Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
DE UITVOERING VAN DE GDPR IN DE GEZONDHEIDSZORG EEN THEORETISCHE EN PRAKTISCHE UITEENZETTING VOOR
DE ALGEMENE ZIEKENHUIZEN
Emilie De Neve Studentennummer: 01306612 Promotor: Prof. dr. Tom Balthazar Commissaris: dr. Sylvie Tack Masterproef voorgelegd voor het behalen van de graad master in de rechten Academiejaar: 2018 - 2019
PRIVACY
Ik, Emilie De Neve, verklaar in deze vertrouwelijkheidsclausule dat de inhoud van deze masterproef
mag worden geraadpleegd en/of gereproduceerd voor persoonlijk gebruik. Het gebruik van deze
masterproef valt onder de bepalingen van het auteursrecht en bronvermelding is steeds
noodzakelijk.
DANKWOORD
Een masterproef schrijven is de laatste stap naar het behalen van een diploma, de kers op de taart na
mijn zesjarige opleiding rechten aan de Universiteit Gent. Groot is dan ook de vreugde nu de finish, op
de laatste woorden na, eindelijk in zicht is. Hoewel ik klaar ben om aan een nieuw avontuur in de
advocatuur te beginnen, trek ik binnenkort met grote nostalgie de deur van het studentenleven achter
mij dicht. De afgelopen zes jaar heb ik mij kunnen verdiepen in een opleiding waar ik echt in geloof en
waarmee ik hoop naar de toekomst toe een positieve impact te hebben in de maatschappij. Het
schrijven van deze masterproef liep niet altijd van een leien dakje, maar ik heb het grote geluk omringd
te zijn door een heel dierbare familie, geweldige vrienden en gepassioneerde geleerden en practici. Bij
deze zou ik hen dan ook graag even willen bedanken.
Als eerste wil ik graag prof. dr. Tom Balthazar bedanken. Hij heeft mij laten kennis maken met het
gezondheidsrecht en ziekenhuiswetgeving. Bovendien kreeg ik van hem de kans om mij te verdiepen
in een actueel thema in het gezondheidsrecht en stond hij steeds klaar met leerrijke raad en feedback.
Ten tweede wil ik mijn dankbaarheid uiten aan de GDPR-experten die ik heb mogen interviewen in het
kader van deze masterproef (Frieke Verniest, Sofie Goeminne, André Orban, Evelien Delbeke, Julie
Hantson, Joke Vanlangenaeker) en de advocatenkantoren waar ik in januari een kijkstage heb mogen
lopen (De Gendt Advocaten, Dewallens & Partners). Zij waren een grote hulp in het bijbrengen van
nieuwe inzichten en hebben mijn passie voor het gezondheidsrecht alleen maar versterkt.
Daarnaast is ook een (groot) woord van dank voor mijn vrienden op zijn plaats. Zij zorgden telkens
weer opnieuw voor de nodige nalezing, afleiding, peptalks en luisterende oren. Bedankt om er steeds
voor mij te zijn, I don’t take it for granted.
Bij deze moet natuurlijk ook mijn familie in de bloemetjes gezet worden. Zij vormen een sterke warme
basis om op terug te vallen en zullen altijd mijn trouwe fans op de eerste rij zijn. Ik draag jullie diep in
mijn hart. Een extra dankjewel aan mijn lieve mama, papa en zus voor de afgelopen zes jaar zo intensief
aan mijn zijde te beleven en nooit aan mijn kunnen te twijfelen. Papa, zonder jou was mijn masterproef
niet het sluitstuk geweest waar ik nu heel trots op ben.
Als laatste wil ik mijn vriend Tomas bedanken, mijn rots in de branding.
Gent, 31 juli 2019
Emilie De Neve
I
INHOUDSOPGAVE
PRIVACY ...............................................................................................................................
DANKWOORD ......................................................................................................................
INHOUDSOPGAVE ............................................................................................................... I
LIJST MET AFKORTINGEN ................................................................................................. VII
INLEIDING .......................................................................................................................... 1
DEEL I. Privacywetgeving onderworpen aan digitale en technologische evoluties .............. 3
1. Privacy in het algemeen ................................................................................................. 3
1.1. Het evoluerend concept ‘privacy’ in regelgeving ................................................................... 3
1.1.1. Op het niveau van de Verenigde Naties ............................................................................................... 3 1.1.2. Op het niveau van de Raad van Europa ............................................................................................... 4 1.1.3. Op het niveau van de Europese Unie ................................................................................................... 5
1.2. De historiek van privacy in België .......................................................................................... 6
1.2.1. De Belgische Privacywet van 1992 ....................................................................................................... 7 1.2.2. De nieuwe Belgische Kaderwet Privacy van 30 juli 2018 ..................................................................... 7
1.3. Toezichts- en handhavingsorganen van de privacywetgeving ................................................ 9
1.3.1. Op het niveau van de Europese Unie ................................................................................................... 9 A. De Artikel 29-Werkgroep (‘WP29’) ........................................................................................................ 9 B. Het Europees Comité voor gegevensbescherming ................................................................................ 9 1.3.2. Belgische toezichthoudende autoriteit .............................................................................................. 10 A. De Commissie voor de bescherming van de persoonlijke levenssfeer (‘CBPL’) .................................. 10 B. De Gegevensbeschermingsautoriteit (‘GBA’) ...................................................................................... 11 C. De Vlaamse Toezichtcommissie (‘VTC’) ............................................................................................... 11
2. Privacy binnen de gezondheidszorg .............................................................................. 12
2.1. Bijzondere wetgeving .......................................................................................................... 12
2.2. Het beroepsgeheim ............................................................................................................. 13
2.3. GDPR-Gedragscode voor de zorgsector ............................................................................... 14
DEEL II. De krachtlijnen en nieuwe verplichtingen van de GDPR ...................................... 16
1. Een nieuwe Europese verordening ................................................................................ 17
II
1.1. Ratio legis van de GDPR ...................................................................................................... 17
1.2. Rechtstreeks toepasselijk, met een beperkte marge voor de lidstaten ................................ 19
1.3. Inhoudelijke evolutie: Verhouding tussen het bestaande recht en de GDPR ........................ 20
1.3.1. Herbevestiging van principes, rechtsgronden en rechten .......................................................... 20 1.3.2. Belangrijke innovaties ................................................................................................................. 20
2. Het toepassingsgebied van de GDPR ............................................................................ 21
2.1. Materieel toepassingsgebied .............................................................................................. 21
2.1.1. Het begrip ‘persoonsgegevens’ .......................................................................................................... 22 2.1.2. Het begrip ‘verwerking’ ...................................................................................................................... 24 2.1.3. Het begrip ‘bestand’ ........................................................................................................................... 25 2.1.4. Conclusie en uitsluitingen .................................................................................................................. 26
2.2. Personeel toepassingsgebied .............................................................................................. 26
2.3. Territoriaal toepassingsgebied ............................................................................................ 27
2.4. Temporeel toepassingsgebied ............................................................................................. 28
3. Herbevestiging van de basisbeginselen en de nieuwe verantwoordingsplicht ............... 28
3.1. Naleving van de zeven basisbeginselen ............................................................................... 29
3.1.1. Rechtmatigheid, behoorlijkheid en transparantie (lawfulness, fairness and transparancy) .............. 29 3.1.2. Doelbinding (purpose limitation) ........................................................................................................ 30 3.1.3. Minimale gegevensverwerking (data minimalisation) ....................................................................... 33 3.1.4. Juistheid (accuracy) ............................................................................................................................ 34 3.1.5. Opslagbeperking (storage limitation) ................................................................................................. 34 3.1.6. Integriteit en vertrouwelijkheid (integrity and confidentiality) ......................................................... 36 3.1.7. Verantwoordingsplicht (accountibility) .............................................................................................. 39
3.2. ‘Rechtmatige’ verwerking van persoonsgegevens (rechtmatigheidsbeginsel) ...................... 40 3.2.1. Verwerking van ‘gewone’ persoonsgegevens .................................................................................... 40 A. De toestemming van de betrokkene ................................................................................................... 41 B. De noodzaak voor de uitvoering van een overeenkomst .................................................................... 41 C. Een wettelijke verplichting .................................................................................................................. 42 D. De noodzaak om vitale belangen van de betrokkene of een andere persoon te beschermen ........... 42 E. De noodzaak om een taak van algemeen belang uit te voeren .......................................................... 42 F. De noodzaak voor gerechtvaardigde belangen. .................................................................................. 43 3.2.2. Verwerking van ‘gevoelige’ persoonsgegevens .................................................................................. 43 A. De uitdrukkelijke toestemming van de betrokkene ............................................................................ 44 B. De noodzaak voor een legitiem doel ................................................................................................... 45
III
C. Bijkomende voorwaarden in nationale wetgeving .............................................................................. 46 3.2.3. Verwerking die steunt op de geldige ‘toestemming’ van de betrokkene .......................................... 47 A. Definitie en voorwaarden van een rechtsgeldige toestemming ......................................................... 47 B. Recht op intrekking van de toestemming ............................................................................................ 50
4. Nieuwe verplichtingen onder de GDPR ......................................................................... 50
4.1. Afschaffing van de aangifteplicht ........................................................................................ 51
4.2. Aanwijzing van de verwerkingsverantwoordelijke (controller) ............................................ 52
4.2.1. Kwalificatie als ‘verwerkingsverantwoordelijke’ (data controller) ..................................................... 52 4.2.2. Kwalificatie als ‘verwerker’ (data processor) ..................................................................................... 53 4.2.3. Kwalificatie als ‘bewerker’ .................................................................................................................. 54 4.2.4. Het begrip ‘betrokkene’ (data subject) .............................................................................................. 55 4.2.5. Kwalificatie van hoedanigheden in een algemeen ziekenhuis ........................................................... 55 4.2.6. Hoedanigheid ziekenhuisarts in verhouding met het algemeen ziekenhuis ...................................... 56 A. Hoedanigheid van de zelfstandige arts-specialist binnen het algemeen ziekenhuis ........................... 57 B. Hoedanigheid van de zelfstandige arts-specialist buiten het algemeen ziekenhuis, in een
privépraktijk ................................................................................................................................................. 62 C. Hoedanigheid van de arts-specialist in opleiding (‘ASO’) binnen het algemeen ziekenhuis ............... 64 D. Rechtsonzekerheid omtrent de hoedanigheid van de studenten-stagiairs ......................................... 65 E. In afwachting van adviezen en rechtspraak ........................................................................................ 66
4.3. Afsluiten van verwerkersovereenkomsten .......................................................................... 66
4.4. Naleving van twee nieuwe principes: gegevensbescherming door ontwerp en door
standaardinstellingen ................................................................................................................ 67
4.4.1. Gegevensbescherming door ontwerp (Privacy by design) ................................................................. 68 4.4.2. Gegevensbescherming door standaardinstellingen (Privacy by default) ........................................... 68
4.5. Aanstelling van een functionaris voor gegevensbescherming (Data Protection Officer) ....... 69
4.5.1. Aanwijzing van een DPO ..................................................................................................................... 69 4.5.2. Deskundigheid en capaciteiten van een DPO ..................................................................................... 73 4.5.3. Takenpakket van een DPO ................................................................................................................. 75 4.5.4. Positie van een DPO ten opzichte van de verwerkingsverantwoordelijke of verwerker ................... 78 A. Betrokkenheid van de DPO .................................................................................................................. 78 B. Ondersteuning van de DPO ................................................................................................................. 78 C. Onafhankelijkheid van de DPO ............................................................................................................ 79 D. Ontslag en sancties .............................................................................................................................. 79 4.5.5. Ziekenhuisnetwerken brengen DPO’s bij elkaar ................................................................................ 79 4.5.6. Lacune wat betreft financiering ......................................................................................................... 80
IV
4.6. Bijhouden van een register van de verwerkingsactiviteiten ................................................. 80
4.6.1. Wie moet het register aanleggen? ..................................................................................................... 81 4.6.2. Vorm van het register ......................................................................................................................... 82 4.6.3. Inhoud van het register ...................................................................................................................... 82 4.6.4. Bewaartermijn van de informatie in het register ............................................................................... 82
4.7. Uitvoeren van gegevensbeschermingseffectbeoordelingen (Data Protection Impact
Assessments) ............................................................................................................................. 83
4.7.1. Verwerkingen waarvoor een DPIA vereist is ...................................................................................... 83 4.7.2. Lijst Privacycommissie van verwerkingen waarvoor geen DPIA vereist is. ........................................ 85
4.8. Melden van inbreuken via een incidentmeldingssysteem (report data breaches) ................ 86
4.8.1. Inrichten van een incidentmeldingssysteem ...................................................................................... 86 4.8.2. Meldingsplicht bij inbreuken .............................................................................................................. 87 A. Inbreuken die waarschijnlijk een risico inhouden ............................................................................... 87 B. Inbreuken met een waarschijnlijk groot risico .................................................................................... 87 4.8.3. Documentatieplicht van inbreuken .................................................................................................... 88 4.8.4. Afsluiten van een cyberrisicoverzekering ........................................................................................... 88
DEEL III. Versterking van de rechten van de betrokkene .................................................. 89
1. Regels informatieverstrekking en communicatie bij verzoek tot uitoefening van een
recht ................................................................................................................................ 89
2. Recht op informatie ...................................................................................................... 90
3. Recht van inzage .......................................................................................................... 90
4. Recht op rectificatie ..................................................................................................... 90
5. Recht op gegevenswissing (‘recht om vergeten te worden’) ......................................... 90
6. Recht op beperking van de verwerking ......................................................................... 91
7. Recht op overdraagbaarheid van de gegevens ............................................................. 91
8. Recht op verzet of recht op bezwaar ............................................................................. 92
9. Conclusie ...................................................................................................................... 92
DEEL IV. De verregaande gevolgen van de GDPR voor algemene ziekenhuizen ................. 92
BIBLIOGRAFIE ...................................................................................................................... I
1. Wetgeving ............................................................................................................................. I
V
1.1. Internationaal ........................................................................................................................................... I 1.2. Europees ................................................................................................................................................... I 1.3. Nationaal ................................................................................................................................................ III
2. Rechtsleer .......................................................................................................................... IV
2.1. Boeken ................................................................................................................................................... IV 2.2. Bijdragen in tijdschriften ........................................................................................................................ V 2.3. Persoonlijke communicatie .................................................................................................................... V
3. Internetbronnen ................................................................................................................ VI
4. Interviews ........................................................................................................................ VIII
VI
VII
LIJST MET AFKORTINGEN
DPIA Data Protection Impact Assessment / Gegevensbeschermingseffectenbeoordeling
DPO Data Protection Officer / Functionaris voor gegevensbescherming
EDPB European Data Protection Board / Europees Comité voor gegevensbescherming
EU Europese Unie, met inbegrip van Noorwegen, Ijsland en Liechtenstein
GBA Gegevensbeschermingsautoriteit
GDPR General Data Protection Regulation / Algemene Verordening Gegevensbescherming
WP29 Article 29 Working Party / Groep Gegevensbescherming Artikel 29
WVP Wet Verwerking Persoonsgegevens van 8 december 1992
VIII
1
INLEIDING
Privacy is een heel belangrijke waarde in de maatschappij van vandaag, maar wordt alsmaar meer op
de proef gesteld. Privacy- en gegevensbescherming vormen zeer actuele thema’s. Omwille van de snel
op elkaar volgende technologische en digitale evoluties dringen zich nieuwe regels op voor het omgaan
met persoonsgegevens. In dat kader werd op 25 mei 2018 de nieuwe ‘Europese verordening voor
algemene gegevensbescherming’ van kracht, de ‘AVG’. Beter bekend als de ‘General Data Protection
Regulation’, hierna de ‘GDPR’1. De GDPR versterkt en ondersteunt enerzijds de voormalige regels
inzake gegevensbescherming en verbetert anderzijds de rechten van de betrokkenen. De
basisconcepten en principes omtrent de verwerking van persoonsgegevens blijven grotendeels
behouden. Echter brengt de nieuwe Europese verordening ook nieuwe vereisten en verplichtingen
met zich mee, die voor sommige entiteiten verregaande gevolgen hebben. Bijgevolg is het interessant
na te gaan welke nieuwe vereisten en verplichtingen de GDPR invoert en hoe die geïnterpreteerd en
omgezet worden in de praktijk.
De GDPR is van toepassing op alle sectoren waarin persoonsgegevens verwerkt worden. De
gezondheidszorg is de plaats bij uitstek waar elke dag grote hoeveelheden gegevens verwerkt worden.
De nieuwe verordening heeft bijgevolg een grote impact op de manier waarop deze persoonsgegevens
verwerkt worden in ziekenhuizen, waarbij een optimale privacy- en gegevensbescherming wordt
nagestreefd. Na de toelichting van het algemeen kader wordt in deze masterproef dieper ingegaan op
wat de gevolgen zijn van de uitvoering van de GDPR specifiek voor algemene ziekenhuizen. Zo kan een
antwoord gevonden worden op de vraag aan welke vereisten een algemeen ziekenhuis moet voldoen
opdat zij conform de GDPR persoonsgegevens van patiënten, zorgverleners, personeelsleden en
derden verwerkt. In het bijzonder wordt stilgestaan bij de theoretische en praktische lacunes bij de
omzetting van de GDPR in de praktijk.
Verder zorgt de GDPR voor een harmonisatie binnen de Europese Unie. Engels blijft de taal die als
gemeenschappelijk communicatiemiddel toegepast wordt in het kader van privacy- en
gegevensbescherming. Aangezien in de praktijk vooral gebruik wordt gemaakt van Engelse
terminologie en de bijhorende afkortingen, worden deze doorheen de masterproef vaak gehanteerd.
1 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), Pb.L. 4 mei 2016, afl. 119, 1 - 88 (Hierna: GDPR)
2
De inhoud van deze masterproef is gebaseerd op een literatuurstudie gecombineerd met praktische
informatie verkregen via studiedagen en interviews. Op die manier kan de masterproef dienst doen
als een theoretisch en praktische gids voor algemene ziekenhuizen.
3
DEEL I. Privacywetgeving onderworpen aan digitale en
technologische evoluties
1. Het begrip ‘privacy’ is de dag van vandaag prominent aanwezig in onze samenleving. Ondanks
het feit dat privacy zeker geen nieuw concept is, wordt er alsmaar meer belang aan gehecht. Onze
samenleving wordt geconfronteerd met snelle technologische en digitale veranderingen, wat telkens
een nieuwe uitdaging vormt voor de bescherming van de privacy. Een sterk regelgevend kader dat
mee-evolueert is daarom noodzakelijk om dit alles in goede banen te leiden en bescherming te kunnen
garanderen.
Hierna volgt een kort overzicht van de wet- en regelgeving omtrent privacy in het algemeen en
specifiek in België. Via deze weg wordt duidelijk waarom de nieuwe Europese verordening inzake
gegevensbescherming er is gekomen (hierna: ‘GDPR’). Vervolgens worden belangrijke toezichts- en
handhavingsorganen voorgesteld en ten slotte wordt gekeken naar welke bijzondere wetgeving
omtrent privacybescherming reeds bestaat voor de gezondheidssector.
1. Privacy in het algemeen
1.1. Het evoluerend concept ‘privacy’ in regelgeving
2. Het begrip ‘privacy’ staat voor de bescherming van de persoonlijke levenssfeer, de
bescherming van iemand zijn privéleven, persoonlijke vrijheid2. Dit concept wordt op verschillende
niveaus in een wetgevend kader verder uitgewerkt en groeit mee met zijn tijd3.
1.1.1. Op het niveau van de Verenigde Naties
3. Op het niveau van de Verenigde Naties werd het privacybegrip in 1948 opgenomen in artikel
12 van de Universele Verklaring van de Rechten van de Mens (afgekort ‘UVRM’): “Niemand zal het
voorwerp zijn van willekeurige inmengingen in zijn privaat leven, zijn familie, zijn woning, of zijn
briefwisseling […]. Een ieder heeft recht op de bescherming van de wet tegen dergelijke inmengingen
of aanslagen.” Het artikel houdt een dubbele verplichting in. Enerzijds moet de staat zich onthouden
2 Gratis woordenboek Van Dale, “Betekenis ‘privacy’”, geraadpleegd op 16 januari 2019 via www.vandale.nl/gratis-woordenboek/nederlands/betekenis/privacy#.XNVC12aYOqA. 3 De informatie die hierna volgt is o.a. gebaseerd op de les Gegevensbeschermingsrecht van 12 februari 2019, gegeven door prof. dr. Gert Vermeulen aan de UGent.
4
van willekeurige inmeningen en anderzijds heeft de overheid een positieve verplichting om recht te
scheppen die hiertegen beschermt en ten goede komt aan de burger.
Hoewel in de Verenigde Naties een grote waarde gehecht wordt aan deze universele verklaring, heeft
zij juridisch gezien niet dezelfde draagwijdte als een verdrag want een verklaring is in principe niet
bindend.
Later werd in 1966 in het belangrijk Internationaal Verdrag inzake Burgerrechten en Politieke
Rechten (afgekort ‘IVBPR’) een gelijkaardig artikel opgenomen, namelijk artikel 17. Het grote verschil
hierbij is dat deze verdragstekst wel juridisch bindend is.
Het recht op privacybescherming werd dus al vanaf 1948 beschouwt als één van de
basisrechten van de mens.
1.1.2. Op het niveau van de Raad van Europa
4. Ook op het niveau van de Raad van Europa wou men de bescherming van de privacy
verankeren als grondrecht. Het recht op “eerbiediging van zijn privéleven, zijn familie- en gezinsleven,
zijn woning en communicatie” in artikel 8 van het Europees Verdrag voor de Rechten van de Mens
(afgekort ‘EVRM’) is al jaren een fundamenteel recht op basis waarvan het Europees Hof voor de
Rechten van de Mens rechtspraak heeft uitgesproken. Echter blijft de draagwijdte beperkt tot de
privésfeer en creëert het artikel nog geen recht op gegevensbescherming.
Met het Verdrag van 28 januari 1981, beter bekend als het Verdrag 108 van de Raad van
Europa, kwam hier verandering in. Professor Gert Vermeulen omschreef het als de ‘moeder der
privacyteksten’. Concrete regels voor de bescherming van persoonsgegevens werden opgenomen in
dit verdrag, meer bepaald voor de bescherming van individuen m.b.t. de geautomatiseerde verwerking
van persoonsgegevens. Hiermee wou Europa de privacy van de burgers beschermen wanneer hun
persoonsgegevens zouden worden verwerkt met nieuwe informatie- en communicatiesystemen4 .
Toen begon immers het tijdperk waarin informatie alsmaar meer in elektronische vorm werd
bijgehouden.
Bovendien heeft het verdrag belangrijke basisbeginselen ingevoerd die nu nog altijd tot de essentie
van privacybescherming behoren, o.a. het finaliteitsbeginsel, ook wel gekend als het
doelbindingsprincipe. Het verwerken van persoonsgegevens moet legitiem, noodzakelijk en
proportioneel zijn voor een welbepaald doel.
