof Den Haag over de Kerk en het inzagerecht onder de AVG (en Wbp).

Inzagerecht

Onder artikel 15 van de Algemene Verordening Gegevensbescherming (AVG) of GDPR (in het Engels) of RGPD en LOPDGDD (in het Spaans) hebben (natuurlijke) personen het recht om uitsluitsel te verkrijgen over het al dan niet verwerken van haar betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van de persoonsgegevens en van de (onder meer en voor zover hier van belang) volgende informatie:

  • de verwerkingsdoeleinden;
  • de betrokken categorieën persoonsgegevens;
  • de ontvangers of de categorieën ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  • indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
  • wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens.

Ingevolge art. 15 lid 3 AVG dient de Kerk de betrokkene een kopie te verstrekken van de persoonsgegevens die worden verwerkt. Art. 12 lid 1 AVG bepaalt dat de betrokkene bedoelde informatie in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt.

De Kerk en het inzagerecht onder de AVG

Het geschil is nu toegespitst op de persoonsgegevens die zijn opgenomen Continue reading “De Kerk en het inzagerecht onder de AVG”

Persoonsgegevensverwerking in de zorgsector in Spanje

Persoonsgegevensverwerking in de zorgsector in Spanje

Toepasselijke wetgeving op de persoonsgegevensverwerking in de zorgsector in Spanje

Meer dan een jaar geleden trad de Europese Algemene Verordening Gegevensbescherming (de “AVG”) in werking. In Spanje heet deze verordening Reglamento General de Protección de Datos (“RGPD”). Deze verordening, alhoewel rechtstreeks van toepassing in elke EU lidstaat, wordt in Spanje uitgewerkt in nog een andere wet, de Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD).

Op zorginstellingen en natuurlijke personen die in Spanje persoonsgegevens verwerken zijn dus zowel de AVG/RGPD als de LOPD-GDD van toepassing. Beide hebben specifieke bepalingen met betrekking tot het verwerken van gezondheidsgegevens.

Nu zorgt de Europese Verordening natuurlijk voor een uniforme regelgeving in alle lidstaten, dus als u op de hoogte bent van de Verordening omdat u die in het Nederlands gelezen hebt is dat in principe goed, want die geldt ook hier in Spanje. Maar waar het veelal aan schort is de kennis en implicaties van de nationale LOPD-GGD, en de taalbarrière tussen patiënten, zorgverleners, de wet, adviseurs en autoriteiten.

Onze service

bestaat uit de persoonsgegevensbescherming van uw verwerkingsactiviteiten volledig op ons te nemen. Zodat u zich kan richten op de zorgverlening. Onze specialiteit is deze materie toe te passen, helder op te schrijven en uit te leggen aan patiënten, dokters en andere zorgprofessionals, in hun eigen taal. Dat doen we in het Nederlands, Engels, Duits en Spaans. Ons team bestaat uit Nederlandse en Spaanse advocaten die tezamen meer dan 30 jaar ervaring in de internationale persoonsgegevensbescherming hebben. Wij vertalen niet simpelweg en oppervlakkig maar begrijpen daadwerkelijk het jargon in deze 4 talen.

Bijvoorbeeld, wij helpen met:

  • Het opmaken van het privacybeleid in overeenstemming met uw daadwerkelijke verwerkingsactiviteiten en de wet. U kan dat beleid op uw website publiceren of anderszins aan de patiënt/ betrokkene overhandigen (ook schrijven wij cookie policies en andere waarschuwingen/ juridische informatie op uw website);
  • Het inventariëren van uw verwerkingsproces en het opmaken van de vereiste documenten die deze processen vastleggen. Deze verwerkingsactiviteiten gaat niet alleen over patiënten en hun familie, maar ook over personeel, bezoekers en vertegenwoordigers. Ook is dit niet alleen digitaal (websites, servers, email, whatsapp, etc), maar ook papier, telefoon, videobeveiliging, etc.;
  • Adviseren over de serviceinrichting om de privacy zo optimaal mogelijk te maken (“Privacy by Design”);
  • Het informeren en trainen van (zorg)personeel over de regelgeving, over het interne beleid, over hoe om te gaan (herkennen en reageren) met de rechten van patiënten en betrokkenen aangaande privacy;
  • Het opstellen van geldige toestemmingsdocumenten;
  • Scripts voor telefoon en email aangaande informatie over gegevensverwerking;
  • Het functioneren als Functionaris voor de Persoonsgegevens (de “FG”). Het is in Spanje verplicht om een FG te benoemen voor ziekenhuizen en andere samenwerkingverbanden die patiëntendossiers bewaren. De FG is alleen niet verplicht voor individuele dokters/ zorgprofessionals die zelfstandig opereren;
  • Als FG helpen we ook met het voorkomen van datalekken, het opstellen van procedures om lekken te voorkomen, (intern) te melden en de consequenties te beperken. We bemiddelen in geval van een lek tussen verwerker en eventueel consument en autoriteiten;
  • We maken gegevensbeschermingseffectbeoordelingen (“DPIA”´s) en bepaling of een verwerking “waarschijnlijk een hoog risico inhoudt”;
  • We adviseren over eventuele internationale transfers, buiten de Europese Unie.
  • We adviseren in situ, maar ook over de telefoon en email. We kunnen op projectbasis aanwezig zijn, maar ook op aangewezen dagen “spreekuur” houden en trainingen geven;

Fees en aanpak

Wij verrichten deze diensten op uurbasis of projectbasis. In een eerste oriënterend gesprek leggen we onze diensten verder uit en maken een schatting van de behoefte bij cliënt. Op basis daarvan maken we een offerte voor de implantatie van het beschermingsplan. Zoals gezegd kunnen we op afstand werken en of inhouse naar gelang de behoefte/ aanbeveling/ noodzaak.

Mocht u vragen hebben of meer informatie willen dan bent u van harte welkom om contact met ons op te nemen. Met vriendelijke groet,

Business Advice Spain, specialisten in het beveiligen van persoonsgegevensverwerking in de zorgsector in Spanje.

Delegados de Protección de Datos & Abogados.

+34 610 739 364 of contact