Veelgestelde vragen over de AVG
De regels rond de Algemene Verordening Gegevensbescherming (AVG) zijn duidelijk, de praktische uitvoering blijkt lastiger. Mag je bijvoorbeeld gezondheidsgegevens noteren? Hoe lang mag je persoonsgegevens bewaren? Veelgestelde vragen over de AVG in de praktijk beantwoord.
Gezondheidsvragen
De patiënten- of cliëntenorganisatie is een geweldige vraagbaak. Patiënten, cliënten en naasten weten ze met hun vragen over zorg en behandeling wel te vinden. De contactpersoon die zo’n vraag ontvangt, kan die niet altijd zelf beantwoorden. Mag je de vraag en gegevens dan noteren en doorsturen naar de juiste ervaringsdeskundige?
Ja, dat mag, als dat zorgvuldig gebeurt. Bijvoorbeeld op de volgende manier, zoals een collega-organisatie in een protocol heeft vastgelegd:
- Vraag de beller, e-mailer of het goed is om de persoonsgegevens en gezondheidsgegevens te noteren, zodat een deskundige later contact kan opnemen.
- Krijg je geen toestemming, dan kun je helaas niet helpen en vernietig je alle persoonsgegevens.
- Krijg je wel toestemming om de vraag te noteren, koppel de gezondheidsgegevens dan na beantwoording los van de algemene persoonsgegevens. Dan kun je wel bijhouden waarover zoal vragen worden gesteld, maar zijn de gegevens niet herleidbaar tot een persoon.
Vastleggen persoonsgegevens
Deel bij voorkeur geen bestanden met persoonsgegevens via e-mail, maar organiseer dat vrijwilligers en werknemers de gegevens die voor hen bedoeld zijn, kunnen opvragen door in te loggen in een beveiligde omgeving.
Als mailen van persoonsgegevens echt de enige optie is, dan moet dit met aanvullende (technische) beveiliging.
De AVG gaat ervan uit dat je alleen de hoogstnoodzakelijke persoonsgegevens vastlegt voor het doel dat je ermee hebt. Bij een doelgroepenbenadering is geboortejaar meestal voldoende. Vraag dan alleen daarnaar. De AVG stelt namelijk dat je persoonsgegevens alleen mag verwerken als je het doel niet redelijkerwijs op een andere manier kunt bereiken. In dit geval kan dat makkelijk door alleen het geboortejaar vast te leggen en niet de volledige geboortedatum.
De Autoriteit Persoonsgegevens beschrijft zelf duidelijk hoe om te gaan met verzoeken over verwijdering van persoonsgegevens, ook wel het recht op vergetelheid genoemd. Lees meer over het recht op vergetelheid (website Autoriteit Persoonsgegevens)
Een CRM-systeem is per definitie een middel om persoonsgegevens mee te verwerken. Heb je alles goed geregeld, zoals in ons 10-stappenplan staat, dan mogen vrijwilligers en medewerkers persoonsgegevens in het CRM-systeem verwerken. Uiteraard alleen voor de doelen waarvoor de geregistreerden hun toestemming hebben gegeven.
Nee, dat mag niet. De vrienden van je donateurs hebben geen toestemming gegeven om ze te benaderen.
Toestemming kun je krijgen door erom te vragen. Dat kan met een leeg aanvinkhokje (dus niet vooraf ingevuld) op een formulier:
[ ] ik geef toestemming om de hierboven ingevulde gegevens te verwerken voor {het doel}. Zodat mensen expliciet hun toestemming kunnen geven, maar dat niet verplicht zijn te doen.
De actuele privacyverklaring behoort altijd op de organisatie-website te staan. Het is niet nodig om iedere aanpassing te melden aan betrokkenen. Bij grote wijzigingen is dat wel netjes om te doen.
Verwerkersovereenkomst
Sommige leveranciers sporen organisaties aan om hun model verwerkersovereenkomst maar te accepteren. Soms staan er bijvoorbeeld voorwaarden over aansprakelijkheid in die je liever niet accepteert. Wat dan? In het uiterste geval zoek je een andere leverancier. Vaak valt er dan wel over te praten. Bijvoorbeeld om de model verwerkersovereenkomst te gebruiken uit ons 10-stappenplan. Zie ook ons artikel 9 veelgestelde vragen over de verwerkersovereenkomst.
Vooral als een organisatie veel verwerkersovereenkomsten heeft, is het beheer een fikse klus. Je moet immers bijhouden wanneer een overeenkomst vervalt of verandert. Het register gegevensverwerking helpt je daarbij. Dat register is je werkdocument om alle acties voor de AVG in bij te houden. Een modelregister gegevensverwerking vind je in het 10-stappenplan.
Onder de tab Informatie gegevensverwerking kun je vanaf rij 58 vastleggen wie er allemaal voor je organisatie gegevens verwerken, medewerkers uitgezonderd. Zet je er de datum van verwerkersovereenkomst erbij, dan heb je een mooi overzicht.
Check dit register periodiek op actualiteit. Veranderen jullie bijvoorbeeld van drukker, dan kun je die wijziging hier vastleggen en zie je wie je moet vragen om de persoonsgegevens te verwijderen.
Bescherming persoonsgegevens
Het controleren is lastig. Je kunt in ieder geval vertrekkende vrijwilligers per e-mail op het hart drukken om persoonsgegevens die zij nog in bezit hebben te vernietigen. Neem dit op in jullie protocol. Daarmee kun je aantonen dat je organisatie al het mogelijke doet om zorgvuldig met persoonsgegevens om te gaan.
De AVG stelt dat je persoonsgegevens zo kort mogelijk bewaart, zonder termijn te noemen. Gebruikelijk is 1 of maximaal 2 jaar. Is de termijn verstreken, dan vernietig je de persoonsgegevens en mag je de voormalige leden/donateurs niet meer benaderen. Dat kan ook niet, want je hebt de gegevens niet meer!
Die kans is klein, want inmiddels stelt de AVG dat een Functionaris Gegevensbescherming in de zorg pas nodig is bij gegevensverwerking vanaf 10.000 personen.
Bekijk ook
AVG in de praktijk
Checklist in 10 stappen die je organisatie helpt om aan de privacywetgeving te voldoen
9 veelgestelde vragen over de verwerkingsovereenkomst
Vragen en antwoorden over de verwerking van persoonsgegevens door derden