4 Gegevensbeschermingsautoriteit, “Raad van Europa - […] voornaamste Europese rechtsinstrumenten”, geraadpleegd op 26 februari 2019 via www.gegevensbeschermingsautoriteit.be/raad-van-europa.
5
1.1.3. Op het niveau van de Europese Unie
5. Naar aanleiding van de technologische en digitale evoluties streefde ook de Europese Unie een
alsmaar hoger beschermingsniveau na, zowel voor wat betreft privacy als persoonsgegevens.
Ten eerste maakte de EU in artikel 6, derde lid van het Verdrag van de Europese Unie (afgekort
‘VEU’) duidelijk dat de fundamentele rechten van het EVRM tevens deel uitmaken van het grondrecht
binnen de EU5. Zo wordt in artikel 7 van het Handvest van de Grondrechten van de Europese Unie
(afgekort ‘EU Handvest’) artikel 8 van het EVRM herhaald.
Ten tweede werd voor het eerst in artikel 8 van het EU Handvest een fundamenteel recht
vastgelegd m.b.t. de bescherming van persoonsgegevens, waardoor het recht op bescherming van
persoonsgegevens een nieuw autonoom grondrecht is geworden. In artikel 8 zijn duidelijke doelen
terug te vinden en worden er belangrijke gedetailleerde principes ingevoerd: “1. Eenieder heeft recht
op bescherming van zijn persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor
bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere
gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem
verzamelde gegevens en op rectificatie daarvan. 3. Een onafhankelijke autoriteit ziet erop toe dat deze
regels worden nageleefd.”
Ten derde schreef de EU in artikel 16 van het Verdrag van de Werking van de Europese Unie
(afgekort ‘VWEU’) het Europese Parlement en de Raad een duidelijke taak voor, namelijk het
gegevensbeschermingsrecht, als fundamentele vrijheid, waarborgen en verder uitwerken. Op de
naleving van de nieuwe regelgeving moet vervolgens toezicht uitgeoefend worden door
onafhankelijke autoriteiten.
6. Het Europees Parlement en de Raad bleven niet stilzitten en voerde in 1995 de Europese
‘Privacyrichtlijn’ 6 in. De richtlijn 95/46/EG had als voornaamste doel de nationale wetgeving van
verschillende EU-lidstaten inzake verwerking van persoonsgegevens tot op zekere hoogte te
5 “De grondrechten, zoals zij worden gewaarborgd door het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en zoals zij voortvloeien uit de constitutionele tradities die de Lid-Staten gemeen hebben, maken als algemene beginselen deel uit van het recht van de Unie.” 6 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb.L. 23 november 1995, afl. 281, 31 - 50. (Hierna: Richtlijn 95/46/EG)
6
harmoniseren7. Zij vergde van de lidstaten dat ze eigen wetgeving gingen aannemen geënt op de
basisconcepten, basisprincipes en algemene verplichtingen van deze richtlijn8.
Echter, door de toename van de digitalisering-, opslag-, verwerkings-, verspreidings- en
uitwisselingscapaciteiten van grote hoeveelheden gegevens, werd de bescherming van
persoonsgegevens een nog grotere uitdaging9. Naar aanleiding van deze technologische en digitale
ontwikkelingen was een hervorming van de Europese privacywetgeving noodzakelijk. De EU riep dan
ook de Europese Algemene Verordening Gegevensbescherming (afgekort ‘AVG’) of European General
Data Protection Regulation (afgekort ‘GDPR’10) in het leven om een hoge mate van bescherming van
persoonsgegevens te garanderen en te moderniseren in de Europese Unie.
De GDPR trad in werking op 24 mei 2016, maar is pas effectief van toepassing vanaf 25 mei 2018. Er
werd immers een overgangsperiode van 2 jaar voorzien. De richtlijn 95/46/EG is met ingang van 25
mei 2018 ingetrokken en vervangen door de Algemene Verordening Gegevensbescherming. De
verordening herbevestigt reeds bestaande regelgeving en principes, maar legt ook nieuwe
verplichtingen op aan al wie persoonsgegevens verwerkt en bijhoudt. Daarnaast kan zij verder
gedetailleerd worden door de lidstaten zelf. De impact op de gezondheidssector en de werking van de
algemene ziekenhuizen is duidelijk voelbaar. 11
1.2. De historiek van privacy in België
7. In het kader van privacy en de verwerking van persoonsgegevens bestaat reeds sinds 1992
bijzondere wetgeving in België. Door de invoering van de GDPR moest ook de Belgische wetgeving
hieromtrent grondig hervormd worden, met als gevolg een nieuwe kaderwet.
7 M. CAPRONI en S. DE SMEDT, Praktische gids privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 5 - 6. 8 In België werd daardoor de Wet Verwerking Persoonsgegevens van 8 december 1992 aangenomen – Zie verder in deel I, titel 1.2.1. 9 P. DE BACKER, Data protection & privacy – De GDPR in de praktijk, Voorwoord, Limal, Anthemis, 2017, p 9. 10 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), Pb.L. 4 mei 2016, afl. 119, 1 – 88. (Hierna: GDPR; deze afkorting zal doorheen de tekst toegepast worden als benoeming van de verordening) 11 Zie uitgebreid in Deel II.
7
1.2.1. De Belgische Privacywet van 1992
8. De Wet Verwerking Persoonsgegevens van 8 december 1992 12 , vaak omschreven als de
‘Belgische privacywet’, werd in 1998 zeer grondig aangepast om uitvoering te geven aan de Europese
Privacyrichtlijn van 199513. Het was de eerste wet die de burger wou beschermen tegen misbruik van
zijn persoonlijke gegevens. Zowel de rechten en plichten van de persoon wiens gegevens verwerkt
worden als die van de verwerker zelf waren hierin vastgelegd.14
Ondanks verschillende wijzigingen bleef de wet verouderd. Uiteindelijk werd de Wet Verwerking
Persoonsgegevens opgeheven op 5 september 2018 door een nieuwe Belgische privacywet, in
overeenstemming met de nieuwe Europese privacyverordening.
1.2.2. De nieuwe Belgische Kaderwet Privacy van 30 juli 2018
9. Op 5 september 2018 verscheen de nieuwe wet van 30 juli 2018 betreffende de bescherming
van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens15, beter bekend als
de ‘Kaderwet’ over privacybescherming. Deze wet vormt een belangrijk sluitstuk in de uitvoering van
de GDPR in België16.
De nieuwe Kaderwet zal de privacyregels die reeds bestaan sinds 1992 grondig hervormen en conform
de GDPR maken. De wet vormt een belangrijke aanvulling op de GDPR, vermits België verschillende
aspecten van de verordening zelf verder moet en mag invullen. Bovendien geeft het ook een basis om
in sommige gevallen af te wijken van de GDPR. Voor de gezondheidszorg is de wet vooral belangrijk
voor het wetenschappelijk onderzoek op gezondheidsgegevens en worden ook aanvullende
waarborgen herbevestigd voor de verwerking van gezondheidsgegevens17.
12 Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, Pb.L. 18 maart 1993, 5801. (hierna: WVP van 8 december 1992) 13 Wet van 11 december 1998 tot omzetting van de richtlijn 95/46/EG […], Pb.L. 3 februari 1999; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 3, voetnoot 9. 14 Gegevensbeschermingsautoriteit, “Privacywet”, geraadpleegd op 1 maart 2019 via www.gegevensbeschermingsautoriteit.be/lexicon/privacywet. 15 Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, Pb.L. 5 september 2018, 68616 - 68684. 16 T. BALTHAZAR, “Nieuwe Kaderwet vormt sluitstuk voor GDPR”, De Juristenkrant 2018, nr. 374, p 1. 17 T. BALTHAZAR, “Nieuwe Kaderwet vormt sluitstuk voor GDPR”, De Juristenkrant 2018, nr. 374, p 1 - 2; Zorgnet-Icuro, “Kaderwet Privacy – overzicht nieuwe bepalingen over wetenschappelijk onderzoek op gezondheidsgegevens”, Informatienota 2018/135.
8
10. De inwerkingtreding van de nieuwe Kaderwet ging wel gepaard met verschillende kritieken,
waaronder het laat tijdstip, meer dan drie maanden na het van kracht worden van de GDPR18. Dat in
tegenstelling tot de buurlanden, zo was Nederland zeer snel met de implementatie van de GDPR. Hun
uitvoeringswet was al klaar op 16 mei 2018. Ook Frankrijk had zijn wetgeving reeds sinds 20 juni 2018
aangepast aan de nieuwe privacyverordening.19
Voorts is het een zeer omvangrijke wet, bestaande uit 286 artikelen over 155 bladzijden,
waardoor de wet door sommigen als omslachtig gezien wordt 20 . Ze is immers langer dan de
privacyverordening zelf. Dat komt omdat de wet zich niet alleen beperkt tot de omzetting van de
GDPR21. Verschillende nieuwe juridische instrumenten m.b.t. gegevensbescherming worden in deze
wet verwerkt22.
Bovendien blijkt het in de praktijk niet evident om de Kaderwet toe te passen. Er komt terug
veel regelgeving bij, waardoor men door de bomen het bos niet meer ziet. Daarnaast heerst er
discussie over hoe bepaalde artikelen toegepast moeten worden in de Belgische rechtsorde conform
de GDPR, want soms zijn er meerdere interpretaties mogelijk. Naar de toekomst toe zal de Kaderwet
dus verder moeten worden uitgewerkt door uitvoeringsbesluiten of adviezen.23
Tenslotte stelt de Belgische overheid zichzelf vrij in de Kaderwet van de (potentieel erg zware)
boetes en sancties voorzien in de GDPR. De overheid is nochtans één van de grootste
verantwoordelijke en/of verwerker van persoonsgegevens van het land.24
18 B. VAN DEN BRANDE, “Beter laat dan nooit: Ook België heeft zijn “GDPR-wet” klaar”, 14 september 2018, geraadpleegd op 1 maart 2019 via https://siriuslegaladvocaten.be/beter-laat-dan-nooit-ook-belgie-heeft-zijn-gdpr-wet-klaar/. 19 B. VAN DEN BRANDE, “Sirius Legal – Data protection update in België, Europa en de wereld”, 14 november 2018, geraadpleegd op 15 april 2019 via www.dp-institute.eu/wp/wp-content/uploads/2019/04/Bart-VDB-Sirius.pdf, p 4 en 10. 20 B. VAN DEN BRANDE, “Sirius Legal – Data protection update in België, Europa en de wereld”, 14 november 2018, geraadpleegd op 15 april 2019 via www.dp-institute.eu/wp/wp-content/uploads/2019/04/Bart-VDB-Sirius.pdf, p 42. 21 Gegevensbeschermingsautoriteit, “Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Kaderwet)”, geraadpleegd op 2 maart 2019 via www.gegevensbeschermingsautoriteit.be/wet-betreffende-de-bescherming-van-natuurlijke-personen-met-betrekking-tot-de-verwerking-van. 22 T. BALTHAZAR, “Nieuwe Kaderwet vormt sluitstuk voor GDPR”, De Juristenkrant 2018, nr. 374, p 1. 23 Interview met Julie Hantson, advocaat bij advocatenkantoor Hantson te Gent, op 30 april 2019. 24 A. DAMMEKENS, “Data protection en privacy : de Kaderwet", 11 september 2018, geraadpleegd op 1 maart 2019 via www.vbo.be/actiedomeinen/ethiek--maatschappelijke-verantwoordelijkheid/privacy/data-protection-en-privacy-de-kaderwet_2018-09-11/; B. VAN DEN BRANDE, “Sirius Legal – Data protection update in België, Europa en de wereld”, 14 november 2018, geraadpleegd op 15 april 2019 via www.dp-institute.eu/wp/wp-content/uploads/2019/04/Bart-VDB-Sirius.pdf, p 52.
9
1.3. Toezichts- en handhavingsorganen van de privacywetgeving
11. Opdat de regelgeving inzake privacy en gegevensbescherming effectief wordt nageleefd, zijn
er toezichts- en handhavingsorganen in het leven geroepen, zowel op het niveau van de Europese Unie
als op nationaal niveau. Bij de juiste interpretatie en omzetting van de GDPR in de praktijk spelen deze
organen een prominente rol. In deze masterproef zal meermaals verwezen worden naar documenten
die door hen werden opgesteld. Hierna volgt een kort overzicht van belangrijke toezichts- en
handhavingsorganen.
1.3.1. Op het niveau van de Europese Unie
A. De Artikel 29-Werkgroep (‘WP29’)
12. In de Europese Unie werd op grond van artikel 29 van de vroegere Europese Privacyrichtlijn de
‘Artikel 29-werkgroep’ 25 of Article 29 Working Party (hierna ‘WP29’) opgericht. Zij vormde een
werkgroep voor de bescherming van personen in verband met de verwerking van persoonsgegevens26,
waarin alle privacy-autoriteiten van de EU-lidstaten vertegenwoordigd waren.
Als onafhankelijk adviesorgaan bracht de werkgroep richtlijnen en deskundig advies uit over
gegevensbescherming door definities en principes van de Richtlijn 95/46/EG te interpreteren.
Bovendien bevordert deze groep de consequente toepassing van de GDPR in alle EU-lidstaten, want
de WP29 heeft reeds belangrijke richtsnoeren uitgevaardigd inzake verplichtingen die door de GDPR
worden ingevoerd. Hoewel deze richtsnoeren strikt genomen niet wettelijk bindend zijn, zullen ze toch
een belangrijke rol spelen bij de diepere uiteenzetting van de krachtlijnen en innovaties van de nieuwe
verordening.27
Echter met de invoering van de GDPR werd de WP29 vervangen door het Europees Comité
voor gegevensbescherming. De adviezen en richtlijnen onder de nieuwe Europese verordening blijven
wel hun relevantie behouden.
B. Het Europees Comité voor gegevensbescherming
13. Het Europees Comité voor gegevensbescherming, beter bekend als European Data Protection
Board (afgekort ‘EDPB’) is vandaag de dag het onafhankelijk toezichtsorgaan van de Europese Unie,
25 De officiële benaming is de ‘Groep voor bescherming van personen in verband met de verwerking van persoonsgegevens’. 26 Art. 29, lid 1 Richtlijn 95/46/EG. 27 M. CAPRONI en S. DE SMEDT, Praktische gids privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 11.
10
opgericht bij de GDPR en gevestigd in Brussel. Het Europees Comité bestaat uit vertegenwoordigers
van de nationale gegevensbeschermingsautoriteiten en de Europese Toezichthouder voor
gegevensbescherming28.29
Het Comité zorgt er aan de ene kant voor dat de GDPR consistent toegepast wordt in de Europese Unie
door algemene richtsnoeren uit te brengen en zo regelgeving te verduidelijken. Aan de andere kant
kan zij bindende beslissingen nemen tegenover nationale gegevensbeschermingsautoriteiten om die
strikte toepassing te waarborgen. Bovendien bevordert het Comité de samenwerking tussen de
nationale privacytoezichthouders binnen de EU.30
Zij vormt duidelijk een belangrijk toezichts- en handhavingsorgaan m.b.t. het recht op bescherming
van persoonsgegevens.
1.3.2. Belgische toezichthoudende autoriteit
A. De Commissie voor de bescherming van de persoonlijke levenssfeer (‘CBPL’)
14. De commissie voor de bescherming van de persoonlijke levenssfeer (afgekort ‘CBPL’), beter
bekend als de Belgische ‘Privacycommissie’, werd opgericht bij de Privacywet van 8 december 1992
(zie hierboven onder 1.2.1.) en was bedoeld als onafhankelijk adviesorgaan van de overheid. De
commissie moest erop toezien dat de privacy van de Belgische burgers werd beschermd bij de
verwerking van hun persoonsgegevens, dat de Privacywet correct werd nageleefd. Dat deed zij door
de verwerkers van persoonsgegevens te informeren en te adviseren en door bemiddelend op te treden
wanneer klachten werden ingediend. Een echte onderzoeks- of sanctioneringsbevoegdheid had de
commissie toen wel niet.31
De samenstelling en werking van de Belgische Privacycommissie werd echter door de invoering
van de GDPR volledig hervormd en vervangen door een nieuwe toezichthoudende autoriteit, namelijk
de Gegevensbeschermingsautoriteit.
28 De Europese Toezichthouder voor gegevensbescherming ziet erop toe dat de EU-instellingen en organen de privacy van de burgers respecteren bij de verwerking van persoonsgegevens – Zie https://europa.eu/european-union/about-eu/institutions-bodies/european-data-protection-supervisor_nl#de-edps-en-u, geraadpleegd op 2 maart 2019. 29 Art. 68 en 69 GDPR; Europees Comité voor gegevensbescherming, “Over de EDPB”, geraadpleegd op 2 maart 2019 via https://edpb.europa.eu/about-edpb/about-edpb_nl. 30 Art. 70 GDPR; Europees Comité voor gegevensbescherming, “Over de EDPB”, geraadpleegd op 2 maart 2019 via https://edpb.europa.eu/about-edpb/about-edpb_nl. 31 Art. 29 – 31 WVP van 8 december 1992; M. CAPRONI en S. DE SMEDT, Praktische gids privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 10 - 11.
11
B. De Gegevensbeschermingsautoriteit (‘GBA’)
15. De voormalige Privacycommissie wordt sedert 25 mei 2018 vervangen door de
Gegevensbeschermingsautoriteit (afgekort ‘GBA’), opgericht bij de Wet van 3 december 201732.33 In
hoofdstuk VI van de GDPR wordt immers de oprichting van zo een onafhankelijke toezichthoudende
autoriteit voorgeschreven.
De Gegevensbeschermingsautoriteit waakt over de correcte naleving van het recht op bescherming
van persoonsgegevens. De GDPR en de nieuwe Kaderwet van 30 juli 2018 vormen daarbij de
belangrijkste rechtsinstrumenten.34 De GBA heeft bijgevolg als kerntaak het toezicht houden op en het
controleren van de verwerkingsactiviteiten van persoonsgegevens in België, met daaraan gekoppeld
het ontvangen en onderzoeken van klachten en het eventueel opleggen van corrigerende maatregelen
of sancties 35 . In tegenstelling tot de voormalige Privacycommissie krijgt de GBA wel belangrijke
onderzoeks- en sanctioneringsbevoegdheden en vormt het niet langer een louter adviesorgaan36.
16. De juridische werking van de Gegevensbeschermingsautoriteit liet helaas tamelijk lang op zich
wachten vanwege het uitblijven van de benoeming van de vijf directieleden van de autoriteit. Pas een
jaar later nadat de GDPR van toepassing werd, heeft België een nieuwe operationele
privacycommissie.37 Het was immers wachten op de benoeming van dit directiecomité vooraleer
bepaalde vragen, onder meer over de praktische toepassing van de GDPR-wetgeving, konden worden
beantwoord38.
C. De Vlaamse Toezichtcommissie (‘VTC’)
17. Op het Vlaamse niveau werd eveneens in 2018 een toezichthoudende autoriteit opgericht, nl.
de Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens (afgekort ‘VTC’). Deze
32 Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, Pb.L. 10 januari 2018, 989 - 1007. 33 T. BALTHAZAR, “Privacycommissie wordt Gegevensbeschermingsautoriteit”, De Juristenkrant 2018, nr. 362, p 2. 34 Gegevensbeschermingsautoriteit, “Referentieteksten rond gegevensbescherming”, geraadpleegd op 2 maart 2019 via www.gegevensbeschermingsautoriteit.be/wetgeving-en-normen. 35 M. CAPRONI en S. DE SMEDT, Praktische gids privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 9. 36 Zie uitgebreid in Deel IV, Hoofdstuk 1. 37 D. CASAER, “GDPR Update: Proficiat aan de directie van de Gegevensbeschermingsautoriteit”, 29 maart 2019, geraadpleegd op 5 april 2019 via www.linkedin.com/pulse/gdpr-update-proficiat-aan-de-directie-van-dylan-casaer/. 38 P. VAN LEEMPUTTEN, “Parlement benoemt directeurs Gegevensbeschermingsautoriteit” 29 maart 2019, geraadpleegd op 5 april 2019 via https://datanews.knack.be/ict/nieuws/parlement-benoemt-directeurs-gegevensbeschermingsautoriteit/article-news-1446377.html.
12
commissie heeft dezelfde taken en bevoegdheden als de federale Gegevensbeschermingsautoriteit,
maar is enkel bevoegd voor de instanties van de Vlaamse overheid.39
Alle Vlaamse overheidsinstellingen moeten zich voor alles wat de GDPR betreft in principe enkel tot
de VTC wenden. Dat geldt ook voor burgers die vragen hebben over de naleving van de GDPR door
deze Vlaamse instanties.40
18. De wisselwerking tussen de GBA en VTC roept in de praktijk vragen op. Het is niet altijd
duidelijk tot welke toezichthoudende autoriteit men zich moet wenden omwille van verschillende
interferenties. Hoe de twee organen zich ten opzichte van elkaar verhouden zal naar de toekomst toe
nog verder ingevuld moeten worden.
2. Privacy binnen de gezondheidszorg
19. Binnen de gezondheidszorg wordt dagelijks gewerkt met bijzonder privacygevoelige gegevens.
Een extra wet- en regelgevend kader inzake privacy- en gegevensbescherming drong zich dan ook op
in de zorgsector en blijft mee-evolueren met de maatschappelijke omstandigheden.
Naast de bijzondere wetgeving en het beroepsgeheim, wordt in deze titel ook dieper ingegaan op de
GDPR-gedragscode van Zorgtnet-Icuro die zich richt tot de Vlaamse zorgvoorzieningen.
2.1. Bijzondere wetgeving
20. Vóór het hele GDPR-gebeuren bestond reeds bijzondere wetgeving over privacy- en
gegevensbescherming voor de gezondheidssector, onder meer41:
- Het koninklijk besluit van 23 oktober 1964 tot bepaling van de normen die door de
ziekenhuizen en hun diensten moeten worden nageleefd: In bijlage A, III, 9° quater wordt elk
ziekenhuis verplicht om een privacyreglement uit te werken voor de verwerkingen van
persoonsgegevens;
- De wet van 22 augustus 2002 betreffende de rechten van de patiënt: De patiënt heeft het
recht op een veilig bewaard patiëntendossier (artikel 9) en in artikel 10 wordt het recht op de
39 Vlaanderen Intern, “Vlaamse Toezichtcommissie”, geraadpleegd op 20 april 2019 via https://overheid.vlaanderen.be/vlaamse-toezichtcommissie. 40 Vlaanderen Intern, “VTC vanaf 29 maart 2019 volwaardige toezichthoudende autoriteit”, 29 maart 2019, geraadpleegd op 20 april 2019 via https://overheid.vlaanderen.be/nieuws/vtc-vanaf-29-maart-2019-volwaardige-toezichthoudende-autoriteit. 41 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 4.
