200 likes | 316 Views
Privacy en ledenadministratie. Theo Hooghiemstra. Agenda. Hoofdlijnen van de Wbp, toegespitst op ledenadministratie patiëntenorganisatie Veel voorkomende vragen / misverstanden Casus FBPN Verdere vragen?. Achtergronden Wbp. Volkstelling ’70 Verdrag en Grondwet (artikel 10)
E N D
Privacy en ledenadministratie Theo Hooghiemstra
Agenda • Hoofdlijnen van de Wbp, toegespitst op ledenadministratie patiëntenorganisatie • Veel voorkomende vragen / misverstanden • Casus FBPN • Verdere vragen?
Achtergronden Wbp • Volkstelling ’70 • Verdrag en Grondwet (artikel 10) • Informatiemaatschappij (netwerk) • Europese richtlijn 95/46/EG (interne markt) • Kaderwet persoonsgegevens • Ja, er mag veel mits • Bij bijzondere gegevens geldt: nee tenzij
Specifieke begrippen Wbp • (Bijzondere) persoonsgegevens • Verwerking • Verantwoordelijke en betrokkene • Bewerker • Bestanden
Persoonsgegeven • Zie artikel 1, sub a Wbp • Identificeerbaarheid • Natuurlijke persoon • Wbp houdt op na overlijden (daarna andere wetten).
Verwerken van persoonsgegevens • Zie artikel 1, sub b Wbp • Alles van verzamelen t/m vernietigen • Wbp niet van toepassing als feitelijk geen macht wordt uitgeoefend. Voorbeeld: Telecom / ZSP Voor gemiddelde ledenadministratie (nog) niet realistisch.
Verantwoordelijke en betrokkene • Artikel 1 sub d en f Wbp • Verantwoordelijke: formele zeggenschap, bevoegd doel en middelen verwerking vast te stellen. Plichten Wbp. Bestuurder ledenadministratie is doorgaans (mede)verantwoordelijke! Bij uitbesteding aan bewerker, blijft de verantwoordelijkheid! • Betrokkene: degene waarover de gegevens info. bevatten: lid/donateur. • Lid/donateur kan ook zelf verantwoordelijke zijn, als deze echt zelf de regie heeft voor persoonlijk gebruik. In praktijk vaak portaal waar toch weer een organisatie verantwoordelijke voor is • Positie ouder/vertegenwoordiger lid/donateur/patiënt?
Bewerker • Art. 1 sub e Wbp • Verwerkt gegevens voor de verantwoordelijke (uitbesteding) onder diens instructies (bewerkerscontract is verplicht, art. 14 Wbp!) • Zorg voor goede instructies. Doen/kunnen jullie dat? • Risico bij uitbesteding aan bewerker: wat als er sprake is van een datalek of een partij failliet gaat?
Bestand • Gestructureerd geheel van persoonsgegevens. • Ledenadministratie is een bestand
Beginselen en issues dataprotectie • Transparantie • Doelbinding • Bijzondere (gevoelige) gegevens • Rechten leden/donateurs/contactpersonen • Beveiliging en privacytechnologie
Transparantie • Goed op de hoogte brengen/houden: • Informatieplicht, art. 33/34 Wbp • Inzagerecht: art. 35 Wbp • Meldingsplicht: art. 27 e.v. Wbp • “Gewone”ledenadministratie is vrijgesteld van melding (Wbp geldt verder wel!). (Ambities) meeste ledenadministraties echter niet “gewoon”. • Gewoon? Zie artikel 3 Vrijstellingsbesluit: voor communicatie benodigde gegevens; betreffende lidmaatschap/begunstiging, om contributie te innen. Veel administraties patiëntenorganisaties niet gewoon?! Advies: melden!
Doelbinding • Artikel 7 t/m 11 Wbp - Doel? Niet vaag of blanco cheque. - verwerkingsgronden, - verenigbaar gebruik, - bewaartermijn - kwaliteit
Bijzondere (gevoelige) gegevens • Bijzondere (gevoelige) gegevens, zie artikel 16 Wbp (gezondheid, ras, geloof) • Gezondheidsgegevens: alle gegevens betreffende lichamelijke of geestelijke gezondheid. (N.a.v. vraag: co-morbiditeit, medicijngebruik, behandeld arts etc.) • Verboden, tenzij. Bij ledenadministratie: uitdrukkelijke toestemming (expliciete wilsuiting) • NB: ras (art. 18) en godsdienstgegevens (art. 17). • NB: erfelijkheidsgegevens, artikel 21. lid 4 Wbp: zelfs toestemming niet voldoende.
Rechten leden / donateurs • Inzage, art. 35 Wbp • Correctie, aanvullen, verwijderen, afschermen artikel 36 Wbp. Relatieve rechten. • Recht op verzet: art. 40 (relatief) en 41 (absoluut, commercieel of charitatief) Wbp. Patiëntenorganisaties charitatief? N.a.v. vraag: zie bel-me-niet/mail-me-niet register.
Beveiliging en privacytechnologie • Artikel 13 Wbp, vooral ook laatste zin. Dataminimalisatie / PET. PET niet realistisch patiëntenorganisatie(s)? • Beveiliging van begin af aan meenemen. • Beveiligingsadvies CBP, zie risicoklassen. Zodra gezondheidsgegevens: (veel) klasse 3, weinig (klasse 2).
Onveilig internet Geen gegarandeerde aflevering (Tip: ontvangstbevestiging)) Geen vertrouwelijkheid: aftappen (Tip: versleutelen) Gebrekkige integriteit (wijziging mogelijk) (Tip: elektronische handtekening) Niet onweerlegbaar (Tip: authenticatie) Virussen, lekken etc. (Tip: www.waarschuwingsdienst etc.) Te doen voor patiëntenorganisatie ???
Autorisatie • (Hoe) stel je vast dat alleen bevoegden bij de gegevens in de administratie kunnen?
Casus Facilitair Bureau Patiëntenorganisaties NL (FBPN) • Verantwoordelijke of bewerker? Wie bepaalt wat met persoonsgegevens gebeurt, bij wie inzage? Puur faciliterend, bewerker! bewerkerscontract? • Bestuurders patiëntenorganisaties verantwoordelijke. Ook voor software, zoals Sodales. • Bijzondere persoonsgegevens? Nog niet, vraag mag het? Nee, tenzij uitdrukkelijke toestemming leden (art.21) en hoog niveau van beveiliging (art.13). Toestemming via verantwoordelijke patiëntenorganisatie.Beveiligingseisen voor beide. • Aansprakelijk? Mag niet alleen bij bewerker worden gelegd! (artikel 14 Wbp).
Veel voorkomende vragen • 1. Wie is eigenaar van de persoonsgegevens in de ledenadministratie? Antw: Eigendom is hier een onbruikbaar begrip. Balans tussen plichten verantwoordelijke en rechten leden en donateurs (zoals inzage) • 2. Waarop letten bij uitbesteding? Je blijft als verantwoordelijke bestuurder, volledig verantwoordelijke. • 3. Wetenschappelijk, beleids- of farmaceutisch onderzoek: geanonimiseerd, eventueel gepseudonimiseerd. Alleen door verantwoordelijke de beslissing laten nemen!
Samenvatting / Tips • Dataminimalisatie • Transparantie • Er komt veel bij kijken om verantwoordelijke te zijn, zeker bij gezondheidsgegevens en internet • Samenwerking bij ledenadministraties is noodzakelijk om ervaring en expertise te delen. • Zorg voor een bewerkingscontract • Aanmelden bij CBP