13
bescherming van de persoonlijke levenssfeer van de patiënt omschreven. Dit houdt in dat geen
enkele (gezondheids)informatie over een patiënt mag worden meegedeeld aan derden, tenzij
dit uitdrukkelijk bij wet is toegestaan voor bijvoorbeeld de bescherming van de
volksgezondheid (zie link met het beroepsgeheim in de volgende titel);
- De wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform,
ook wel de ‘eHealth-wet’ genoemd: Het eHealth-platform is een federale overheidsinstelling
die de elektronische uitwisseling van gezondheidsgegevens tussen de actoren in de
gezondheidszorg ondersteunt en bevordert. Bijvoorbeeld, ziekenhuizen wisselen elektronisch
gegevens uit met elkaar en met (huis)artsen. Via het eHealth-platform kunnen deze
gegevensstromen plaatsvinden met de nodige waarborgen op het vlak van de
informatieveiligheid, de bescherming van de persoonlijke levenssfeer van de patiënt en de
zorgverlener en het respect van het medisch beroepsgeheim. Zo biedt eHealth de eHealthBox
aan, een beveiligde elektronische mailbox tussen zorgverleners;42
- Het decreet van 25 april 2014 betreffende de organisatie van het netwerk voor gegevensdeling
tussen de actoren in de zorg of het ‘Vlaams decreet gegevensdeling’: Het decreet bevordert
de verdere informatisering van de Vlaamse zorgsector. Het laat immers zorgverleners toe
persoonsgegevens elektronisch te delen met elkaar. Om de gegevensuitwisseling door middel
van nieuwe informatie- en communicatietechnologieën in goede banen te leiden, vormen de
verschillende actoren van de gezondheidszorg een netwerk via het Vlaams Agentschap voor
Samenwerking rond Gegevensdeling tussen de Actoren in de zorg (afgekort ‘VASGAZ’);43
- …
2.2. Het beroepsgeheim
21. Het beroepsgeheim is altijd al een essentiële waarde geweest in de gezondheidszorg opdat er
open en vertrouwelijk gesproken kan worden over gevoelige kwesties, waaronder iemand zijn
gezondheidstoestand. In artikel 458 van het Strafwetboek is de geheimhoudingsplicht vastgelegd voor
42 eHealth, “Wie zijn wij?”, geraadpleegd op 5 maart 2019 via www.ehealth.fgov.be/ehealthplatform/nl/wie-zijn-wij; M., CALLENS, “eHealth in België”, CM-Informatie 2014, nr. 258, p 3 en 10; 43 Flanders Care, “Gegevensdeling in de zorg”, geraadpleegd op 5 maart 2019 via www.flanderscare.be/gegevensdeling-de-zorg.
14
de actoren in de gezondheidszorg44. De patiënt verwacht dan ook dat de informatie die hij deelt met
een arts niet aan derden bekend gemaakt zal worden, wat bovendien een patiëntenrecht is.45
Het medisch beroepsgeheim geldt niet enkel voor de vertrouwelijke mededelingen die aan een arts
worden toevertrouwd, maar eveneens voor alles wat de arts buiten weten van de patiënt zelf
waarneemt of wat algemeen bekend is. Deze brede invulling van het beroepsgeheim van een arts
vormt een garantie voor de bescherming van de privacy van de patiënt.46
22. Het beroepsgeheim of recht op geheimhouding gaat hand in hand met het recht op privacy-
en gegevensbescherming. De grondslag van beiden rechten vindt zijn oorsprong o.a. in de
vertrouwelijkheid van gegevens die niet lukraak ten aanzien van derden mogen worden
bekendgemaakt47. Dit geldt des te meer in de zorgsector waarin gewerkt wordt met extra gevoelige
gezondheidsgegevens.
2.3. GDPR-Gedragscode voor de zorgsector
23. Wanneer moet aangetoond worden dat de verplichtingen van de GDPR worden nageleefd,
biedt de privacyverordening zelf concrete hulpmiddelen aan waaruit deze naleving kan blijken. Het
aansluiten bij goedgekeurde gedragscodes of certificeringsmechanismen kan worden gebruikt als een
element in de beoordeling of het verwerken van persoonsgegevens conform de GDPR gebeurt en de
bijhorende verplichtingen zijn nagekomen 48 . Wanneer naar aanleiding van een inbreuk op de
verordening moet geoordeeld worden over het al dan niet opleggen van een administratieve
geldboete en zo nodig het bedrag ervan, zal rekening worden gehouden met de aansluiting bij één van
de goedgekeurde hulpmiddelen49. Hoewel gedragscodes en certificeringsmechanismen niet juridisch
44 Op dit beroepsgeheim bestaan een aantal uitzonderingen, waarvan er twee uitdrukkelijk in het Strafwetboek vermeld zijn. Ook de rechtsleer en rechtspraak ontwikkelden rechtsfiguren die een uitzondering vormen op de geheimhoudingsplicht, zoals het ‘gedeeld beroepsgeheim’ tussen verschillende zorgverleners. 45 S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2015, p 376 - 379; S. CALLENS, M. LEIRE en L. BODDEZ, Gezondheidszorg in een notendop, Brugge, die Keure, 2016, p 166 - 167. 46 V. DOOMS, De uitholling van het beroepsgeheim?, Hoofdstuk V. Raakvlakken tussen privacy en beroepsgeheim, Gent, Larcier, 2018, p 115. 47 S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2015, p 376 - 377; V. DOOMS, De uitholling van het beroepsgeheim?, Hoofdstuk V. Raakvlakken tussen privacy en beroepsgeheim, Gent, Larcier, 2018, p 96. 48 Art. 24, lid 3, art. 28, lid 5 en art. 32, lid 3 GDPR. 49 Art. 83, lid 2, j GDPR.
15
bindend zijn, kan de naleving ervan toch voorgaande juridische voordelen bieden50 . Let wel, de
gedragscodes en certificeringen zijn slechts één element in de beoordeling 51 . Op de
certificeringsmechanismen zal deze titel niet dieper ingaan.
24. Gedragscodes worden gepromoot door de GDPR omdat dergelijke instrumenten
sectororganisaties toelaten rekening te houden met de specifieke kenmerken en behoeften van hun
sector in het licht van de juiste toepassing van de verordening 52 . Een sector kan bijgevolg heel
specifieke afspraken maken over hoe de GDPR correct moet toegepast worden specifiek voor de
verwerkingen die eigen zijn aan de sector.
Het is Zorgnet-Icuro die de taak op zich heeft genomen om een gedragscode uit te schrijven voor de
zorgsector53.
25. Zorgnet-Icuro is de koepelorganisatie van de Vlaamse algemene ziekenhuizen. Ze heeft ervoor
gekozen om de gedragscode voor de zorgsector uit te schrijven, die voor zorgvoorzieningen zoveel
mogelijk duidelijkheid moet brengen over de toepassing van de GDPR.
De gedragscode is uitgewerkt door de werkgroep informatieveiligheid van Zorgnet-Icuro, bestaande
uit specialisten van meerdere Vlaamse ziekenhuizen en is bijgestaan door het gespecialiseerd
advocatenkantoor Dewallens & Partners54. Bij de gedragscode horen een reeks modellen, tools en
templates om de nieuwe verplichtingen zo vlot mogelijk en correct in de praktijk toe te passen.
Het is de bedoeling de gedragscode volgens de bijhorende procedure van de GDPR ter
goedkeuring voor te leggen aan de Gegevensbeschermingsautoriteit en zo de juridische voordelen te
activeren 55 . Echter is dit (nog) niet mogelijk vermits een bijzonder toezichtsorgaan ontbreekt.
Krachtens de GDPR kan een apart orgaan met passende deskundigheid opgericht worden om toezicht
50 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 25. 51 Gegevensbeschermingsautoriteit, “Gedragscodes”, geraadpleegd op 5 maart 2019 via www.gegevensbeschermingsautoriteit.be/faq-themas/gedragscodes. 52 Art. 40, lid 1 en 2 GDPR; Zie ook EUROPEAN DATA PROTECTION BOARD (EDPB), Guidelines on Codes of Conduct and Monitoring Bodies under Regulation 2016/679, 12 februari 2019, nr. 1/2019, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-20190219_guidelines_coc_ public_ consultation_ version_en.pdf. 53 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, 151 p. 54 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p IX-1. 55 Art. 40, lid 5 GDPR.
16
te houden op de naleving van een gedragscode56. Tot op heden werd dit (nog) niet gedaan in België en
is er ook een grote terughoudendheid bij de sectoren om in te staan voor dat toezicht, want dan krijgt
men een concurrerende positie in de eigen sector57.
Ondanks het feit dat de GDPR-gedragscode (nog) niet is goedgekeurd en een louter Vlaams
initiatief blijft, heeft het reeds een zeer grote waarde als leidraad en advies aan de algemene
ziekenhuizen binnen de Vlaamse gezondheidssector58. Bovendien zal het een belangrijke rol spelen in
de ontwikkeling van rechtspraak en rechtsleer. De gedragscode van Zorgnet-Icuro vormt dan ook een
basisdocument voor deze masterproef, waar vaak naar verwezen wordt.
DEEL II. De krachtlijnen en nieuwe verplichtingen van de GDPR
26. De nieuwe ‘Algemene Verordening Gegevensbescherming’ dateert van 27 april 2016 en trad
in werking op 25 mei 2018 na een overgangsperiode van twee jaar. De GDPR streeft twee
doelstellingen na en is rechtstreeks van toepassing in alle 28 EU-lidstaten, waarbij elke lidstaat
daarnaast nog nationale wetgeving moet aannemen om de zogenaamde ‘open clausules’ van de GDPR
in te vullen. Overigens wordt in het eerste hoofdstuk van dit deel aangehaald wat behouden blijft van
de voormalige Europese Privacyrichtlijn en wat precies vernieuwend is. Deze twee onderwerpen
worden vervolgens uitgebreid besproken en dieper uitgespit in respectievelijk de hoofdstukken drie
en vier.
De GDPR heeft een impact op veel sectoren, wat duidelijk wordt bij het overlopen van het
toepassingsgebied van de nieuwe verordening in het tweede hoofdstuk. Des te meer heeft de GDPR
bijzondere gevolgen voor de algemene ziekenhuizen, aangezien het in deze sector noodzakelijk is om
dagdagelijks gezondheidsgegevens te verwerken.
27. De algemene ziekenhuizen moeten conform de GDPR persoonsgegevens verwerken en
bijgevolg ook de nieuwe verplichtingen in acht nemen en omzetten in de praktijk. Het is immers de
bedoeling om de privacy van patiënten, zorgverleners, niet-zorgverlenend personeel of aangestelden,
familieleden, bezoekers enz. in het ziekenhuis nog beter te beschermen59. Vandaar dat in de volgende
56 Art. 41 GDPR. 57 Les Gegevensbeschermingsrecht van 26 maart 2019, gegeven door Prof. Willem Debeuckelaere, aan de UGent. 58 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 1-2. 59 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 24.
17
hoofdstukken een uitzetting zal gegeven worden van de krachtlijnen en innovaties die de GDPR met
zich meebrengt. De uitvoering van de GDPR moet immers bijdragen tot het bieden van respectvol
kwaliteitsvolle zorg in de ziekenhuizen.
1. Een nieuwe Europese verordening
28. Op 27 april 2016 werd de nieuwe Europese privacyverordening goedgekeurd door het
Europees Parlement en de Raad van Europa. De verordening trad vervolgens in werking op 24 mei
2016, maar is pas effectief van toepassing sedert 25 mei 201860. Er werd immers een overgangsperiode
van twee jaar ingevoerd ter voorbereiding van de omzetting van de GDPR in de praktijk van elke EU-
lidstaat, want de verordening brengt een inhoudelijke evolutie met zich mee. De Europese wetgever
heeft een specifieke doelstelling voor ogen met de GDPR, die rechtstreeks toepasselijk is in elke lidstaat,
mits nationaal aanvullende wetgeving.
1.1. Ratio legis van de GDPR
29. Om het noodzakelijke vertrouwen te kunnen blijven bieden in het digitale tijdperk waar we de
dag van vandaag in leven, waren er nieuwe regels nodig voor de privacy- en gegevensbescherming van
de Europese burgers (waaronder dus ook de patiënten van de algemene ziekenhuizen in de EU). Naar
aanleiding van deze noodzaak ging in mei 2018 de GDPR van kracht. De verordening heeft een dubbele
doelstelling.
Ten eerste wil de GDPR de Europese regelgeving inzake de bescherming van persoonsgegevens
moderniseren wegens de vooruitgang van nieuwe technologieën. Ze zorgt ervoor dat op een nieuwe
manier omgegaan moet worden met persoonsgegevens en alle burgers een kwalitatief hoogstaande
bescherming krijgen bij de verwerking van hun persoonsgegevens61. Zo beoogt de Europese Unie o.a.
dat de burgers terug meer controle krijgen over hun persoonsgegevens62.
Deze doelstelling vormt bovendien een mooie gelegenheid om bestaande gegevensverwerkingen en
reeds genomen maatregelen te analyseren, te herbekijken en te optimaliseren waar nodig63. Bijgevolg
60 Art. 99 GDPR. 61 D. DE BOT, GDPR: hoe op een pragmatische wijze aan de nieuwe privacywetgeving voldoen?, Leuven, Indicator, 2018, p 2. 62 S. CALLENS, “Impact van de algemene verordening gegevensbescherming”, De Artsenkrant, 2016, nr. 2450, p 19. 63 P. DE BACKER, Data protection & privacy – De GDPR in de praktijk, Voorwoord, Limal, Anthemis, 2017, p 9.
18
zal dit leiden tot efficiëntere processen van gegevensverwerking en een groter vertrouwen bij de
betrokkenen64 teweegbrengen65.
De tweede doelstelling van de nieuwe Europese verordening is komaf maken met de
uiteenlopende toepassing van gegevensbeschermingsregels in de verschillende EU-landen. Verdere
harmonisatie binnen de EU wordt nagestreefd. Door de regels binnen de EU gelijkvormig te maken,
tracht men het regelgevend kader voor al dan niet grensoverschrijdende verwerkingen van
persoonsgegevens te vereenvoudigen en zo het vrij verkeer van persoonsgegevens op een veilige
manier te garanderen. Het oorspronkelijk doel van de GDPR was immers de Europese digitale markt
toegankelijker te maken en dus het verkeer van digitale gegevens en diensten te stimuleren66.
Ondanks de nagestreefde harmonisatie, blijft toch een bepaalde diversiteit behouden binnen de
Europese Unie omdat verschillende aspecten van de GDPR verder ingevuld moeten worden door de
nationale wetgevers67. Op verschillende vlakken verschillen de nationale wetteksten nog steeds.
30. Kortom door de invoering van de GDPR moeten ziekenhuizen in eerste instantie op een nieuwe
gemoderniseerde manier omgaan met persoonsgegevens. Dit laat de ziekenhuizen bovendien toe om
bij hun verdere digitale ontwikkeling uitgevoerde of nog uit te voeren gegevensverwerkingen en
maatregelen te herzien en te verbeteren. Daarnaast zorgt de GDPR ervoor dat de verwerking van
persoonsgegevens in alle ziekenhuizen op een uniforme wijze zal gebeuren, dit heeft positieve
gevolgen voor gegevensuitwisseling tussen de verschillende zorgvoorzieningen.
Dit alles draagt uiteindelijk bij tot een hoger niveau van privacy- en gegevensbescherming en een
kwaliteitsvollere zorg in de ziekenhuizen.
31. Over het algemeen lost de GDPR enerzijds heel wat zaken op en creëert anderzijds soms meer
vragen. De nieuwe verordening vormt vooral een grote hefboom om meer bewustzijn te creëren bij
de mensen, hoewel er reeds veel gelijkaardige zaken ingevoerd waren met de voormalige
Privacyrichtlijn. In het ziekenhuislandschap fungeert de GDPR als ‘grote hamer’ om de mensen nog
meer het belang van privacy en gegevensbescherming te laten inzien.68
64 Diegene over of van wie persoonsgegevens worden verwerkt – Zie artikel 4, lid 1 GDPR. 65 P. DE BACKER, Data protection & privacy – De GDPR in de praktijk, Voorwoord, Limal, Anthemis, 2017, p 10. 66 P. DE BACKER, Data protection & privacy – De GDPR in de praktijk, Voorwoord, Limal, Anthemis, 2017, p 9. 67 Zie uitgebreid in Deel II, titel 1.2. 68 Interview met André Orban, DPO van AZ Alma te Eeklo, op woensdag 17 april.
19
1.2. Rechtstreeks toepasselijk, met een beperkte marge voor de lidstaten
32. Met de GDPR wordt een hoge mate van privacy- en gegevensbescherming nagestreefd.
Vandaar dat de Europese wetgever in deze context werkt met een Europese verordening i.p.v. met
een Europese richtlijn. Aangezien de GDPR een verordening is, is deze verbindend in al haar
onderdelen en in heel de EU rechtstreeks toepasselijk op alle Europese burgers en ondernemingen die
onder het toepassingsgebied van de verordening vallen69. Ze moet niet meer omgezet worden in
nationale wetgeving om van toepassing te zijn in de lidstaten.70
Het hoog beschermingsniveau zou onvoldoende uniform verzekerd worden door middel van
een Europese richtlijn71. Een richtlijn heeft namelijk geen directe werking in de EU-lidstaten en moet
bijgevolg wel nog omgezet worden in nationale wetgeving. Bovendien is een Europese richtlijn in
beginsel slechts gericht tot de nationale overheden en is ze enkel verbindend ten aanzien van het te
bereiken resultaat voor elke lidstaat waarvoor zij bestemd is, de nationale instanties mogen hiervoor
zelf de vorm en middelen bepalen72.73
33. In principe moet de nieuwe Europese verordening niet meer omgezet worden in nationale
wetgeving omwille van haar directe werking, maar de GDPR regelt een aantal aspecten bewust niet,
waardoor aanvullende nationale wetgeving wel essentieel is. De verordening laat de EU-lidstaten
uitdrukkelijk toe om op een aantal vlakken afwijkende of strengere nationale bepalingen vast te leggen.
Zo moet elke lidstaat zelf het statuut bepalen van haar toezichthoudende autoriteit, kan o.a. een
lidstaat ervoor kiezen om minderjarigen ook onder de leeftijd van 16 jaar zelfstandig toestemming te
laten geven bij gebruik van sociale media74 of om uitzonderingen toe te staan op rechten voorzien in
de verordening…75
69 Art. 288, lid 2 Verdrag betreffende de Werking van de Europese Unie (hierna: VWEU). 70 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 2. 71 M. CAPRONI en S. DE SMEDT, Praktische gids privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 6. 72 Art. 288, lid 3 VWEU. 73 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 3. 74 Op voorwaarde dat die leeftijd niet onder 13 jaar ligt – Zie Art. 8, lid 1 GDPR m.b.t. diensten die informatiemaatschappijen rechtstreeks aanbieden aan kinderen; Deze leeftijd wordt in België vastgelegd op 13 jaar oud in artikel 7 Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, Pb.L. 5 september 2018, p 68617. 75 M. CAPRONI en S. DE SMEDT, Praktische gids privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 5; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 3; Zorgnet-Icuro, “Kaderwet Privacy – overzicht nieuwe bepalingen over wetenschappelijk onderzoek op gezondheidsgegevens”, Informatienota 2018/135.
20
Aangezien de lidstaten op bepaalde vlakken over enige marge beschikken, was de tussenkomst van de
Belgische wetgever vereist voor het verder concretiseren van de GDPR. Dat heeft dan geleid tot de wet
van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit76 en de nieuwe Kaderwet
van 30 juli 2018 betreffende gegevensbeschermingsrecht in België77.
1.3. Inhoudelijke evolutie: Verhouding tussen het bestaande recht en de GDPR
34. Vanaf 25 mei 2018 is de GDPR van toepassing geworden in de gehele Europese Unie. De
verordening is een uitdieping van de bestaande regels omtrent gegevensbescherming en privacy,
waarin enerzijds reeds bestaande normen herbevestigd worden en anderzijds nieuwe normen worden
opgelegd.
1.3.1. Herbevestiging van principes, rechtsgronden en rechten
35. Wie reeds de vroegere regelgeving omtrent gegevensbescherming en privacy respecteerde,
zal grotendeels conform de GDPR handelen. Ten opzichte van de vroegere Privacyrichtlijn 95/46/EG is
er niet heel veel veranderd.
Zo zijn de basisbegrippen over het algemeen dezelfde gebleven, is het toepassingsgebied in belangrijke
mate behouden, zijn de meeste rechtsgrondslagen voor de verwerking dezelfde gebleven, gelden nog
altijd dezelfde basisbeginselen en zijn de basisrechten waarover de betrokkene beschikt, behouden78.
1.3.2. Belangrijke innovaties
36. Anderzijds brengt de GDPR een aantal nieuwigheden en aanzienlijke verbeteringen met zich
mee om de persoonsgegevens van de Europese burgers beter te beschermen tegen de vele en snelle
technologische ontwikkelingen. De GDPR breidt de vroegere privacywetgeving uit en specificeert
verschillende zaken (met meer afdwingmogelijkheden).
De belangrijkste nieuwigheden die door de Europese verordening worden ingevoerd, zijn de
volgende79:
76 Reeds besproken in Deel I, titel 1.3.2., B. 77 Reeds besproken in Deel I, titel 1.2.2. 78 D. DE BOT, GDPR: hoe op een pragmatische wijze aan de nieuwe privacywetgeving voldoen?, Leuven, Indicator, 2018, p 3. 79 M. CAPRONI en S. DE SMEDT, Praktische gids privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 11-12; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 5.
21
- Een aantal nieuwe begrippen zoals de ‘verwerkingsverantwoordelijke’ (controller) en de
‘verwerker’ (processor), met elk hun verplichtingen;
- Een aantal nieuwe concepten: de aanstelling van een ‘functionaris voor gegevensbescherming’
(data protection officer), het bijhouden van een register van de verwerkingsactiviteiten, het
uitvoeren van een gegevensbeschermingseffectbeoordeling (data protection impact assessment),
een meldingsverplichting bij incidenten, het aansluiten bij certificeringsmechanismen of
gedragscodes;
- De principes ‘privacy door ontwerp’ (privacy by design) en ‘privacy door standaardinstellingen’
(privacy by default);
- Strengere vereisten voor toestemming als rechtsgrondslag;
- Een belangrijk nieuw beginsel, namelijk de ‘verantwoordingsplicht’ van de
verwerkingsverantwoordelijke;
- Enkele nieuwe rechten voor de betrokkene (het recht op gegevenswissing, overdraagbaarheid,
enz.);
- Uitgebreide controle- en sanctiebevoegdheden voor de toezichthoudende autoriteiten.
37. Kortom, de nieuwe verordening houdt geen grote revolutie in, maar is eerder een evolutie van
wat reeds bestond. De evolutie bestaat uit wijzigingen en uitbreidingen in het kader van de vele digitale
en technologische ontwikkelingen op het vlak van het omgaan met persoonsgegevens.80
2. Het toepassingsgebied van de GDPR
38. Alvorens kan worden ingegaan op de implementatie van de GDPR, is het belangrijk na te gaan
in welke gevallen, op wie, waar en vanaf wanneer de nieuwe Europese verordening precies van
toepassing is. De GDPR heeft een ruim toepassingsgebied en is zonder enige twijfel van toepassing op
het ziekenhuislandschap. Hieronder volgt een korte uiteenzetting van het materieel, territoriaal en
temporeel toepassingsgebied.
2.1. Materieel toepassingsgebied
39. De GDPR is van toepassing op de verwerking van persoonsgegevens die geheel of gedeeltelijk
door geautomatiseerde middelen uitgevoerd wordt, evenals op de niet-geautomatiseerde verwerking
80 D. DE BOT, GDPR: hoe op een pragmatische wijze aan de nieuwe privacywetgeving voldoen?, Leuven, Indicator, 2018, p 4.
22
wanneer persoonsgegevens opgenomen worden in een gestructureerd bestand of hiertoe bestemd
zijn81.
Het is hierbij belangrijk de definities van de begrippen ‘persoonsgegevens’, ‘verwerking’ en ‘bestand’
meer in detail te gaan bekijken, want door de ruime omschrijvingen en interpretaties van die
begrippen wordt duidelijk dat de GDPR een zeer breed toepassingsgebied heeft en dat de algemene
ziekenhuizen zeker aan deze verordening onderworpen zijn.
2.1.1. Het begrip ‘persoonsgegevens’
40. De GDPR is enkel van toepassing op persoonsgegevens. In het eerste lid van artikel 4 van de
GDPR wordt gedefinieerd wat onder ‘persoonsgegevens’ verstaan moet worden: “alle informatie over
een geïdentificeerde of identificeerbare natuurlijke persoon (de “betrokkene”); als identificeerbaar
wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name
aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een
online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische,
genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.
Deze term omvat dus in de eerste plaats elk gegeven dat een natuurlijke persoon onmiddellijk
onderscheidt van andere personen, zoals een naam, thuisadres, telefoonnummer, e-mailadres of
uiterlijke kenmerken82. Ten tweede houdt de term ook elk gegeven of elke combinatie van gegevens
in aan de hand waarvan een natuurlijke persoon direct of indirect kan worden geïdentificeerd (ook wel
‘identificatoren’ of ‘identificatiemiddelen’ genoemd), zijnde een IP-adres, geboortedatum,
rijksregisternummer, nummerplaat, bankrekeningnummer, beroepsactiviteit, locatiegegevens… en
gezondheidsgegevens83. Het is immers mogelijk om een bepaalde persoon te identificeren door losse
gegevens samen te voegen, door een combinatie te maken van gegevens die op zich niet tot een
rechtstreekse identificatie leiden, dan wordt ook gesproken van persoonsgegevens84.
81 Art. 2, lid 1 GDPR. 82 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Advies over het begrip persoonsgegevens, 20 juni 2007, nr. 4/2007, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/ wp136_nl.pdf, p. 13. 83 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Advies over het begrip persoonsgegevens, 20 juni 2007, nr. 4/2007, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/ wp136_nl.pdf, p. 13 – 15; Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 4. 84 Europese Commissie, “Wat zijn persoonsgegevens?”, geraadpleegd op 10 maart 2019 via https://ec.europa.eu/ info/law/law-topic/data-protection/reform/what-personal-data_nl; M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 16 - 17.
23
Uit deze definitie van persoonsgegevens blijkt duidelijk dat het begrip ruim geïnterpreteerd moet
worden85.
41. Daarnaast zijn er binnen het geheel van bovenstaande persoonsgegevens twee grote
gegevenscategorieën die in principe niet mogen verwerkt worden, behalve in heel strikt omschreven
gevallen. Deze categorieën worden bestempeld als ‘gevoelige gegevens’, namelijk de
‘persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten’ uit artikel 10 van
de GDPR en de ‘bijzondere categorieën van persoonsgegevens’ uit artikel 9, lid 1 van de GDPR. Dit
laatste artikel omvat genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens
m.b.t. iemands seksueel gedrag of seksuele geaardheid, ras, etnische afkomst, politieke opvattingen,
religieuze of levensbeschouwelijke overtuigingen of lidmaatschap van een vakbond.
Algemene ziekenhuizen verwerken zonder enige twijfel veel gevoelige persoonsgegevens, in
het bijzonder gezondheidsgegevens. ‘Gezondheidsgegevens’ worden in de GDPR omschreven als “alle
persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke
persoon [in het verleden, het heden en de toekomst], waaronder gegevens over verleende
gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.”86 In de
gedragscode van Zorgnet-Icuro wordt de definitie aangevuld en verduidelijkt met de volgende gevallen:
“Dit omvat informatie over de natuurlijke persoon die is verzameld in het kader van de registratie voor
of de verlening van gezondheidszorgdiensten87; een aan een natuurlijke persoon toegekend cijfer,
symbool of kenmerk dat als unieke identificatie van die natuurlijke persoon geldt voor
gezondheidsdoeleinden; informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel
of lichaamseigen stof, met inbegrip van genetische gegevens en biologische monsters; en informatie
over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of
de fysiologische of biomedische staat van de betrokkene, ongeacht de bron, zoals bijvoorbeeld een
85 Hierbij moet opgemerkt worden dat de GDPR enkel betrekking heeft op persoonsgegevens van levende personen en niet van toepassing is op persoonsgegevens van overleden personen (zie overweging nr. 27 van de GDPR). Echter in bijvoorbeeld een medisch dossier van een overleden patiënt, kan informatie terug te vinden zijn over familie, verpleegkundigen, artsen enz. Dergelijke informatie blijft een persoonsgegeven, ook al is de persoon over wie het medisch dossier gaat overleden (zie White Wire, “Wat is een persoonsgegeven?”, 25 juni 2017, geraadpleegd op 10 maart 2019 via https://whitewire.be/wat-is-een-persoonsgegeven-2/).
Tenslotte vallen persoonsgegevens niet onder het gegevensbeschermingsrecht wanneer ze volledig geanonimiseerd zijn, waarbij er geen enkele mogelijkheid meer is om een persoon op eender welke manier te individualiseren (zie M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 18). 86 Art. 4, lid 15 GDPR. 87 “Dit zijn alle diensten van gezondheidswerkers om de gezondheidstoestand van een patiënt te beoordelen, te behouden of te herstellen (bv. diagnoseonderzoek, operatieve ingreep, voorschrijven van geneesmiddelen of medische hulpmiddelen.”
24
arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-
vitrodiagnostiek.”88 Bij de verwerking van die gezondheidsgegevens is een extra waakzaamheid vereist,
een hogere beschermingsgraad, aangezien hun openbaarmaking meer risico’s met zich meebrengt
voor de betrokkene.
42. Tot slot worden de persoonsgegevens door de Belgische Gegevensbeschermingsautoriteit in
verschillende categorieën onderveeld, dit maakt het in de praktijk makkelijker om in kaart te brengen
welke ‘soorten’ gegevens precies verwerkt worden89.
In de context van een algemeen ziekenhuis zijn de persoonsgegevens van hoofdzakelijk de patiënten,
medewerkers (zowel werknemers als zelfstandigen), familieleden, bezoekers en andere derden (zoals
een leverancier) van belang. Het zal in de praktijk onder andere gaan over persoonlijke
identificatiegegevens (naam, adres, telefoon, e-mail), financiële gegevens (facturatiegegevens van
leveranciers), fysieke gegevens (uiterlijk, grootte, gewicht), psychische gegevens (karaktertrekken),
persoonlijke kenmerken (leeftijd, nationaliteit, burgerlijke staat, relatie met de patiënt),
leefgewoontes (tabak- en alcoholgebruik, reizen), beroepsactiviteiten (functie, curriculum vitae,
evaluaties, loon, uurrooster), samenstelling van het gezin, geluids- en beeldmateriaal (foto’s, x-rays,
bewakingsbeelden), gezondheidsgegevens (bloedgroep, aandoeningen, diagnoses, medicatie,
verslagen, dossiers)…
2.1.2. Het begrip ‘verwerking’
43. Het begrip ‘verwerking’ heeft betrekking op elke bewerking of geheel van bewerkingen m.b.t.
persoonsgegevens, al dan niet op een geautomatiseerde wijze uitgevoerd 90 . De bewerking of
manipulatie van gegevens kan enerzijds handmatig gebeuren, zonder geautomatiseerde processen of
anderzijds geïnformatiseerd via een geautomatiseerd proces (bijvoorbeeld een gecomputeriseerd
algortime). Wanneer het gaat over een geautomatiseerde verwerking kan dat soms gepaard gaan met
menselijke tussenkomst, de verwerking hoeft niet telkens enkel via een geautomatiseerd procedé te
gebeuren91.
88 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 28. 89 M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 19 - 20; Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 5 en 7. 90 Art. 4, lid 2 GDPR. 91 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 29.
25
Voorts is in artikel 4, lid 2 van de GDPR een opsomming terug te vinden van wat allemaal onder de
term ‘verwerking’ kan verstaan worden: “het verzamelen, vastleggen, ordenen, structureren, opslaan,
bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending,
verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen
of vernietigen van gegevens”. De opsomming omvat zo goed als elke handeling die met betrekking tot
persoonsgegevens gesteld kan worden, vertrekkende van de verzameling tot de vernietiging ervan92.
Zo worden bijvoorbeeld gezondheidsgegevens van patiënten verzameld, bewaard en versleuteld in
een elektronisch patiëntendossier en kan na een specifieke bewaartermijn overgegaan worden tot de
vernietiging van het patiëntendossier. Dit voorbeeld illustreert verschillende verwerkingen die
achtereenvolgens kunnen plaatsvinden in de praktijk en telkens onder het toepassingsgebied van de
GDPR vallen.
De term ‘verwerking’ wordt zodanig ruim gedefinieerd dat ze ongeveer elke mogelijke manipulatie van
persoonsgegevens omvat93.
2.1.3. Het begrip ‘bestand’
44. Zoals reeds aangehaald is de GDPR niet alleen van toepassing op geautomatiseerde
verwerkingen, maar ook op elke niet-geautomatiseerde verwerking van persoonsgegevens die in een
bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Volgens de GDPR kan
als ‘bestand’ beschouwd worden “elk gestuctureerd geheel van persoonsgegevens die volgens
bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan
wel op functionele of geografische gronden is verspreid.”94 Deze definitie draagt bij aan het breed
toepassingsgebied van de verordening omdat een gestructureerd geheel van papieren dossiers of
fiches in de praktijk bijna altijd volgens specifieke criteria toegankelijk zullen zijn, bijvoorbeeld op basis
van een nummering, alfabetisch of chronologisch.
45. Bovendien maken deze toepassingsgevallen de gegevensbescherming technologieneutraal.
Want doordat de GDRP zowel van toepassing is op geautomatiseerde als handmatige verwerkingen
92 M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 22. 93 D. DE BOT, GDPR: hoe op een pragmatische wijze aan de nieuwe privacywetgeving voldoen?, Leuven, Indicator, 2018, p 8. 94 Art. 4, lid 6 GDPR.
26
van persoonsgegevens, vallen al die persoonsgegevens onder de beschermingsvereisten van de
verordening, ongeacht de gebruikte technologie voor de verwerking.95
2.1.4. Conclusie en uitsluitingen
46. Op basis van de overlopen definities kan geconcludeerd worden dat elke handmatig of
gecomputeriseerde bewerking van gegevens die kunnen gelinkt worden aan mogelijk identificeerbare
levende personen, onder het toepassingsgebied van de GDPR valt96.
47. Echter, hoewel de GDPR een ruim toepassingsgebied heeft, mag de reikwijdte van de regels
van gegevensbescherming niet te ver uitgerekt worden. In het tweede lid van artikel 2 van de GDPR
wordt verduidelijkt wanneer de GDPR niet van toepassing is op een verwerking van persoonsgegevens.
Dat is onder andere het geval wanneer een natuurlijke persoon persoonsgegevens verwerkt bij de
uitoefening van een zuiver persoonlijke of huishoudelijke activiteit, zoals voor een persoonlijke agenda
of privéadressenbestand97.
In principe vallen de verwerkingen die plaatsvinden in algemene ziekenhuizen niet onder de
uitsluitingsgronden van artikel 2 van de verordening98.
2.2. Personeel toepassingsgebied
48. Elke entiteit die persoonsgegevens op één van voorgaande manieren verwerkt, moet dat doen
conform het gegevensbeschermingsrecht van de GDPR. Zowel natuurlijke personen als
95 Europese Commissie, “Wat zijn persoonsgegevens?”, geraadpleegd op 10 maart 2019 via https://ec.europa.eu/ info/law/law-topic/data-protection/reform/what-personal-data_nl; M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 15. 96 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 6. 97 Art. 2, lid 2, c GDPR; M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 15. 98 De huishoudelijke uitzondering geldt bij het publiceren van beeldmateriaal op sociale netwerken, zoals een privé-account van Facebook. Deze publicatie door bijvoorbeeld een zorgverlener van het ziekenhuis, houdt bijgevolg een verwerking in die niet onder de GDRP valt (Zie D. DE BOT, GDPR: hoe op een pragmatische wijze aan de nieuwe privacywetgeving voldoen?, Leuven, Indicator, 2018, p 11 - 12). Niettemin mag een zorgverlener geen identificeerbare informatie over patiënten delen op zijn sociale media aangezien bepaalde derden daar toegang tot hebben. Het bekendmaken op sociale netwerken van identificeerbare informatie van patiënten impliceert, zeker zonder diens toestemming, een schending van het medisch beroepsgeheim (Zie Orde Der Artsen, Nationale Raad, “Artsen en digitale media”, Tijdschrift Nationale Raad 2015, nr. 148 (fictieve nummering), geraadpleegd via www.ordomedic.be/nl/adviezen/advies/artsen-en-digitale-media).
Bovendien moet de huishoudelijke uitzondering streng geïnterpreteerd worden, zodat de publicatie van beelden op het openbare internet de persoonlijke of huishoudelijke doeleinden vaak overstijgt en waardoor het gegevensbeschermingsrecht wel van toepassing is (Zie M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 15).
27
rechtspersonen, feitelijke verenigingen of openbare besturen moeten de bepalingen van de GDPR
naleven. De regelgeving zal dan ook van toepassing zijn op de algemene ziekenhuizen en alle actoren
die in of samen met de ziekenhuizen werken.
49. De Europese verordening maakt in deze context een essentieel onderscheid tussen de
‘verwerkingsverantwoordelijke’ (controller) en de ‘verwerker’ (processor). In hoofdstuk 4.2. van dit
deel worden de twee nieuwe begrippen uitgebreid besproken. Samengevat is de ‘verantwoordelijke
voor de verwerking’ elke entiteit die alleen of samen met anderen het doel en de middelen van de
verwerking bepaalt 99 . Terwijl de ‘verwerker’ degene is die ten behoeve van de
verwerkingsverantwoordelijke de persoonsgegevens effectief verwerkt, voor het doel en met de
middelen bepaald door de verantwoordelijke 100 . Naargelang de kwalificatie gelden er specifiek
wettelijke verplichtingen en sancties.
2.3. Territoriaal toepassingsgebied
50. Het territoriaal toepassingsgebied van de GDPR is ruimer dan dat van de voormalige
privacywetgeving. De GDPR is van toepassing op de verwerking van persoonsgegevens wanneer de
verwerkingsverantwoordelijke of verwerker gevestigd 101 is in de Europese Unie, ongeacht of de
verwerking effectief plaatsvindt in de EU102. De algemene ziekenhuizen en hun actoren zijn gevestigd
in de EU op het Belgisch grondgebied. Die vestiging in België zal er bovendien toe leiden dat het
toezicht op de nationale naleving van de GDPR, toekomt aan de Belgische toezichthoudende autoriteit,
namelijk door de Gegevensbeschermingsautoriteit.
Daarnaast vallen ook de verwerkingsverantwoordelijken of verwerkers die niet in de EU gevestigd zijn
onder het territoriaal toepassingsgebied van zodra zij persoonsgegevens van ‘personen in de EU’
verwerken103. Dat is het geval wanneer goederen of diensten aan de EU-burgers worden aangeboden
99 Art. 4, lid 7 GDPR. 100 Art. 4, lid 8 GDPR. 101 Wat precies onder ‘gevestigd’ verstaan moet worden, is in detail uiteengezet door het Europees Comité voor gegevensbescherming: EUROPEAN DATA PROTECTION BOARD (EDPB), Guidelines on the territorial scope of the GDPR (Article 3), 16 november 2018, nr. 3/2018, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_ guidelines_3_2018_territorial_scope_en.pdf; Zie ook M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 26 - 27. 102 Art. 3, lid 1 GDPR. 103 M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 26.
28
of wanneer het gedrag van de EU-burgers in de Unie gemonitord worden 104 . In het
ziekenhuislandschap gaat het in deze context bijvoorbeeld over software-leveranciers die niet in de
EU gevestigd zijn, maar wel software voor professionele computerprogramma’s gaan aanbieden aan
de Belgische ziekenhuizen en hun actoren om persoonsgegevens te verwerken.
2.4. Temporeel toepassingsgebied
51. De GDPR vervangt de voormalige Europese Privacyrichtlijn van 1995. De richtlijn werd
ingetrokken vanaf 25 mei 2018105, op het ogenblik dat de nieuwe Europese verordening effectief van
toepassing is geworden. De GDPR trad immers in werking op 24 mei 2016, maar er werd een
overgangsperiode van twee jaar voorzien waardoor alle entiteiten tot 25 mei 2018 de tijd kregen om
zich aan de nieuwe eisen van de GDPR aan te passen106.
3. Herbevestiging van de basisbeginselen en de nieuwe
verantwoordingsplicht
52. In de algemene ziekenhuizen vinden dagelijks zeer veel verwerkingen van persoonsgegevens
plaats. De persoonsgegevens mogen echter niet zomaar op eender welke manier verwerkt worden.
De GDPR wil een hoger beschermingsniveau bieden aan de betrokkenen, diegene wiens
persoonsgegevens verwerkt worden en schrijft dan ook een aantal basisbeginselen voor waaraan een
verwerking steeds moet voldoen. De algemene beginselen in de verordening vormen eigenlijk een
herbevestiging van de beginselen die reeds opgenomen waren in de voormalige Privacyrichtlijn
95/46/EG, met uitzondering van één nieuw verwerkingsprincipe, nl. de verantwoordingsplicht
(accountability).
Hierna worden de verschillende basisbeginselen toegelicht, waarbij speciale aandacht wordt
geschonken aan de verantwoordingsplicht en vervolgens wordt het belangrijk rechtmatigheidsprincipe
van dichterbij bekeken.
104 Art. 3, lid 2 GDPR. 105 Art. 94, lid 1 GDPR. 106 Art. 99 GDPR.
29
3.1. Naleving van de zeven basisbeginselen
53. Artikel 5 van de GDPR lijst zeven basisbeginselen op die essentieel zijn voor een rechtmatige
verwerking van persoonsgegevens. Het vormen belangrijke principes die bij elke verwerking moeten
nageleefd worden. De eerste zes beginselen bestonden reeds onder de vroegere privacywetgeving,
enkel de verantwoordingsplicht vormt een volledig nieuw verwerkingsprincipe. Vanaf de invoering van
de GDPR moeten entiteiten kunnen aantonen dat gegevens op een correcte manier verwerkt worden,
alles goed documenteren, is dus de boodschap.
Bovendien draagt de GDPR bij tot een betere naleving van de basisbeginselen d.m.v. sterke
afdwingingsmechanismen, in onder andere de rechten van de betrokkenen en de
sanctiemogelijkheden. Dat is een goede zaak voor België, aangezien de beginselen niet altijd even
consistent werden toegepast onder onze vroegere wetgeving (i.t.t. Frankrijk en Nederland)107.
3.1.1. Rechtmatigheid, behoorlijkheid en transparantie (lawfulness, fairness and transparancy)
54. Krachtens de GDPR moeten persoonsgegevens telkens verwerkt worden “op een wijze die ten
aanzien van de betrokkene rechtmatig, behoorlijk en transparant is”108. Deze omschrijving bevat zowel
een rechtmatigheidsbeginsel als een transparantiebeginsel en de term ‘behoorlijk’ kan gelezen worden
als ‘eerlijk’109.
55. Het rechtmatigheidsbeginsel vormt een fundamenteel verwerkingsprincipe. Voor elke
verwerking moet een duidelijke rechtsgrond, wettelijke basis beschikbaar zijn. In lid 1 van artikel 6 van
de GDPR worden de zes mogelijke verwerkingsgrondslagen opgesomd. Indien de verwerking niet
gesteund kan worden op 1 van deze zes grondslagen, worden persoonsgegevens op een
onrechtmatige wijze verwerkt, wat een inbreuk inhoudt op de GDPR. Kort samengevat gaat het over
volgende gerechtvaardigde vewerkingsgronden:
a) De toestemming van de betrokkene;
b) De noodzaak voor de uitvoering van een overeenkomst;
c) Een wettelijke verplichting;
d) De noodzaak om vitale belangen van de betrokkene of een andere persoon te beschermen;
e) De noodzaak om een taak van algemeen belang uit te voeren;
f) De noodzaak voor gerechtvaardigde belangen.
107 Interview met André Orban, DPO van AZ Alma te Eeklo, op woensdag 17 april. 108 Art. 5, lid 1, a GDPR. 109 Naar analogie van de Engelse term ‘fairly’ die gehanteerd wordt in de Engelstalige versie van de GDPR.
30
Bovenop bovenstaande wettelijke grondslagen, is nog een extra juridische grondslag vereist voor het
verwerken van gevoelige gegevens, zoals gezondheidsgegevens. Zoals reeds eerder aangehaald is in
principe de verwerking van dergelijke gevoelige gegevens verboden 110 . De GDPR laat enkel in
uitzonderlijke gevallen de verwerking van deze gegevens toch toe, namelijk indien één van de
rechtvaardigingsgronden uit het tweede lid van artikel 9 aanwezig zijn. Dit kan bijvoorbeeld opnieuw
de uitdrukkelijke toestemming van de patiënt inhouden of een andere noodzaak.
In titel 3.2. van dit hoofdstuk wordt het rechtmatigheidsprincipe specifiek voor de algemene
ziekenhuizen verder in detail uiteengezet.
56. Overweging 39 van de GDPR geeft duidelijk weer wat onder het transparantiebeginsel
verstaan moet worden: Het moet voor personen duidelijk zijn dat hun gegevens verwerkt worden en
over welke gegevens het dan precies gaat. Het transparantiebeginsel vereist bovendien dat alle
informatie of communicatie met betrekking tot de gegevensverwerking gemakkelijk toegankelijk en
begrijpelijk is, door duidelijke en eenvoudige taal te gebruiken. Artikel 12 van de GDPR bevestigt dat
de informatie en communicatie aan de betrokkene transparant moet gebeuren en bepaalt bijkomstig
hoe, door wie en wanneer dit alles verstrekt moet worden. In Deel III van deze masterproef worden
deze regels uitgebreid toegelicht. Bovendien zal dan duidelijk blijken dat het transparantiebeginsel
vormt krijgt via het recht van de betrokkene op informatie over de verwerking van zijn
persoonsgegevens. Iedere betrokkene heeft namelijk het recht om vooraleer de verwerking van start
gaat, bepaalde informatie daarover te verkrijgen111.
3.1.2. Doelbinding (purpose limitation)
57. Doelbinding vormt een belangrijk beginsel bij de rechtmatige verwerking van
persoonsgegevens en wordt ook wel het ‘finaliteitsbeginsel’ genoemd. Het houdt in dat
“persoonsgegevens verzameld moeten worden voor welbepaalde, uitdrukkelijk omschreven en
gerechtvaardigde doeleinden en vervolgens niet verder op een met die doeleinden onverenigbare
wijze mogen worden verwerkt […]” 112 . De entiteit die overgaat tot het verwerken van
persoonsgegevens moet dus altijd een welbepaald doel voor ogen hebben voor elke specifieke
verwerking. Het bepalen van de doeleinden is heel belangrijk omdat bij het vaststellen van de
rechtsgrondslag van een verwerking, telkens een terugkoppeling zal gemaakt worden naar het
110 Art. 9, lid 1 GDPR. 111 Art. 13 en 14 GDPR. 112 Art. 5, lid 1, b GDPR.
31
welbepaald doeleinde, dat legitiem moet zijn. Een algemeen ziekenhuis zal onder andere volgende
doeleinden voor ogen hebben bij het uitvoeren van gegevensverwerkingen113:
- Het verstrekken van gezondheidszorg aan patiënten en het stellen van medische diagnosen;
- Het beschermen van vitale belangen van patïenten;
- Het beschermen van de volksgezondheid;
- Het beheren van overeenkomsten met leveranciers (van bv. software, medicatie, apparatuur), het
leveranciersbeheer;
- In orde zijn met de boekhouding;
- Voor het onderhouden van interne communicatie en public relations;
- Voor personeelsadministratie;
- Het nakomen van verplichtingen op het gebied van arbeidsrecht of sociale zekerheid;
- Voor veiligheid te garanderen, waarbij gebruik wordt gemaakt van bijvoorbeeld camerabewaking;
- …
58. Per verwerking moet een specifiek (nauwkeurig afgebakend) en zeer duidelijk omschreven
doeleinde bepaald worden. Het oorspronkelijke doeleinde van een verwerking wordt hierna ‘primair
doel’ genoemd. In de rechtsleer wordt ook gesproken van ‘primaire verwerking’ als het gaat over de
vewerking voor het oorspronkelijke doeleinde114. Het is bovendien belangrijk dat het primair doel
telkens vastgesteld wordt vóórdat de verwerking van start gaat. Vooraleer entiteiten gegevens
verzamelen, moet men eerst nadenken in functie van welk doel dit nodig is. Zo wordt ook het beginsel
van minimale gegevensverwerking gerespecteerd (zie volgende titel).
59. Wanneer het doeleinde van een verwerking is bepaald, mogen de persoonsgegevens alleen
voor dat primair doel verwerkt worden. Indien na de primaire verwerking een tweede verwerking volgt
met een ander doeleinde dan dat op voorhand aangegeven werd, mogen de persoonsgegevens in
principe niet opnieuw verwerkt worden voor dat ander doeleinde, voor een doeleinde dat
onverenigbaar is met het primair legitiem doel. Bijvoorbeeld als een algemeen ziekenhuis gebruik
maakt van camerabewaking om de veiligheid te garanderen, mogen de camerabeelden niet zomaar
verwerkt worden in een promotiefilmpje van het ziekenhuis. Hetzelfde geldt voor beeldmateriaal
verkregen bij het stellen van medische diagnoses, dat beeldmateriaal mag dan niet zomaar gebruikt
worden voor educatieve doeleinden. Elke verdere verwerking vereist in beginsel een nieuw legitiem
113 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 8; Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 5. 114 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 9.
32
doeleinde en een nieuwe rechtsgrondslag, namelijk de toestemming van de betrokkene of een
specifieke bepaling in het EU-recht of Belgisch recht115.
Daarentegen, wanneer persoonsgegevens verder verwerkt worden voor een ander doeleinde, maar
dat andere doeleinde is verenigbaar met het doel waarvoor de gegevens oorspronkelijk werden
verkregen, vormt dit geen probleem 116 . In de eerste plaats beschouwt de GDPR een verdere
verwerking van inititeel verzamelde gegevens met het oog op archivering in het algemeen belang,
wetenschappelijk of historisch onderzoek of statistische doeleinden als verenigbaar met het primair
doel117. Hiertoe moeten wel passende waarborgen voorzien worden en moet er een wettelijke basis
terug te vinden zijn in het EU-recht of Belgisch recht118. Ten tweede reikt de GDPR een aantal criteria
aan, op basis waarvan beoordeeld kan worden of het doel van de verdere verwerking ‘verenigbaar’ is
met het primair doel. Het algemeen ziekenhuis zal telkens in concreto, geval per geval deze
beoordeling moeten maken119. Om na te gaan of de doeleinden verenigbaar zijn met elkaar, kan
rekening gehouden worden met120:
- Het verband tussen de doeleinden: Omvat het primair doeleinde van de oorspronkelijke
verwerking impliciet het nieuwe doel van de verdere verwerking? Kan de verdere verwerking
beschouwd worden als een logische volgende stap na de eerste verwerking?
Ter illustratie: Een bezoeker geeft uitdrukkelijk zijn toestemming aan het ziekenhuis om zijn
contactgegevens te verwerken met het oog op het versturen van de digitale nieuwsbrief van het
ziekenhuis. Vervolgens gebruikt de zorgvoorziening die contactgegevens om de bezoeker uit te
nodigen voor de opening van een nieuwe dienst in die zorgvoorziening. De uitnodiging houdt een
verdere verwerking in waarvan het doel verenigbaar is met het primaire doel, namelijk het
versturen van de digitale nieuwsbrief. De uitnodiging kan immers beschouwd worden als een
logische stap na de oorspronkelijke verwerking. Er wordt op een vergelijkbare manier tegemoet
gekomen aan de interesse van de bezoeker in de activiteiten van het ziekenhuis.
115 Art. 6, lid 4 GDPR. 116 Overweging 50 GDPR. 117 Art. 5, lid 1, b GDPR. 118 Art. 89 GDPR. 119 M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 42; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 85. 120 Art. 6, lid 4, a, b, c, d, e GDPR; GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Opinion on purpose limitation, 2 april 2013, nr. 03/2013, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf, p 23 - 27; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 85 - 86.
33
- Het kader of de specifieke context waarin de persoonsgegevens oorspronkelijk verwerkt werden:
Er wordt gekeken naar de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke
en naar de redelijke verwachtingen van de betrokkenen ten aanzien van het verder gebruik van de
persoonsgegevens in de context van de oorspronkelijke verwerking. Wat zijn de gebruikelijke
praktijken in dergelijke verhoudingen (rekening houdend met het machtsevenwicht tussen de
betrokkene en de verantwoordelijke)?
- De aard van de persoonsgegevens: Worden gevoelige persoonsgegevens verwerkt, zoals
gezondheidsgegevens? Zo ja, is er een grote terughoudendheid vereist om te spreken van
verenigbare doeleinden;
- De mogelijke gevolgen van de verdere verwerking voor de betrokkene (zowel positief, negatief als
emotioneel; bv. ontslag, openbaarmaking, irritatie): Hierbij kan de beschikbaarheid van minder
ingrijpende alternatieve methoden die tot hetzelfde resultaat leiden, in rekening worden gebracht;
- Het bestaan van passende waarborgen om een rechtmatige verwerking te waarborgen en om een
overmatige benadeling van de betrokkenen te voorkomen. Het betreft met name technische,
organisatorische maatregelen of aanvullende maatregelen ten behoeve van de betrokkenen: Is er
sprake van versleuteling of pseudonimisering? Wordt meer transparantie geboden of een
keuzemogelijkheid?
60. Kortom, telkens een algemeen ziekenhuis van start wil gaan met het verwerken van
persoonsgegevens, moet men eerst en vooral goed nadenken over het precieze doeleinde. Vervolgens
moet dat transparant gecommuniceerd worden aan de betrokkenen. Het doeleinde zal immers
bepalen wat er precies met de persoonsgegevens mag gebeuren, hoelang deze mogen bijgehouden
worden, enz. Wanneer nadien het ziekenhuis de reeds verzamelde persoonsgegevens voor een ander,
nieuw doeleinde wenst te gebruiken dat niet verenigbaar is met het primair doel, moeten de
betrokkenen daar terug op een transparante wijze over ingelicht worden en moet indien nodig hun
toestemming gevraagd worden (tenzij er een andere rechtsgrond ter beschikking is).121
3.1.3. Minimale gegevensverwerking (data minimalisation)
61. Het principe van minimale gegevensverwerking houdt in dat persoonsgegevens “toereikend
moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij
verwerkt worden”122. Een algemeen ziekenhuis mag enkel gegevens verwerken die effectief nodig en
121 M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 42. 122 Art. 5, lid 1, c GDPR.
34
relevant zijn voor het doeleinde waarvoor ze verwerkt worden123. In de praktijk moet men enerzijds
aan dataminimalisatie doen, waarbij het proportionaliteits- en subsidiariteitsbeginsel 124 moeten
nageleefd worden. Anderzijds mag het algemeen ziekenhuis ook niet te weinig gegevens verwerken,
want dan zou de kwaliteit van de verwerking in het gedrang kunnen komen125.
3.1.4. Juistheid (accuracy)
62. De GDPR schrijft voor dat persoonsgegevens steeds juist moeten zijn en zo nodig
geactualiseerd moeten worden, 126 want de gegevens moeten accuraat blijven. Er mogen geen
gegevens verwerkt worden die foute informatie aan een bepaalde persoon koppelen. Verder moeten
alle redelijke maatregelen getroffen worden opdat onjuiste, onnauwkeurige of onvolledige
persoonsgegevens zo snel mogelijk gewist of verbeterd worden. Het is dan ook aangeraden op
regelmatige basis controles uit te oefenen om de gegevens up-to-date te houden.
63. In deze context hebben de betrokkenen specifeke rechten, zoals het recht op rectificatie,
gegevenswissing, beperking van de verwerking enz127. Aangezien algemene ziekenhuizen met veel
gevoelige gegevens werken, is het des te belangrijker om voldoende mogelijkheden te bieden aan de
betrokkenen om na te kijken of zijn/haar gegevens wel correct zijn128. Ongeacht of de betrokkenen al
dan niet effectief gebruik maken van die rechten of mogelijkheden, moet een algemeen ziekenhuis
actieve maatregelen nemen om de juistheid van de persoonsgegevens na te gaan en waar nodig te
corrigeren. Het aannemen van een louter passieve of afwachtende houding is immers onverzoenbaar
met de (nieuwe) verantwoordingsplicht129.
3.1.5. Opslagbeperking (storage limitation)
64. Volgens het principe van de opslagbeperking mogen persoonsgegevens niet langer bewaard
worden in een vorm die het mogelijk maakt de betrokkenen te identificeren, dan noodzakelijk is voor
123 Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 12. 124 Kan het doeleinde van de verwerking redelijkerwijs op een minder ingrijpende wijze bereikt worden? (Overweging 39 GDPR). 125 M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 42. 126 Art. 5, lid 1, d GDPR. 127 Zie hierna in Deel III. 128 Meestal zal dit een IT-oplossing vragen - Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 13. 129 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 10.
35
de doeleinden waarvoor de persoonsgegevens worden verwerkt130. Persoonsgegevens mogen niet
voor eeuwig of niet langer dan nodig verzameld en bewaard worden. Het identificeerbaar bewaren
van persoonsgegevens moet beperkt worden in de tijd, tot wat strikt noodzakelijk is, waarbij het
doeleinde van de verwerking doorslaggevend is131. Een algemeen ziekenhuis moet dus telkens voor elk
doeleinde van een verwerkingsactiviteit een bewaartermijn vastleggen die bepaalt voor hoelang het
effectief nodig is persoonsgegevens bij te houden binnen dat doeleinde132. Vervolgens, wanneer de
bewaartermijn is verstreken, moet het algemeen ziekenhuis overgaan tot ofwel de vernietiging van de
persoonsgegevens ofwel de anonimisering ervan, want de identificatie van de betrokkenen is dan niet
langer nodig.
Indien het moeilijk is om op voorhand een concrete bewaartermijn vast te leggen, moeten minstens
de criteria worden aangegeven waarmee de bewaartermijn bepaald wordt133. Bovendien is het aan te
raden periodiek na te gaan of bepaalde persoonsgegevens nog wel vereist zijn binnen het welbepaald
doel134. Verder heeft de wetgever zelf reeds voor de algemene ziekenhuizen in een aantal situaties een
minimale bewaartermijn vastgelegd, die een indicatie vormt voor de gerechtvaardigde
maximumtermijn135:
- Het belangrijkste in deze context is dat het medisch dossier van een patiënt (waarin heel veel
gezondheidsgegevens terug te vinden zijn) gedurende minimum dertig jaar moet worden bewaard,
te rekenen vanaf het laatste contact met de patiënt136. De minimale bewaartermijn van 30 jaar
wordt nogmaals bevestigd in artikel 35 van de nieuwe wet inzake de kwaliteitsvolle praktijkvoering
in de gezondheidszorg, waarin bovendien voor het eerst ook een maximale bewaartermijn wordt
bepaald, namelijk maximum 50 jaar137.
130 Art. 5, lid 1, e GDPR. 131 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 10. 132 Opgelet, ook back-ups vallen onder het toepassingsgebied van het principe van de opslagbeperking. 133 M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 44. 134 Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 17. 135 D. DIERCKX, Europese privacywetgeving. Handleiding voor een procedure voor gegevensbescherming in zorgvoorzieningen, Brussel, Zorgnet-Icuro, 2017, p 19. 136 Art. 1, §3 Koninklijk besluit van 3 mei 1999 houdende bepaling van de algemene minimumvoorwaarden waaraan het medisch dossier, bedoeld in artikel 15 van de wet op ziekenhuizen, gecoördineerd op 7 augustus 1987, moet voldoen, Pb.L. 30 juli 1999, p 28462. 137 Art. 35 Wet van 22 april 2019 inzake de kwaliteitsvolle praktijkvoering in de gezondheidszorg, Pb.L. 14 mei 2019, p 46379.
36
- Sociale documenten, zoals de personeelsregisters en arbeidsovereenkomsten met studenten,
moeten 5 jaar worden bijgehouden138.
- Voor een uitgebreid overzicht van de wettelijke bewaartermijnen wordt doorgewezen naar de
Handleiding van Zorgnet-Icuro omtrent de procedure voor gegevensbescherming in
zorgvoorzieningen139.
In uitzonderlijke gevallen mogen de persoonsgegevens voor een langere periode (dan strikt
noodzakelijk voor de doeleinden) bijgehouden worden. Zo vermeldt de GDPR het uitzonderlijk geval
waarin persoonsgegevens verwerkt worden met het oog op archivering in het algemeen belang,
wetenschappelijk of historisch onderzoek of statistische doeleinden, op voorwaarde dat passende
maatregelen getroffen worden om de rechten en vrijheden van de betrokkenen te beschermen.
3.1.6. Integriteit en vertrouwelijkheid (integrity and confidentiality)
65. Als zesde basisbeginsel geldt dat een passende beveiliging van persoonsgegevens moet
gewaarborgd worden door het nemen van passende technische of organisatorische maatregelen.
Persoonsgegevens moeten onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige
verwerkingen en tegen onopzettelijk verlies, vernietiging of beschadiging (zoals kwaliteitverlies).140
Met andere woorden moeten algemene ziekenhuizen alle nodige beveiligingsmaatregelen treffen en
laten nemen om een hoog beveiligingsniveau te bekomen en zo de risico’s die aan een verwerking
verbonden zijn, te beheersen.
De algemene ziekenhuizen moeten erop toezien dat hun veiligheidsbeleid, ook wel
‘persoonsgegevensbeveiliging’ genoemd in de GDPR, telkens aangepast is aan de technologische en
digitale evoluties. Het veiligheidsbeleid op regelmatige tijdstippen herzien, is dan ook cruciaal om
preventie te kunnen blijven bieden tegen bestaande en nieuwe risico’s.141
66. De GDPR zelf legt in beginsel geen specifieke beveiligingsmaatregelen op, maar verwijst wel
expliciet naar een aantal beveiligingsmaatregelen die enkel verplicht zijn voor zover ze passend zijn in
138 Art. 25 Koninklijk besluit van 8 augustus 1980 betreffende het bijhouden van sociale documenten, Pb.L. 27 augustus 1980. 139 D. DIERCKX, Europese privacywetgeving. Handleiding voor een procedure voor gegevensbescherming in zorgvoorzieningen, Brussel, Zorgnet-Icuro, 2017, p 19 - 22. 140 Art. 5, lid 1, f GDPR. 141 Art. 32, lid 1, d GDPR.
37
het licht van de stand van de techniek, de uitvoeringskosten en de aard, omvang, context, doel en
risico’s van de verwerking142. De maatregelen moeten dan onder meer het volgende omvatten:
- Pseudonimisering en versleuteling van de persoonsgegevens: Beide zijn belangrijke methoden om
persoonsgegevens te beveiligen. Pseudonimisering houdt in dat persoonsgegevens niet meer aan
een specifieke persoon kunnen gekoppeld worden zonder dat er aanvullende gegevens worden
gebruikt143. Uit de originele persoonsgegevens worden directe identificatoren weggenomen en
vervangen door een pseudoniem, bijvoorbeeld de naam van een individu wordt vervangen door
een cijfer- of lettercode 144 . Versleuteling is een vorm van pseudonimisering, waarbij het
pseudoniem uit een sleutelcode bestaat 145 . Zonder de juiste code blijft de originele data
onherkenbaar.
- De bekwaamheid om permanent de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht
van de verwerkingsystemen en diensten te waarborgen. Respectievelijk moet bescherming
geboden worden tegen toevallige of onrechtmatige toegang tot of doorgifte van de
persoonsgegevens, wijziging, vernietiging of verlies ervan. Met ‘veerkracht’ wordt verwezen naar
het vermogen om weerstand te bieden tegen storingen of een snelle herstelling na een storing146.
- De bekwaamheid om de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te
herstellen bij een fysiek of technisch incident (bijvoorbeeld waterschade, kortsluiting,
stroompanne).
- Procedures om de doeltreffendheid van de beveiligingsmaatregelen te testen en te evalueren op
herhaaldelijke tijdstipppen.
Naast deze voorgeschreven maatregelen, bepalen de algemene ziekenhuizen in beginsel zelf welke
beveiligingsmaatregelen ‘passend’ zijn voor de verwerkingsactiviteiten in het ziekenhuis. Hierbij moet
in de eerste plaats rekening gehouden worden met de risico’s die aan een specifieke verwerking
142 Art. 32, lid 1, a – d GDPR; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 126. 143 Art. 4, lid 5 GDPR. 144 Deze vorm van pseudonimisering wordt reeds toegepast in bepaalde ziekenhuizen bij het afroepen van patiënten in de wachtzaal, waarbij de afroeping niet meer nominatief gebeurt, maar wel d.m.v. een cijfercode. Op deze manier verloopt het zoeken naar een patiënt in de wachtzaal discreter. De naam wordt niet meer luidop afgeroepen, waardoor niet geweten is welke persoon zich precies op dat moment in het ziekenhuis bevindt en misschien een bepaalde aandoening heeft. 145 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 127. 146 Encyclo (Nederlandse Encyclopedie), “Veerkracht”, geraadpleegd op 26 april 2019 via www.encyclo.nl/begrip/veerkracht.
38
verbonden zijn147, want hoe groter de risico’s, hoe beter de beveiliging moet zijn. Die risico’s hangen
dan weer af van de aard, omvang, context en het doel van de verwerking. Vermits een algemeen
ziekenhuis veel gezondheidsgegevens verwerkt, zal men een hoger beschermingsniveau moeten
nastreven omdat de verwerking van gevoelige gegevens meer risico’s inhouden voor de
betrokkenen. 148 De volgende technische of organisatorische maatregelen kunnen bijvoorbeeld
genomen worden149:
- De toegang tot gegevens enkel mogelijk maken d.m.v. een combinatie van twee of meerdere
persoonlijke elementen, zoals een gebruikersnaam en paswoord. Bovendien is het belangrijk dat
een algemeen ziekenhuis in zijn beleid duidelijk aangeeft wie precies tot welke gegevens toegang
heeft. Enkel diegene die de persoonsgegevens effectief nodig hebben, mogen er in principe
toegang toe hebben. In de praktijk is het echter niet altijd mogelijk om de interne toegang voor
bepaalde personen te beperken, waardoor het aangewezen is gebruik te maken van een data
logging systeem, waarin wordt bijgehouden wie wanneer welke gegevens heeft bekeken;150
- Periodieke back-ups;
- Firewalls en virusscanners;
- Kasten en archiefruimtes goed vergrendelen;
- Een vertrouwelijkheidsverklaring laten ondertekenen door al wie persoonsgegevens verwerkt;
- Richtlijnen vervaardigen om intern meer bewustzijn te creëren m.b.t. informatieveiligheid, zoals
over het gebruik van USB-sticks of laptops, over het afdrukbeleid, communiceren van informatie;
- …
67. Bij de beoordeling of een beveiligingsmaatregel gepast is, is het bovendien aangewezen
rekening te houden met reeds uitgevaardigde instrumenten van de toezichthoudende autoriteit en de
mate waarin bepaalde toepassingen of programma’s zijn erkend door de overheid. Zo kan er
bijvoorbeeld beroep gedaan worden op het e-Health platform of op bepaalde certificeringsnormen die
vastgesteld zijn door de ISO (‘Internationale Organisatie voor Standaardisatie’), aangezien hierin reeds
147 Art. 32, lid 2 GDPR. 148 Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 19. 149 Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 21. 150 Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 21 - 22.
39
de vereiste beveiliging wordt voorzien, rekening houdend met de mogelijke risico’s.151 Daarnaast heeft
ook de toenmalige toezichthoudende autoriteit, de Belgische Privacycommissie niet stil gezeten op het
vlak van beveiliging. Ook na de inwerkingtreding van de GDPR blijven volgende instrumenten bijzonder
nuttig om tot een passend veiligheidsbeleid te komen: de “Referentiemaatregelen voor de beveiliging
van elke verwerking van persoonsgegevens”, de “Richtsnoeren met betrekking tot
informatiebeveiliging van persoonsgegevens” en de “Aanbeveling nr. 01/2013 betreffende de na te
leven veiligheidsmaatregelen ter voorkoming van gegevenslekken”152.
Nieuw in de GDPR zijn de gedragscodes153 en certifieringsmechanismen154 die goedgekeurd kunnen
worden door de toezichthoudende autoriteit. Het aansluiten bij een goedgekeurde gedragscode of
goedgekeurd certificeringsmechanisme kan eveneens worden gebruikt als één van de elementen om
aan te tonen dat de beveiligingsvereisten worden nageleefd155.
3.1.7. Verantwoordingsplicht (accountibility)
68. Een belangrijk nieuw basisprincipe dat de GDPR heeft ingevoerd, is de verantwoordingsplicht
die uitdrukkelijk wordt opgedragen aan de verwerkingsverantwoordelijke, degene die het doel en de
middelen van de verwerking bepaalt156. Hij is in de eerste plaats verantwoordelijk voor het doen
naleven van de basisbeginselen die hierboven reeds werden opgesomd. De algemene ziekenhuizen
moeten er in principe naar streven om 100% conform de bepalingen van de Europese verordening
persoonsgegevens te verwerken, maar in de praktijk is dat niet altijd even makkelijk of haalbaar.
Vandaar dat het des te belangrijk is om op een redelijke manier te kunnen argumenteren waarom
bepaalde keuzes werden gemaakt en waarom op die bepaalde manier wordt omgegaan met
persoonsgegevens 157 . Daarom draagt de verwerkingsverantwoordelijke in de tweede plaats een
bewijsbelast en moet hij de naleving duidelijk kunnen aantonen t.a.v. betrokkenen, het grote publiek,
de toezichthoudende autoriteit etc. Het nastreven van die aantoonbaarheid houdt dus eigenlijk een
documentatieplicht in, wat tot uiting komt in de nieuwe verplichting om een register van de
151 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 126 - 127; Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 20. 152 Gegevensbeschermingsautoriteit, “Wat met beveiliging van de gegevens?”, geraadpleegd op 26 april 2019 via https://www.gegevensbeschermingsautoriteit.be/wat-met-beveiliging-van-de-gegevens. 153 Art. 40 GDPR. 154 Art. 42 GDPR. 155 Art. 32, lid 3 GDPR. 156 Art. 5, lid 2 GDPR. 157 Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 11.
40
verwerkingsactiviteiten158 bij te houden. De algemene ziekenhuizen moeten immers alle beslissingen
en elke stap in het kader van de toepassing van de GDPR goed kunnen rechtvaardigen en
documenteren159. De GDPR heeft op die manier voor een omkering van de bewijslast gezorgd, want
nu moet op voorhand aangetoond worden dat er geen inbreuk wordt begaan.
Samengevat houdt de verantwoordingsplicht twee onderliggende verplichtingen in, enerzijds de
verplichting om de basisbeginselen en overige bepalingen van de GDPR na te leven en te doen naleven
en anderzijds de verplichting om de naleving daarvan op elk moment te kunnen aantonen a.d.h.v.
documentatie. Vóór de invoering van de GDPR was deze verantwoordingsplicht niet zo een
geëxpliceerde verwachting of gepreciseerde verplichting, maar vandaag vergt het Europees recht dat
er proactief nagedacht wordt.
3.2. ‘Rechtmatige’ verwerking van persoonsgegevens (rechtmatigheidsbeginsel)
69. Zoals reeds vermeld in titel 3.1.1. is het rechtmatigheidsbeginsel van fundamenteel belang
voor de verwerking van persoonsgegevens 160 . Vooraleer een algemeen ziekenhuis een
verwerkingsactiviteit verricht, moet men de rechtmatigheid hiervan nagaan en ook achteraf kunnen
blijven garanderen. Dit betekent dat er voor elke verwerking een duidelijke rechtsgrond of
gerechtvaardigde verwerkingsgrond beschikbaar moet zijn. Algemeen erkent de GDPR zes juridische
grondslagen waarop een verwerking van persoonsgegevens kan steunen. Belangrijk hierbij is dat
wanneer het gaat over de verwerking van ‘gevoelige’ persoonsgegevens, zoals gezondheidsgegevens,
bijkomend een extra grondslag vereist is.
Beide procedures worden achtereenvolgend in onderstaande titels besproken, waarbij in de laatste
titel specifiek dieper ingegaan wordt op de geldige toestemming van de betrokkene.
3.2.1. Verwerking van ‘gewone’ persoonsgegevens
70. In lid 1 van artikel 6 van de GDPR worden de zes mogelijke rechtsgronden opgesomd om te
kunnen spreken van een ‘rechtmatige’ verwerking van gewone persoonsgegegevens 161 . Een
verwerking kan één of meerdere doeleinden hebben, hierbij moet opgemerkt worden dat er per
doeleinde slechts één gerechtvaardigde verwerkingsgrond kan gelden. Twee rechtsgronden kunnen
158 Zie uitgebreid in titel 4.6. 159 D. DE BOT, GDPR: hoe op een pragmatische wijze aan de nieuwe privacywetgeving voldoen?, Leuven, Indicator, 2018, p 35. 160 Art. 5, lid 1, a GDPR. 161 Zie definitie (gewone) ‘persoonsgegevens’ in titel 2.1.1., randnummer 40.
41
dus niet tegelijkertijd toegepast worden voor hetzelfde doel. Elke verwerkingsgrond wordt hierna
overlopen en aangevuld met toepassingen uit de praktijk in het ziekenhuislandschap.
A. De toestemming van de betrokkene
71. Het algemeen ziekenhuis doet er goed aan om op voorhand na te gaan voor welke
verwerkingsactiviteiten de toestemming van de betrokkene vereist is162. Deze moet dan verkregen
worden vóóraleer het algemeen ziekenhuis met die verwerking van persoonsgegevens begint163 .
Hierbij valt op te merken dat het een misvatting is dat voor alles toestemming moet gevraagd worden,
toestemming is in het kader van de GDPR slechts één van de juridische grondslagen waar beroep op
kan gedaan worden. Bovendien leidt niet eender welke toestemming tot een rechtmatige verwerking,
want er kan pas van een ‘geldige’ toestemming gesproken worden als aan de cumulatieve
voorwaarden van artikel 7 van de GDPR is voldaan164.
B. De noodzaak voor de uitvoering van een overeenkomst
72. De verwerkingsactiviteit kan noodzakelijk zijn voor de uitvoering van een overeenkomst
waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een
overeenkomst maatregelen te nemen165. Die betrokkene kan een personeelslid van een algemeen
ziekenhuis uitmaken of een sollicitant, zijn of haar identificatie- en financiële gegevens worden
verwerkt in het kader van de contractuele verplichting tot het betalen van een loon. De verwerking
van persoonsgegevens kan ook noodzakelijk zijn voor de uitvoering van een leveranciersovereenkomst
waarbij de leverancier partij is.
Het Europees Comité voor gegevensbescherming, beter bekend als European Data Protection Board
(afgekort ‘EDPB’) heeft in april een nieuwe richtsnoer gepubliceerd over artikel 6, lid 1, b van de GDPR
als verwerkingsgrond in de context van de levering van onlinediensten aan betrokkenen166. Daarin
bevestigt het EDPB dat de overeenkomst in de eerste plaats onder het toepasselijk verbintenissenrecht
geldig moet zijn en dat de ‘noodzaak’ strikt geïnterpreteerd moet worden. De beoogde verwerking
moet daadwerkelijk noodzakelijk zijn voor de uitvoering van een overeenkomst, niet wenselijk of
162 Art. 6, lid 1, a GDPR. 163 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, 10 april 2018, WP259, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/ files/wp259_rev_0.1_nl.pdf, p 20. 164 Zie uitgebreid in titel 3.2.3. 165 Art. 6, lid 1, b GDPR. 166 Ondanks de specifieke context van onlinediensten, zijn de principes die in de nieuwe richtsnoer worden aangehaald gebaseerd op eerdere adviezen van o.a. WP29 waardoor de richtsnoer ook praktisch toepasbaar is op de verwerkingen gebaseerd op art. 6, lid 1, b, verricht door de algemene ziekenhuizen.
42
nuttig. Dit betekent dat het nagestreefde doel enkel kan bereikt worden d.m.v. die specifieke
verwerking en dat er geen minder ingrijpend alternatief bestaat om hetzelfde doel te bereiken.167
C. Een wettelijke verplichting
73. De noodzaak om persoonsgegevens te verwerken kan ook terug te vinden zijn in een wettelijke
verplichting die op de verantwoordelijke van de verwerking rust168. Het moet hierbij gaan over een
unierechtelijke (EU-wetgeving) of lidstaatrechtelijke verplichting (Belgische wetgeving)169. Zo zijn de
algemene ziekenhuizen in sommige gevallen wettelijk verplicht om bepaalde gegevens te verwerken
van patiënten en zijn ze wettelijk verplicht de salarisgegevens van hun personeelsleden door te geven
aan de RSZ (sociale zekerheid) en de fiscus. In het kader van de boekhouding is het ziekenhuis ook
onderworpen aan bepaalde wettelijke verplichtingen.
D. De noodzaak om vitale belangen van de betrokkene of een andere persoon te beschermen
74. De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien
zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of van
een andere persoon essentieel is170. Dat gaat in de praktijk vaak gepaard met gewichtige redenen van
algemeen belang, de volgende verwerkingsgrond.
E. De noodzaak om een taak van algemeen belang uit te voeren
75. De verwerking van persoonsgegevens kan bovendien noodzakelijk zijn voor de vervulling van
een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag
dat aan de verwerkingsverantwoordelijke is opgedragen171. Het concept op zich is heel breed, maar
toch zal niet zomaar beroep gedaan kunnen worden op deze verwerkingsgrond. Een taak van
algemeen belang moet immers blijken uit de wetgeving van de EU of België, net zoals bij de wettelijke
verplichting, moet er een unierechtelijk of lidstaatrechtelijke basis aanwezig zijn172. Dit is bijvoorbeeld
het geval wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het
167 EUROPEAN DATA PROTECTION BOARD (EDPB), Guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, 9 april 2019, nr. 2/2019, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf, p 7 – 8; White Wire, “Guidelines over verwerking ihkv een contract”, 16 april 2019, geraadpleegd op 29 april 2019 via https://whitewire.be/guidelines-over-verwerking-ihkv-een-contract/. 168 Art. 6, lid 1, c GDPR. 169 Art. 6, lid 3 GDPR. 170 Art. 6, lid 1, d GDPR. 171 Art. 6, lid 1, e GDPR. 172 Art. 6, lid 3 GDPR.
43
monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name
bij natuurrampen of door de mens veroorzaakte rampen173.
F. De noodzaak voor gerechtvaardigde belangen.
76. Tenslotte is er sprake van een rechtmatige verwerking wanneer die noodzakelijk is voor de
behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde
partij, tenzij de belangen of grondrechten en vrijheden van de betrokkene tot de bescherming van
persoonsgegevens, zwaarder doorwegen 174 . Gerechtvaardigde belangen waar een algemeen
ziekenhuis zich op kan beroepen zijn onder meer de veiligheid controleren en garanderen (d.m.v.
camerabewaking, netwerk- en informatiebeveiliging, registratie van bezoekers) of de vrijheid te
ondernemen in het kader van hun public relations en communicatie.
Geval per geval moet het algemeen ziekenhuis telkens een zorgvuldige belangenafweging maken, een
afweging tussen de belangen van het ziekenhuis (om persoonsgegevens te mogen verwerken) en die
van degene van wie de persoonsgegevens verwerkt worden (om de verwerking van hun gegevens
tegen te gaan). Welke belangen wegen het zwaarst door? Dat is geen gemakkelijke opdracht, de
afweging kan achteraf door een betrokkene of autoriteit betwist worden175. In overweging 47, 48 en
49 van de GDPR zijn voorbeelden terug te vinden van wat als een ‘gerechtvaardigd belang’ beschouwd
kan worden. Daarnaast heeft ook de WP29 in een advies verduidelijkt wat zij onder dat begrip verstaat,
met welke factoren er rekening moet gehouden worden bij de belangenafweging (zie o.a. uitgewerkt
stappenplan in bijlage 1 van het advies) en in welke gevallen deze rechtsgrond passend is (bijlage 2)176.
Tevens bevat het advies aanbevelingen voor toekomstige verbeteringen.
3.2.2. Verwerking van ‘gevoelige’ persoonsgegevens
77. Bovenop bovenstaande wettelijke grondslagen, is nog een extra juridische grondslag vereist
voor het verwerken van gevoelige gegevens 177 , zoals gezondheidsgegevens. De verwerking van
dergelijke gevoelige gegevens is in beginsel verboden, vermits die veel kwetsbare informatie over een
persoon bevatten178. De GDPR laat enkel in uitzonderlijke gevallen de verwerking van deze gegevens
173 Overweging 46 GDPR. 174 Art. 6, lid 1, f GDPR. 175 M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 35. 176 GROEP GEGEVNSBESCHERMING ARTIKEL 29 (WP29), Advies over het begrip “gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG, 9 april 2014, nr. 06/2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_nl.pdf. 177 Zie definitie ‘gevoelige gegevens’ in titel 2.1.1., randnummer 41. 178 Art. 9, lid 1 GDPR.
44
toch toe, namelijk indien één van de verwerkingsgronden uit het tweede lid van artikel 9 aanwezig zijn.
Naast één van de rechtsgronden uit artikel 6, om te kunnen spreken van een rechtmatige verwerking
op zich, is er dus een extra juridische grondslag uit artikel 9 vereist wanneer het gaat over gevoelige
gegevens. In dit kader heerst tussen artikel 6 en 9 een belangrijk samenspel.
Algemene ziekenhuizen verwerken dagelijks gezondheidsgegevens waardoor ze voor elke
verwerkingsactiviteit twee verwerkingsgronden nodig hebben om op een rechtmatige wijze aan
gegevensverwerking te doen, in het algemeen één uit artikel 6 en in het bijzonder één uit artikel 9 van
de GDPR. Hieronder wordt duidelijk dat het algemeen ziekenhuis op verschillende rechtsgronden uit
lid 2 van artikel 9 beroep kan doen voor de verwerking van gevoelige gegevens.
A. De uitdrukkelijke toestemming van de betrokkene
78. Het verwerkingsverbod uit lid 1 van artikel 9 van de GDPR kan in de eerste plaats opgeheven
worden door de uitdrukkelijke toestemming van de betrokkene voor één of meerdere specifieke
doeleinden179. Zo moet de patiënt zijn uitdrukkelijke toestemming geven opdat zijn medische gegevens
doorgegeven mogen worden aan de behandelende arts in een ander ziekenhuis of vermeld mogen
worden in het ziekenhuistijdschrift. Het moet daarbij daadwerkelijk gaan over een ‘uitdrukkelijke’
toestemming, wat verwijst naar de manier waarop de toestemming tot uiting komt. Het betekent
onder meer dat de betrokkene zijn toestemming uitdrukkelijk moet bevestigen door een schriftelijke
verklaring te ondertekenen (eventueel door middel van een elektronische handtekening) of door een
elektronisch formulier in te vullen, een e-mail te versturen, een gescand document te uploaden… Zelfs
een mondelinge verklaring kan voldoende zijn. Let wel, elke uitdrukkelijke toestemming is pas volledig
rechtsgeldig wanneer aan alle voorwaarden zijn voldaan180.181
In deze context is het wel belangrijk een onderscheid te maken tussen de toestemming als
verwerkingsgrond en de toestemming als informed consent in de relatie tussen arts-patiënt. De
toestemming die een arts moet verkrijgen voor de verwerking van gezondheidsgegevens is niet
dezelfde als de informed consent die vereist is voor de gezondheidszorgbehandeling van de patiënt op
grond van de Wet Patiëntenrechten 182 . De informed consent bevat niet zowel de
179 Art. 9, lid 2, a GDPR. 180 Zie uitgebreid in titel 3.2.3. 181 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, 10 april 2018, WP259, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/ files/wp259_ rev_0.1_nl.pdf, p 21. 182 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 15.
45
behandelingstoestemming als de toestemming onder de GDPR. Dit zijn twee verschillende belangrijke
aspecten die los van elkaar moeten gezien worden.
B. De noodzaak voor een legitiem doel
79. Het is een misvatting dat een algemeen ziekenhuis voor bijna elke verwerkingsactiviteit de
uitdrukkelijke toestemming van de patiënt moet vragen. In veel gevallen is de verwerking van
gezondheidsgegevens, genetische of seksuele gegevens rechtmatig omdat die verwerking noodzakelijk
is voor één van de legitieme doelen, opgesomd in lid 2, b - j van artikel 9. Hierna worden de
belangrijkste rechtsgronden overlopen voor de verwerkingen in een algemeen ziekenhuis.
In een algemeen ziekenhuis komen de zorgverleners in aanraking met aandoeningen die eventueel
gevaarlijk kunnen zijn voor hun eigen gezondheid. Het verwerken van gevoelige gegevens van een
patiënt kan dan ook soms noodzakelijk zijn om de vitale belangen van o.a. de zorgverleners te
beschermen, maar enkel indien de patiënt fysiek of juridisch niet in staat is zijn toestemming te
geven183. Stel het bloed van een ambulancier komt in aanraking met het bloed van een bewusteloze
patiënt die HIV positief is, dan moet het algemeen ziekenhuis meedelen aan de ambulancier dat hij in
aanraking is gekomen met dit virus.
In de praktijk geraakt een algemeen ziekenhuis soms verwikkeld in een rechtszaak met een patiënt,
bijvoorbeeld omwille van een aansprakelijkheidsgeschil. De gevoelige gegevens van de patiënt mogen
in dit kader dan verwerkt worden door het algemeen ziekenhuis, aangezien die verwerking
noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering184.
De meest voor de hand liggende rechtsgrond om gevoelige gegevens te verwerken is de noodzaak voor
doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid
van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of
behandelingen, dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en
diensten185. Deze doeleinden moeten telkens hun grondslag vinden in EU-wetgeving, in nationale
wetgeving of in een overeenkomst met een gezondheidswerker. Bovendien moet aan de bijkomende
voorwaarden uit lid 3 van artikel 9 voldaan worden, namelijk dat de verwerking moet worden
uitgevoerd door of onder de verantwoordelijkheid van een beroepsbeoefenaar die gebonden is door
het beroepsgeheim of een andere geheimhoudingsplicht. Zo is het verzamelen, verder verwerken en
bijhouden van gevoelige gegevens in een patiëntendossier gebaseerd op deze rechtsgrond. Algemene
183 Art. 9, lid 2, c GDPR.
184 Art. 9, lid 2, f GDPR. 185 Art. 9, lid 2, h GDPR.
46
ziekenhuizen hebben immers een wettelijke grond op basis waarvan ze verplicht zijn om voor iedere
patiënt een dossier aan te leggen, waarin die gegevens terug te vinden zijn186. Ook het registreren van
arbeidsongeschiktheid of zwangerschap in het kader van personeelsbeheer steunen algemene
ziekenhuizen op bovenstaande rechtsgrond 187 . Samengevat vormt de noodzaak voor medische
diagnose en gezondheidszorgbehandeling een voldoende grondslag voor de verwerking van de
persoonsgegevens die daarvoor nodig zijn en die horen bij de gewone exploitatie van een algemeen
ziekenhuis188.
Ten slotte kan in het kader van bepaalde overdraagbare ziekten het noodzakelijk zijn kwetsbare
gegevens te verwerken om redenen van algemeen belang op het gebied van de volksgezondheid, dat
weer gebaseerd moet zijn op Eu-wetgeving of nationale wetgeving189. Ter illustratie kan verwezen
worden naar de legionellabesmettingen die in mei 2019 hebben plaatsgevonden in en rond Evergem,
waarbij 32 mensen besmet zijn geraakt. De algemene ziekenhuizen hebben hieromtrent informatie
meegedeeld aan de overheid ter bescherming van de volksgezondheid.
80. Opvallend is dat artikel 9, lid 2 van de GDPR de ‘noodzaak voor de uitvoering van een
overeenkomst’ niet erkent als uitzondering op het verwerkingsverbod 190 . De uitvoering van een
overeenkomst kan geen verwerkingsgrond vormen m.b.t. gevoelige gegevens. Hoewel dat legitiem
doel wel in het algemeen een rechtsgrond uitmaakt voor een rechtmatige verwerking van gewone
persoonsgegevens191.
C. Bijkomende voorwaarden in nationale wetgeving
81. De nieuwe Belgische kaderwet van 30 juli 2018 betreffende de bescherming van natuurlijke
personen met betrekking tot de verwerking van persoonsgegevens voorziet bijkomende voorwaarden
186 Op grond van artikel 15, § 1 wet op ziekenhuizen van 7 augustus 1987, koninklijk besluit van 3 mei 1999 houdende de bepaling van de algemene minimumvoorwaarden van het medisch dossier, artikel 9, §1 wet betreffende de rechten van de patiënt en binnenkort ook de nieuwe wet van 22 april 2019 inzake de kwaliteitsvolle praktijkvoering in de gezondheidszorg. 187 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 84. 188 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 15. 189 Art. 9, lid 2, i GDPR. 190 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, 10 april 2018, WP259, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/ files/wp259_ rev_0.1_nl.pdf, p 22. 191 Art. 6, lid 1, b GDPR en zie titel 3.2.1, B.
47
waaraan de verwerking van genetische gegevens, biometrische gegevens en gezondheidsgegevens
moet voldoen192. De algemene ziekenhuizen moeten bijkomende maatregelen treffen:
- Het opmaken en bijhouden van een lijst van categorieën van personen die toegang hebben tot de
persoonsgegevens en telkens nauwkeurig omschrijven wat hun precieze hoedanigheid ten
opzichte van de verwerking is (artikel 9, lid 1 en 2).
- Erop toezien dat die aangewezen personen het vertrouwelijk karakter van de persoonsgegevens
respecteren door een wettelijke of statutaire verplichting in te bouwen of door hen een
evenwaardige contractuele bepaling te laten ondertekenen (lid 3).
3.2.3. Verwerking die steunt op de geldige ‘toestemming’ van de betrokkene
82. Eén van de meest gebruikte rechtsgronden is de toestemming van de betrokkene. De GDPR
heeft het gebruik van deze verwerkingsgrond wel aan strengere eisen onderworpen. De term
‘toestemming’ wordt expliciet gedefinieerd in artikel 4, lid 11 van de GDPR en in artikel 7 zijn alle
voorwaarden terug te vinden waaraan de toestemming moet voldoen opdat deze geldig zou zijn en er
vervolgens sprake kan zijn van een rechtmatige verwerking193. Daarnaast heeft ook de WP29 handige
richtsnoeren m.b.t. deze rechtsgrond uitgevaardigd194.
A. Definitie en voorwaarden van een rechtsgeldige toestemming
83. Artikel 4, lid 11 van de GDPR definieert ‘toestemming’ als: "elke vrije, specifieke,
geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring
of een ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens
aanvaardt.” Bijkomend zijn in de GDPR vereisten terug te vinden voor het verkrijgen en aantonen van
een rechtsgeldige toestemming. Hierna zullen de essentiële elementen en vereisten verduidelijkt
worden.
Ten eerste moet het de ‘vrijwillige’ keuze zijn van de betrokkene om al dan niet akkoord te
gaan met de gegevensverwerking, de keuzevrijheid van de betrokkene mag niet beperkt worden. De
toestemming mag nooit afgedwongen worden, er mag geen sprake zijn van bedrog, intimidatie,
192 Art. 9, lid 4 GDPR; Art. 9 wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. 193 In artikel 8 van de GDPR worden de voorwaarden opgesomd voor de toestemming van kinderen, specifiek met betrekking tot diensten van informatiemaatschappijen, wat in deze masterproef niet aan de orde is. 194 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, 10 april 2018, WP259, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/ files/wp259_rev_0.1_nl.pdf.
48
chantage of dwang.195 In artikel 7, lid 4 van de GDPR wordt de specifieke situatie beschreven waarin
de uitvoering van een overeenkomst of het verlenen van een dienst afhankelijk is van de toestemming,
ook al is dergelijke toestemming daar niet altijd noodzakelijk voor. Verder wordt in overweging 43 erop
gewezen dat er rekening gehouden moet worden met een eventuele wanverhouding tussen de
betrokkene en de verwerkingsverantwoordelijke. De vrijwillige keuze hangt bovendien samen met het
recht van de betrokkene om op elk moment de toestemming in te trekken, op een even eenvoudige
manier als het geven ervan en zonder nadelige gevolgen196. Kort samengevat maakt in het algemeen
elk element dat ongepaste druk of invloed op de betrokkene heeft waardoor een betrokkene zijn of
haar vrije wil niet kan uitoefenen, de toestemming ongeldig197.
Het tweede element ‘specifiek’ slaat op het feit dat de toestemming niet vaag of algemeen van
aard mag zijn, zij moet op een specifiek afgebakende verwerking slaan en kan bijvoorbeeld geen
betrekking hebben op een open reeks van verwerkingsactiviteiten198. Wanneer een dienst meerdere
verwerkingsactiviteiten voor verschillende doeleinden omvat, stelt overweging 32 van de GDPR dat de
betrokkene altijd een afzonderlijke toestemming moet geven voor elk doeleinde apart199, wat betekent
dat de verwerkingsverantwoordelijke voor elk doel een afzonderlijke opt-in moet voorzien200. De
betrokkene moet telkens de mogelijkheid hebben om een specifieke toestemming te verlenen voor
specifieke doeleinden van een verwerking, bijvoorbeeld wel voor verwerkingsactiviteit a, maar niet
voor verwerkingsactiviteit b. Indien de verwerkingsverantwoordelijke vervolgens de
persoonsgegevens wil verwerken voor een ander doel, moet de verantwoordelijke een nieuwe
toestemming vragen voor dat andere doel, tenzij er een andere rechtsgrond beter geschikt is in die
specifieke context201.
195 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Advies over de definitie van “toestemming”, 13 juli 2011, nr. 15/2011, https://vvena.nl/wp-content/uploads/2018/04/wp187_nl-15-2011-toestemming.pdf, p 14 - 15. 196 Art. 7, lid 3 en overweging 42 GDPR. 197 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, 10 april 2018, WP259, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/ files/wp259_rev_0.1_nl.pdf, p 6. 198 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Advies over de definitie van “toestemming”, 13 juli 2011, nr. 15/2011, https://vvena.nl/wp-content/uploads/2018/04/wp187_nl-15-2011-toestemming.pdf, p 20; K. VERSMISSEN, J. TERSTEGGE en N. KRIJGSMAN, Grip op de AVG – De nieuwe privacywet voor niet-juristen, Deventer, Wolters Kluwer, 2017, p 63. 199 Hetzelfde is terug te vinden in overweging 43 GDPR. 200 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, 10 april 2018, WP259, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/ files/wp259_rev_0.1_nl.pdf, p 14. 201 Zie ook het principe van doelbinding in titel 3.1.2.
49
Ten derde is een toestemming pas rechtsgeldig wanneer aan de eisen voor een ‘geïnformeerde’
toestemming is voldaan. Dat vereiste hangt samen met zowel het transparantiebeginsel202 als het
recht op informatie van de betrokkene 203 . Het verstrekken van informatie aan de betrokkenen
voorafgaand aan het verkrijgen van hun toestemming, is immers noodzakelijk om de betrokkene te
doen begrijpen waarmee ze instemmen en zo geïnformeerde beslissingen te laten nemen204. Vooraleer
de betrokkene zijn of haar toestemming verleent, moet hij/zij weten tot hoever de toestemming zal
reiken. WP29 somt in zijn recent advies de minimale informatie op die meegedeeld moet worden,
zoals de identiteit van de verwerkingsverantwoordelijke, de doeleinden van de verwerking en welke
(soort) persoonsgegevens precies verwerkt worden205. Verder maakt artikel 7, lid 2 en overweging 42
van de GDPR duidelijk dat deze informatie ter kennis moet gebracht worden van de betrokkene in een
begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal (voor de
gemiddelde persoon en niet alleen voor juristen).
Ten slotte moet de toestemming door middel van een ‘verklaring of een ondubbelzinnige
actieve handeling’ van de betrokkene worden verleend. Overweging 32 verklaart enerzijds dat het kan
gaan over een mondelinge en schriftelijke verklaring of gebruikmakend van elektronische middelen.
Anderzijds wordt duidelijk dat de toestemming niet kan voortvloeien uit een passieve houding, zoals
stilzwijgen of het gebruiken van reeds aangekruiste vakjes. Er moet effectief een actieve handeling
gesteld worden waaruit de wil van de betrokkene blijkt m.b.t. de voorgestelde verwerking van
zijn/haar persoonsgegevens. Dat kan o.a. het volgende inhouden: het aanvinken van een vakje bij een
bezoek aan een website, het daadwerkelijk uittypen van een woord of zin en vervolgens op enter
klikken, het invullen van een e-mailadres… Bij deze een praktijkvoorbeeld: Een patiënt was eerder
opgenomen in ziekenhuis a en gaat een tijdje later op consultatie in ziekenhuis b. In ziekenhuis a waren
reeds foto’s genomen die de behandelende arts in ziekenhuis b graag zou willen gebruiken om de
beste zorg aan te bieden. De behandelende arts kan dan de ‘Cozo206-toestemming’ vragen aan de
patiënt, waardoor de arts in ziekenhuis b met een beveiligde internetverbinding toegang krijgt tot de
202 Zie titel 3.1.1., randnummer 56. 203 Zie Deel III, titel 2. 204 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, 10 april 2018, WP259, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/ files/wp259_rev_0.1_nl.pdf, p 14. 205 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, 10 april 2018, WP259, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/ files/wp259_rev_0.1_nl.pdf, p 15. 206 Cozo betekent Collaboratief Zorgplatform. Het is een digitaal samenwerkingsplatform dat patiënten, zorgverleners en zorginstellingen toelaat om snel en veilig medische gegevens uit te wisselen en te delen. Daarbij wordt voor een maximale bescherming van de privacy van de patiënt gezorgd. (Zie www.cozo.be).
50
medische gegegevens van de patiënt uit ziekenhuis a. Deze toestemming kan verkregen worden door
de mondelinge verklaring van de patiënt of door actief een vakje op de Cozo-website aan te vinken.
84. Bij het bepalen van de manier waarop de toestemming kan worden verleend, moet het
algemeen ziekenhuis voor ogen houden dat de toestemming steeds controleerbaar moet zijn. Als deel
van de nieuwe verantwoordingsplicht 207 moet de verwerkingsverantwoordelijke steeds kunnen
aantonen dat de betrokkene effectief zijn toestemming heeft gegeven (Wie, voor wat precies, wanneer
en hoe?)208. Het is dan ook aangewezen telkens de verkregen toestemming goed bij te houden in een
document (bijvoorbeeld de logging van een elektronische toestemming of een kopie van een
ondertekende verklaring)209.
B. Recht op intrekking van de toestemming
85. Artikel 7, lid 3 van de GDPR voorziet in een recht voor de betrokkene om een reeds gegeven
toestemming te allen tijde in te trekken. Het algemeen ziekenhuis moet ervoor zorgen dat de
betrokkene kennis heeft van dit recht alvorens toestemming te geven en dat de intrekking op een even
eenvoudige manier kan gebeuren als het verlenen van de toestemming. Bijvoorbeeld door opnieuw
een vakje aan te vinken.
Belangrijk is dat de intrekking wel enkel uitwerking heeft naar de toekomst toe. Het intrekken van de
toestemming van een verwerking heeft geen invloed op de rechtmatigheid van de
verwerkingsactiviteiten die plaatsvonden vóór de intrekking. De intrekking heeft dus geen retroactieve
werking, maar elke verwerking die gebaseerd is op een toestemming en plaatsvindt na de intrekking
ervan, moet wel gestaakt worden210.
4. Nieuwe verplichtingen onder de GDPR
86. Met de invoering van de GDPR wordt de voormalige Privacyrichtlijn 95/46/EG in een nieuw
jasje gestoken. De nieuwe verordening biedt een gemoderniseerd juridisch kader in Europa, gebaseerd
op twee nieuwe principes: verantwoordingsplicht en risicoanalyse. In deze titel worden de nieuwe
207 Zie titel 3.1.7. 208 Art. 7, lid 1 en overweging 42 GDPR. 209 M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 33; Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 16. 210 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 90 - 91.
51
verplichtingen uiteengezet en wordt nagegaan wat dit precies in de praktijk voor de algemene
ziekenhuizen betekent. Hierna een kort overzicht van de belangrijkste innovaties:
- De afschaffing van de aangifteplicht;
- Het aanwijzen van de verwerkingsverantwoordelijke (te onderscheiden van de verwerker en
bewerker);
- Het afsluiten van verwerkersovereenkomsten;
- Het naleven van twee nieuwe principes: gegevensbescherming door ontwerp (privacy by design)
en gegevensbescherming door standaardinstellingen (privacy by default);
- De aanstelling van een functionaris voor gegevensbescherming, beter bekend als ‘DPO’;
- Het bijhouden van een register van verwerkingsactiviteiten;
- Het uitvoeren van een gegevensbeschermingseffectbeoordeling, beter bekend als ‘DPIA’;
- Het uitwerken van een procedure voor het melden van incidenten.
Het is niet evident om de nieuwe theoretische verplichtingen van de GDPR toe te passen in de
specifieke processen van een algemeen ziekenhuis211. Men moet zich volledig bewust zijn van hoe de
verschillende processen verlopen, wat de nieuwe verplichtingen precies inhouden, wat het belang en
het gevolg ervan is en dan de best mogelijke manier zoeken om de theorie daadwerkelijk om te zetten
in de praktijk. Hierbij moet ook opgemerkt worden dat in realiteit de verschillende ziekenhuizen niet
allemaal op hetzelfde niveau reeds staan wat betreft de technologische en digitale evoluties en de
implementatie van de GDPR in het ziekenhuiswezen212.
4.1. Afschaffing van de aangifteplicht
87. Eén van de grote innovaties dat de GDPR met zich meebrengt is de afschaffing van de
administratieve aangifteplicht. Vanaf 25 mei 2018 komt er een einde aan de wettelijke verplichting om
verwerkingsactiviteiten aan te geven bij de Belgische Privacycommissie213. De GDPR vervangt deze
aangifteplicht door de nieuwe verantwoordingsplicht en voert de verplichting in om een register van
211 Interview met Frieke Verniest, DPO van AZ Sint-Jan Brugge-Oostende AV, op dinsdag 9 april 2019; Interview met Evelien Delbeke, advocaat bij advocatenkantoor Sanalex te Knokke, op vrijdag 26 april 2019. 212 Interview met André Orban, DPO van AZ Alma te Eeklo, op woensdag 17 april. 213 M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 51.
52
de verwerkingsactiviteiten 214 aan te leggen en bij te houden. De inhoud van reeds ingevulde
aangifteformulieren kan wel gebruikt worden als basis bij het opstellen van het register215.
4.2. Aanwijzing van de verwerkingsverantwoordelijke (controller)
88. De GDPR hanteert verschillende hoedanigheden waarin persoonsgegevens verwerkt worden.
Naargelang deze hoedanigheid, legt de verordening andere rechten, verplichtingen en
aansprakelijkheden op. Er moet een onderscheid gemaakt worden tussen de
‘verwerkingsverantwoordelijke’ en de ‘verwerker’. Deze begrippen bestonden reeds onder de
voormalige Privacyrichtlijn 95/46/EG216, maar omwille van hun cruciale rol in de tenuitvoerlegging van
de nieuwe verordening, wordt hier nog eens extra aandacht op gevestigd. In deze titel worden de
verschillende hoedanigheden op een rijtje gezet en wordt nagegaan hoe dit alles precies toegepast
kan worden in een algemeen ziekenhuis.
4.2.1. Kwalificatie als ‘verwerkingsverantwoordelijke’ (data controller)
89. Bij de implementatie van de GDPR in het ziekenhuiswezen is de eerste belangrijke stap het
aanwijzen van de verwerkingsverantwoordelijke(n), aangezien hij de grootste verantwoordelijkheid
draagt bij het naleven van de nieuwe verordening217. Hij is immers verantwoordelijk voor de naleving
van de beginselen en nieuwe verplichtingen en moet de naleving ervan ook telkens kunnen aantonen
(‘verantwoordingsplicht’)218.
De ‘verwerkingsverantwoordelijke’ is degene die het doel van en de middelen voor de verwerking van
persoonsgegevens vaststelt 219 . Het is de natuurlijke persoon, rechtspersoon, overheidsinstantie,
dienst die of orgaan dat bepaalt waarom, welke en hoe gegevens worden verwerkt220. Hij bepaalt dus
de concrete redenen waarvoor de gegevens verwerkt worden en de ‘essentiële elementen van de
214 Zie uitgebreid in titel 4.6. 215 Gegevensbeschermingsautoriteit, “Sluiting applicatie voor aangiften (eLoket)”, geraadpleegd op 12 mei 2019 via https://www.gegevensbeschermingsautoriteit.be/sluiting-applicatie-voor-aangiften-eloket. 216 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Advies over begrippen “voor de verwerking verantwoordelijke” en “verwerker”, 16 februari 2010, nr. 1/2010, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/ wp169_nl.pdf. 217 Art. 24 GDPR; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 33. 218 Art. 5, lid 2 GDPR. 219 Art. 4, lid 7 GDPR. 220 Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, p 9.
53
middelen’, o.a. de aard van de verwerkte gegevens, de categorieën betrokkenen, de frequentie van de
verwerkingen, bewaringstermijn en de ontvangers van de gegevens 221 . Er kunnen zich situaties
voordoen waarin twee of meerdere verwerkingsverantwoordelijken dezelfde gegevens verwerken en
bijgevolg samen het doel en de middelen van de verwerking bepalen. Dan spreekt de GDPR over
‘gezamenlijke verwerkingsverantwoordelijken’. Vervolgens moeten zij de verschillende
verantwoordelijkheden onder elkaar verdelen en vastleggen in een duidelijke onderlinge regeling.222
4.2.2. Kwalificatie als ‘verwerker’ (data processor)
90. De ‘verwerker’ is een externe persoon of organisatie die ten behoeve van de
verwerkingsverantwoordelijke persoonsgegevens verwerkt 223 . Met andere woorden, het is de
natuurlijke persoon, rechtspersoon, overheidsinstantie, dienst die of orgaan dat ten bate van de
verwerkingsverantwoordelijke en dus niet voor zichzelf een verwerkingsactiviteit uitvoert. De
verwerker zal dus volgens de instructies van de verantwoordelijke handelen, want hij is gebonden door
het doel en de middelen die door de verantwoordelijke vastgelegd werden. De verwerker blijft wel
enige vrijheid behouden in de concrete technische en organisatorische uitvoering van zijn taak224.
Indien een verwerker echter, in strijd met de GDPR, effectief het doel en de essentiële elementen van
de middelen van de verwerking (mee)bepaalt, zal hij als (gezamenlijke) verwerkingsverantwoordelijke
moeten worden beschouwd225.
In de praktijk is het onderscheid tussen de verwerkingsverantwoordelijke en verwerker niet altijd even
duidelijk meer. Vandaar dat het belangrijk is om bij de kwalificatie steeds de feitelijke situatie grondig
221 GEGEVENSBESCHERMINGSAUTORITEIT (GBA), Overzicht van de begrippen verwerkingsverantwoordelijke/verwerker in het licht van de verordening (EU) nr. 2016/679 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens (AVG) en enkele specifieke toepassingen voor vrije beroepen zoals advocaten, https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Begrippen_VW_OA.pdf, p 2. 222 Art. 26 GDPR. 223 Art. 4, lid 8 GDPR. 224 GEGEVENSBESCHERMINGSAUTORITEIT (GBA), Overzicht van de begrippen verwerkingsverantwoordelijke/verwerker in het licht van de verordening (EU) nr. 2016/679 (…), https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Begrippen_VW_OA.pdf, p 3; M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 24; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 39. 225 Art. 28, lid 10 GDPR.
54
te analyseren (Wie oefent een feitelijke invloed uit op de verwerkingen?)226. Bij deze analyse kan
gebruik gemaakt worden van de criteria die de Gegevensbeschermingsautoriteit voorschrijft227:
- De beslissingsbevoegdheid m.b.t. het doel en de essentiële elementen van de middelen;
- De beoordelingsmarge m.b.t. de technische en organisatorische uitvoering van de verwerking;
- Het uitvoeren van het toezicht op de verwerkingsactiviteiten;
- Het beeld dat geschept wordt naar de betrokkene toe;
- Het belang van de deskundigheid van de partijen.
Wanneer de verwerkingsverantwoordelijke ervoor kiest verwerkingsactiviteiten uit te besteden aan
een verwerker, zal deze verwerking telkens geregeld moeten worden in een
‘verwerkersovereenkomst’228.
4.2.3. Kwalificatie als ‘bewerker’
91. Het begrip ‘bewerker’ is geen officieel juridische term en is dan ook niet expliciet terug te
vinden in de GDPR. Echter wordt deze term vaak gebruikt in de rechtsleer en is een definitie hiervoor
af te leiden uit artikel 4, lid 10 van de GDPR229. De ‘bewerker’ kan omschreven worden als degene die
onder het rechtstreeks gezag van de verwerkingsverantwoordelijke of verwerker gemachtigd is om
persoonsgegevens te verwerken. Het grote verschil met de verwerker zit hem dus in het feit dat een
verwerker niet onder het rechtstreeks gezag van iemand anders handelt. Het typevoorbeeld van
bewerkers zijn de medewerkers, personeelsleden van de verwerkingsverantwoordelijke of verwerker.
De handelingen van de bewerkers zullen rechtstreeks aan de verantwoordelijke of verwerker worden
toegerekend230.
226 GEGEVENSBESCHERMINGSAUTORITEIT (GBA), Overzicht van de begrippen verwerkingsverantwoordelijke/verwerker in het licht van de verordening (EU) nr. 2016/679 (…), https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Begrippen_VW_OA.pdf, p 1 - 2; M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 25. 227 GEGEVENSBESCHERMINGSAUTORITEIT (GBA), Overzicht van de begrippen verwerkingsverantwoordelijke/verwerker in het licht van de verordening (EU) nr. 2016/679 (…), https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Begrippen_VW_OA.pdf, p 5. 228 Art. 28, lid 3 GDPR; Zie uitgebreid in titel 4.3. 229 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 38 (voetnoot 33). 230 M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 23.
55
Wanneer beroep wordt gedaan op bewerkers, moet er bovendien geen specifieke
verwerkersovereenkomst gesloten worden. Vaak zijn zij in de praktijk wel gebonden door een
contractuele bepaling.
4.2.4. Het begrip ‘betrokkene’ (data subject)
92. Ter herhaling wordt nog eens verwezen naar het begrip ‘betrokkene’, de natuurlijke persoon
wiens persoonsgegevens verwerkt worden. Ter bescherming van hun persoonsgegevens, kent de
GDPR een hele reeks rechten aan de betrokkenen toe.
4.2.5. Kwalificatie van hoedanigheden in een algemeen ziekenhuis
93. Door bovenstaande definities van de verschillende hoedanigheden toe te passen op het
ziekenhuiswezen, kan vastgesteld worden dat het algemeen ziekenhuis op zich gekwalificeerd kan
worden als verwerkingsverantwoordelijke voor de verwerkingsactiviteiten die plaatsvinden in het
ziekenhuis. Persoonsgegevens worden verwerkt in het kader van de medische, verzorgende en
ondersteunende activiteiten die georganiseerd worden door het ziekenhuis zelf231. De zorgvoorziening
bepaalt als zodanig het doel van deze verwerkingsactiviteiten. Bovendien zal het ziekenhuis de
essentiële elementen van de middelen van de verwerking bepalen: de soorten persoonsgegevens, de
categorieën betrokkenen, het al dan niet gebruiken van een externe verwerker, bewaringstermijnen,
de technische systemen of software… Het algemeen ziekenhuis heeft een grote
beslissingsbevoegdheid en zal het toezicht uitoefenen op de verwerkingsactiviteiten.
94. Het algemeen ziekenhuis schakelt werknemers, zelfstandigen of statutairen in voor de
verwerkingsactiviteiten die zij als zorgvoorziening wenst te organiseren. Deze natuurlijke personen of
rechtspersonen kunnen dan afhankelijk van de feitelijke situatie beschouwd worden als gezamenlijke
verwerkingsverantwoordelijke, verwerker of bewerker. Zo kan een ziekenhuisarts (eventueel) 232
gekwalificeerd worden als gezamenlijke verwerkingsverantwoordelijke en de app- of
softwareleveranciers en sociale secretariaten als verwerkers. Het is zelfs perfect mogelijk dat het
algemeen ziekenhuis optreedt als verwerker. Dat is het geval wanneer de zorgvoorziening
persoonsgegevens verwerkt ten behoeve van een andere verwerkingsverantwoordelijke en geen
inspraak heeft in het doel en/of de essentiële elementen van de middelen van de verwerkingsactiviteit.
Bijvoorbeeld wanneer een ander ziekenhuis als verwerkingsverantwoordelijke beroep doet op de ICT-
diensten van een algemeen ziekenhuis, is dat laatste ziekenhuis een verwerker indien zij voor die
231 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 34. 232 Zie uitgebreid in titel 4.2.6.
56
verwerking geen beslissingsbevoegdheid heeft233. Hetzelfde geldt in de situatie waarin een huisarts of
een andere externe arts gebruikmaakt van een elektronisch patiëntendossier (‘EPD’) in het algemeen
ziekenhuis in het kader van een gezondheidszorgbehandeling waar het ziekenhuis verder niets mee te
maken heeft. De huisarts of externe arts treedt dan op als verwerkingsverantwoordelijke, terwijl het
ziekenhuis voor het bewaren en overmaken van de persoonsgegevens uit het EPD optreedt als
verwerker 234 . Sommige medewerkers van het algemeen ziekenhuis, zoals verpleegkundigen,
administratieve bedienden, technici, directieleden etc. kunnen dan weer gekwalificeerd worden als
bewerkers235.
4.2.6. Hoedanigheid ziekenhuisarts in verhouding met het algemeen ziekenhuis
95. Welke hoedanigheid de zelfstandige ziekenhuisarts in de verhouding met het algemeen
ziekenhuis precies heeft onder de GDPR, is een actuele rechtsvraag. Vandaar dat een aparte titel is
toegewijd aan dit vraagstuk, waarin een redenering wordt uitgewerkt, gebaseerd op de reeds
aangehaalde theorie, in combinatie met verschillende visies van zowel juristen als functionarissen voor
gegevensbescherming (DPO’s)236.
96. Een algemeen ziekenhuis heeft geen makkelijke structuur, er is vaak een duale structuur in
terug te vinden: enerzijds het ziekenhuis zelf en anderzijds de zelfstandige ziekenhuisartsen. Onder
het begrip ‘ziekenhuisarts’ wordt verstaan “de arts verbonden aan het ziekenhuis”237. De zelfstandige
ziekenhuisartsen zijn niet door een arbeidsrechtelijke overeenkomst verbonden in een algemeen
ziekenhuis, maar wel door de algemene regeling 238 van het ziekenhuis en door een individuele
overeenkomst of benoemingsakte239.
233 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 40. 234 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 40. 235 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 39. 236 Zie lijst afgenomen interviews in bibliografie. 237 Art. 8, lid 4 ziekenhuiswet; F. DEWALLENS, Het statuut van de ziekenhuisarts – De rechtsverhoudingen tussen ziekenhuisartsen en ziekenhuizen, Antwerpen, Intersentia, 2015, p 10. 238 Art. 144 ziekenhuiswet: In elk ziekenhuis wordt een algemene regeling vastgesteld betreffende de rechtsverhoudingen tussen het ziekenhuis en de artsen, de organisatie- en de werkvoorwaarden, met inbegrip van de financiële werkvoorwaarden. 239 Art. 145 ziekenhuiswet: De respectieve rechten en verplichtingen van de individuele ziekenhuisarts en het ziekenhuis, alsook de werkvoorwaarden moeten schriftelijk vastgelegd worden, hetzij in een overeenkomst, hetzij in de benoemingsakte; S. CALLENS, “De verhouding algemene regeling versus individueel contract van de ziekenhuisarts”, T.Gez. 2003, nr. 5, p 325-327.
57
Voor de implementatie van de GDPR is het belangrijk te weten welk statuut een ziekenhuisarts
inneemt. Afhankelijk van dat statuut zal de arts op een andere manier gekwalificeerd worden en
eventueel een andere hoedanigheid hebben bij de verwerking van persoonsgegevens.
Ziekenhuisartsen kunnen één van de volgende statuten innemen240:
- De ‘arts-specialist’: De arts die, krachtens een geschreven individuele overeenkomst of
benoemingsakte, geneeskunde uitoefent in het ziekenhuis.
- De ‘tijdelijk aangenomen arts-specialist’ of ‘toegelaten arts-specialist’: Een erkend arts-specialist
die tijdelijk wordt toegelaten in een bepaalde dienst van het ziekenhuis voor het uitoefenen van
een zelfstandige praktijk of ingreep, die kadert in de algemene opdracht van het ziekenhuis. De
arts is gebonden door een schriftelijke aannemingsovereenkomst met het ziekenhuis.
- De ‘geconsulteerde arts-specialist’ of ‘consulent’: De arts die omwille van zijn bekwaamheid in een
bijzonder domein van zijn specialisatie tijdelijk wordt uitgenodigd om te helpen bij een bepaalde
diagnose of therapie.
- De ‘arts-specialist interimas’: De arts die tijdelijk wordt toegelaten ter vervanging van een andere
arts.
- De ‘arts-specialist in opleiding’ (‘ASO’ of ‘assistent’): De arts die, nadat hij reeds de academische
graad van arts heeft behaald, zich bijkomend specialiseert. Op basis van een vooraf goedgekeurd
stageplan volgt de arts stage in het ziekenhuis. Gedurende die stage valt hij onder de leiding en
verantwoordelijkheid van een erkend stagemeester die instaat voor de werkregeling. De arts-
specialist in opleiding is verbonden met de stagemeester of met het ziekenhuis door een
schriftelijke opleidingsovereenkomst241.
Hierna wordt dieper ingegaan op enkele van bovenstaande statuten.
A. Hoedanigheid van de zelfstandige arts-specialist binnen het algemeen ziekenhuis
97. In de dagelijkse werking van een algemeen ziekenhuis zal het ziekenhuis zelf als
verwerkingsverantwoordelijke gekwalificeerd worden 242 . Hoe vervolgens een zelfstandige arts-
specialist, hierna ook gewoon ‘ziekenhuisarts’ genoemd, gekwalificeerd moet worden in verhouding
met het ziekenhuis, daarover is in de praktijk nog geen eensgezindheid. Er zijn immers verschillende
invalshoeken mogelijk, die herleid kunnen worden tot drie opties. Op basis van de (al dan niet
240 Ziekenhuis X, “HR-beleid voor artsen”, beleidslijn, 4 juni 2018, p 4. 241 Art. 12, §2, 2° koninklijk besluit van 21 april 1983 tot vaststelling van de nadere regelen voor erkenning van artsen-specialisten en van huisartsen. 242 Zie titel 4.2.5, randnummer 93.
58
wettelijke) taken van de arts, de specifieke regeling binnen het ziekenhuis en andere feitelijke
omstandigheden, moet er intern een keuze gemaakt worden243.
De drie mogelijke opties zijn:
1) Het algemeen ziekenhuis en de ziekenhuisarts zijn gezamenlijke verwerkingsverantwoordelijken
Voor welbepaalde gegevensverwerkingen kunnen het ziekenhuis en de zelfstandige arts-specialist
beschouwd worden als gezamenlijke verwerkingsverantwoordelijken, omdat zij geheel of gedeeltelijk
samen het doel en de essentiële elementen van de middelen daarvan bepalen244. Het is dus niet zo dat
er bij elke verwerkingsactiviteit sprake is van een gezamenlijke verantwoordelijkheid. In een
onderlinge regeling moet duidelijk aangegeven worden bij welke verwerkingen het ziekenhuis en de
ziekenhuisarts deze hoedanigheid aannemen. Het typevoorbeeld van een gezamenlijke verwerking is
het bijhouden van een papieren of elektronisch patiëntendossier, hierna ‘EPD’. Zowel het ziekenhuis
(onder de verantwoordelijkheid van de hoofdarts)245 als de ziekenhuisarts246 zijn wettelijk verplicht om
een EPD bij te houden en hebben beiden inspraak in het doeleinde, de inhoud en de vormgeving of
software van het EPD247. De invloed van beiden is daarom wel niet noodzakelijk gelijk. De inspraak van
de ziekenhuisartsen vloeit deels voort uit het optreden van de medische raad in haar
adviesbevoegdheid. De medische raad is immers het vertegenwoordigend orgaan van de
ziekenhuisartsen, waardoor zij betrokken worden bij de besluitvorming in het ziekenhuis 248 . De
medische raad heeft een adviesbevoegdheid m.b.t. het EPD aangezien de ziekenhuisartsen het deels
mee kunnen financieren en omdat de artsen instructies kunnen opleggen aan bijvoorbeeld de
softwareleverancier (verwerker) omwille van de weerslag daarvan op de medische activiteit in het
ziekenhuis249.
243 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 41; E. DELBEKE (Sanalex), “Informatievergadering relatie ziekenhuis en ziekenhuisartsen onder de Europese privacywetgeving”, powerpoint, 7 november 2018, p 16. 244 Art. 26, lid 1 GDPR. 245 Art. 20, §1 en 25, §1 ziekenhuiswet; Art. 6, lid 4 koninklijk besluit van 15 december 1987 houdende de uitvoering van de artikelen 13 tot en met 17 van de wet op de ziekenhuizen, zoals gecoördineerd door het koninklijk besluit van 7 augustus 1987. 246 Art. 9, §1 wet patiëntenrechten. 247 E. DELBEKE (Sanalex), “Informatievergadering relatie ziekenhuis en ziekenhuisartsen onder de Europese privacywetgeving”, powerpoint, 7 november 2018, p 15; DELBEKE E. (Sanalex) i.s.m. White Wire, “Onderlinge regeling AVG over de verwerkingsactiviteiten met een gezamenlijke verwerkingsverantwoordelijkheid”, ontwerptekst, 19 februari 2019, p 5. 248 Art. 133 ziekenhuiswet. 249 Art. 137, lid 11 en 12 ziekenhuiswet; Interview met Joke Vanlangenaeker, juridisch beleidsadviseur en DPO van het Ziekenhuis Oost-Limburg (‘ZOL’), op dinsdag 7 mei 2019.
59
De gezamenlijke verwerkingsverantwoordelijkheid brengt verschillende verplichtingen met zich mee.
Ten eerste zijn zowel het ziekenhuis als de ziekenhuisarts onderworpen aan de verplichtingen
van de verwerkingsverantwoordelijke krachtens de GDPR: informatieverstrekking, uitvoering van de
rechten van de betrokkenen, bijhouden van het register van verwerkingsactiviteiten, een functionaris
voor gegevensbescherming aanstellen, passende technische en organisatorische maatregelen
nemen …
Ten tweede schrijft artikel 26 van de GDPR voor dat het ziekenhuis en de arts op een
transparante wijze een onderlinge regeling moeten opstellen, waarin afgesproken wordt wie precies
voor welke gezamenlijke verwerkingsactiviteit verantwoordelijk is en hoe het ziekenhuis, dan wel de
arts, zich verhouden tot de betrokkene. Ondanks deze onderlinge afspraken kan de betrokkene wel
steeds elke verwerkingsverantwoordelijke aanspreken voor de uitoefening van zijn rechten250. Zorgnet
Icuro raadt in de gedragscode wel aan het ziekenhuis als centraal aanspreekpunt voor de betrokkene
aan te duiden, opdat er één duidelijk contactpunt behouden blijft251.
Deze eerste optie van gezamenlijke verwerkingsverantwoordelijkheid wordt in het
ziekenhuislandschap goed ontvangen, vermits een zelfstandige arts-specialist in bepaalde gevallen
reeds een grote beslissingsbevoegdheid heeft op grond van een wettelijke basis. Binnen het
ziekenhuisnetwerk KOM252 heeft men bijvoorbeeld besloten deze hoedanigheid toe te passen in alle
ziekenhuizen van het netwerk253.
2) Het algemeen ziekenhuis als verwerkingsverantwoordelijke en de zelfstandige arts-specialist als
verwerker
De mogelijkheid bestaat om voor de niet-gezamenlijke verwerkingsactiviteiten enkel het ziekenhuis
als verwerkingsverantwoordelijke te beschouwen en de ziekenhuisarts als verwerker. Evenwel is de
hoedanigheid van verwerker volgens Zorgnet Icuro minder geschikt voor een ziekenhuisarts, aangezien
de medische activiteit georganiseerd moet worden als een ‘integrerend deel van de
ziekenhuisactiviteit’254. De medische activiteit zal in minder optimale omstandigheden geschieden
250 Art. 26, lid 3 GDPR. 251 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 42. 252 Het ziekenhuisnetwerk Kust, Ommeland en Meetjesland: Het omvat de algemene ziekenhuizen AZ Alma Eeklo, AZ Damiaan Oostende, AZ Sint-Jan Brugge-Oostende, AZ Sint-Lucas Brugge, AZ West Veurne, AZ Zeno Knokke-Blankenberge en de categorale ziekenhuizen BZIO Oostende en KEI Oostduinkerke (zie https://komnetwerk.be). 253 Interview met Frieke Verniest, DPO van AZ Sint-Jan Brugge-Oostende AV, op dinsdag 9 april 2019. 254 Art. 19 ziekenhuiswet; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 43.
60
wanneer de ziekenhuisarts verwerkingsactiviteiten uitvoert ten behoeve van het ziekenhuis, maar niet
onder diens rechtstreeks gezag255. Die verwerkingsactiviteiten zullen dan niet helemaal verweven zijn
met het geheel van de ziekenhuisactiviteit. Bovendien zou de kwalificatie als verwerker tot nadelig
gevolg hebben dat met elke arts afzonderlijk een verwerkersovereenkomst gesloten moet worden,
wat veel tijd, inspanning en administratie vraagt.
3) Het algemeen ziekenhuis als verwerkingsverantwoordelijke en de zelfstandige arts-specialist als
bewerker
Een minderheid van de juristen beweert dat op grond van artikel 29 van de GDPR de ziekenhuisarts
beschouwd moet worden als een ‘bewerker’256, iemand die onder het rechtstreeks gezag van de
verwerkingsverantwoordelijke gemachtigd is om persoonsgegevens te verwerken 257 . Zo zou
bijvoorbeeld in het kader van een medical audit of kwaliteitsbeleid de ziekenhuisarts als bewerker
kunnen gezien worden, op voorwaarde dat dit uitsluitend in opdracht en onder het rechtstreeks gezag
van een verwerkingsverantwoordelijke gebeurt. Deze hoedanigheid botst echter gevoelsmatig met de
definitie van een ‘zelfstandige’, namelijk iemand die een beroepsactiviteit uitoefent zonder door een
arbeidsovereenkomst of statuut gebonden te zijn258. In principe zou er tussen het ziekenhuis en de
zelfstandige arts-specialist geen rechtstreekse gezagsverhouding mogen bestaan, wat net wel het
geval is bij de hoedanigheid als bewerker.
98. Tenslotte moet opgemerkt worden dat de ziekenhuisartsen soms ook gewoon betrokkenen
zijn bij een verwerking in het algemeen ziekenhuis. Zo worden hun persoonsgegevens verwerkt met
het oog op controle, veiligheid en administratie of kunnen ze ook zelf een patiënt zijn in het ziekenhuis.
99. Het moeilijke aan heel het kwalificatieproces is dat er in de praktijk met verschillende
instrumenten tegelijkertijd rekening moet gehouden worden, enerzijds met de GDPR en anderzijds
met de algemene regeling van het ziekenhuis en individuele overeenkomst met een ziekenhuisarts. De
vraag stelt zich dan ook hoe en in welk instrument de verschillende hoedanigheden van een
ziekenhuisarts kunnen worden opgenomen.
Wanneer bijvoorbeeld de zelfstandige arts-specialist voor de gezamenlijke
verwerkingsactiviteiten beschouwd wordt als een gezamenlijke verwerkingsverantwoordelijke, kan
255 Art. 4, lid 8 GDPR. 256 Interview met Sofie Goeminne, bedrijfsjurist van AZ Alma te Eeklo, op dinsdag 9 april 2019 257 Af te leiden uit art. 4, lid 10 GDPR. 258 Art. 3, §1 koninklijk besluit nr. 38 van 27 juli 1967 houdende inrichting van het sociaal statuut der zelfstandigen.
61
een nieuwe bijlage toegevoegd worden aan de algemene regeling259 van het ziekenhuis. Deze nieuwe
bijlage houdt dan de onderlinge regeling in met afspraken omtrent wie welke verantwoordelijkheden
draagt voor welke verwerkingsactiviteit260. De nieuwe bijlage moet eerst wel goedgekeurd worden in
de raad van bestuur van het ziekenhuis en onderworpen worden aan een advies van de medische
raad261. Indien de tekst volledig goedgekeurd wordt en de bijlage wordt toegevoegd aan de algemene
regeling, stelt zich een bijkomende rechtsvraag omtrent de tegenwerpelijkheid daarvan. Is de inhoud
van de nieuwe bijlage, namelijk de hoedanigheid en gevolgen van de gezamenlijke
verwerkingsverantwoordelijkheid, tegenwerpelijk aan iedere individuele ziekenhuisarts? Het
antwoord op deze vraag hangt af van het feit of er reeds een clausule werd voorzien in de algemene
regelgeving, die stelt dat elke rechtsgeldig tot stand gekomen wijziging aan de algemene regeling
aanvaard wordt. Als zo een clausule reeds opgenomen is in de algemene regeling, heeft dit tot gevolg
dat de nieuwe toegevoegde bijlage automatisch van toepassing is op alle zelfstandige arts-specialisten.
Bijgevolg moet de nieuwe bijlage niet meer t.a.v. elke arts afzonderlijk tegenwerpelijk worden gemaakt.
Zo werd bijvoorbeeld in AZ Damiaan de gezamenlijke verwerkingsverantwoordelijkheid reeds met
succes aangenomen in een nieuwe bijlage bij de algemene regeling262.
Verder kan hierbij opgemerkt worden dat wijzigingen aan de algemene regeling in de praktijk niet altijd
even goed worden ontvangen, aangezien het zo een fundamenteel document is, de ‘grondwet’ van
het ziekenhuis. Vandaar dat in bepaalde ziekenhuizen in eerste instantie een nieuwe bijlage omtrent
de kwalificaties wordt toegevoegd aan het algemeen medisch reglement 263 , wat eerder als een
gewone wetgeving wordt gezien door de ziekenhuisartsen.264 De nieuwe bijlage moet ook in dat geval
terug goedgekeurd worden in het ziekenhuisbestuur en onderworpen worden aan het advies van de
medische raad265.
Het opnemen van een nieuwe bijlage omtrent de hoedanigheid in de individuele
overeenkomst266 van een ziekenhuisarts komt in de praktijk minder voor omdat dit administratief
259 Art. 144 ziekenhuiswet. 260 Art. 26 GDPR. 261 Art. 137, lid 1 ziekenhuiswet. 262 Interview met André Orban, DPO van AZ Alma te Eeklo, op woensdag 17 april. 263 Het reglement inzake de organisatie en de coördinatie van de medische activiteit in het ziekenhuis. 264 Interview met Joke Vanlangenaeker, juridisch beleidsadviseur en DPO van het Ziekenhuis Oost-Limburg (‘ZOL’), op dinsdag 7 mei 2019. 265 Art. 137, lid 2 ziekenhuiswet. 266 Art. 145 ziekenhuiswet.
62
meer inspanning vraagt en ook minder snel aanvaard zal worden door de individuele artsen. Sommige
artsen zien de nieuwe bijlage immers als een soort verlies.267
Het is bovendien aangewezen in de nieuwe bijlage een algemene formulering te hanteren die
gepaard gaat met praktijkvoorbeelden, vermits het bijna onmogelijk is om een allesomvattend kader
te scheppen. Bij sommige verwerkingsactiviteiten of projecten zal er intern nog verder moeten
afgesproken worden welke hoedanigheid de ziekenhuisarts krijgt.
100. Een andere denkpiste om tot een correcte kwalificatie van de zelfstandige arts-specialist in
verhouding met het ziekenhuis te komen, is door de situatie van de artsen te vergelijken met de
gelijkaardige situatie van de advocaten in een advocatenkantoor. De Gegevensbeschermingsautoriteit
stelt dat een advocaat bij de gegevensverwerkingen die hij stelt in het kader van de
vertegenwoordiging van zijn cliënten, beschouwd kan worden als verwerkingsverantwoordelijke. Dit
omwille van zijn belangrijke expertise en grote beslissingsbevoegdheid in zijn eigen dossiers. Wanneer
echter een advocaat specifieke administratieve taken onder gedetailleerde instructies van de cliënt
uitvoert, zal hij de hoedanigheid van verwerker kunnen aannemen, maar dit is eerder de
uitzondering.268 Bij de verwerkingsactiviteiten waarvan het doel en de essentiële elementen van de
middelen door zowel de advocaat als het kantoor worden bepaald, kan er sprake zijn van een
gezamenlijke verwerkingsverantwoordelijkheid. Het typevoorbeeld is het gebruiken van een
informatiesysteem, waarbij beiden inspraak hebben in het doel, de inhoud en de software ervan.269
B. Hoedanigheid van de zelfstandige arts-specialist buiten het algemeen ziekenhuis, in een
privépraktijk
101. In de praktijk komt het vaak voor dat een ziekenhuisarts ook buiten het ziekenhuis consultaties
houdt in een privépraktijk. In het kader van deze verwerkingsactiviteiten van persoonsgegevens is de
arts zelf verantwoordelijk voor de naleving van de GDPR en zal hij in principe als
verwerkingsverantwoordelijke gekwalificeerd worden. Het is immers de zelfstandige arts die het doel
en de essentiële elementen van de middelen van de verwerkingen in de privépraktijk zal bepalen. In
beginsel zal het algemeen ziekenhuis daarbij niet als verwerkingsverantwoordelijke kunnen
267 Interview met Julie Hantson, advocaat bij advocatenkantoor Hantson te Gent, op 30 april 2019.
268 GEGEVENSBESCHERMINGSAUTORITEIT (GBA), Overzicht van de begrippen verwerkingsverantwoordelijke/verwerker in het licht van de verordening (EU) nr. 2016/679 (…), https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Begrippen_VW_OA.pdf, p 6. 269 GEGEVENSBESCHERMINGSAUTORITEIT (GBA), Overzicht van de begrippen verwerkingsverantwoordelijke/verwerker in het licht van de verordening (EU) nr. 2016/679 (…), https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Begrippen_VW_OA.pdf, p 7.
63
beschouwd worden aangezien het ziekenhuis geen determinerende invloed zal hebben op de bepaling
van het doel en de middelen van die verwerkingen270.
102. Evenwel doet de zelfstandige arts in zijn privépraktijk vaak beroep op de (al dan niet
elektronische) patiëntendossiers van het ziekenhuis, hierna ‘EPD’. In het kader van de
gezondheidszorgbehandelingen in een privépraktijk worden dan persoonsgegevens verwerkt die
afkomstig zijn van het ziekenhuis, wat een invloed heeft op de hoedanigheid van het ziekenhuis onder
de GDPR. Afhankelijk van de feitelijke situatie kan het ziekenhuis als verwerker beschouwd worden,
dan wel als gezamenlijke verwerkingsverantwoordelijke.
1) De zelfstandige arts als verwerkingsverantwoordelijke en het algemeen ziekenhuis als verwerker
Het kan zijn dat de ziekenhuisarts in zijn privépraktijk gebruik maakt van het EPD van het ziekenhuis in
het kader van verwerkingsactiviteiten waar het ziekenhuis verder niets mee te maken heeft. Bijgevolg
treedt het ziekenhuis dan op als verwerker omdat zij ten behoeve van en onder instructies van de arts
het EPD bijhoudt en persoonsgegevens doorgeeft.271
2) De zelfstandige arts en het algemeen ziekenhuis zijn gezamenlijke verwerkingsverantwoordelijken
Indien de ziekenhuisarts in zijn privépraktijk beroep doet op het EPD van het ziekenhuis bij
verwerkingsactiviteiten waarbij het algemeen ziekenhuis ook daadwerkelijk betrokken is, is er sprake
van gezamenlijke verwerkingsverantwoordelijkheid. Dat is het geval wanneer zowel in de behandeling
van een patiënt door de ziekenhuisarts in zijn privépraktijk, als in dezelfde behandeling door een
ziekenhuisarts in het ziekenhuis, gebruik wordt gemaakt van het EPD272. Bijgevolg moet krachtens
artikel 26 van de GDPR een transparante regeling tussen het ziekenhuis en de ziekenhuisarts
opgemaakt worden over hun respectievelijke verantwoordelijkheden. Daarnaast kunnen ook meer
specifieke afspraken gemaakt worden omtrent het gebruikt van het EPD in de privésetting.
103. Kortom, als de arts zowel in het ziekenhuis als in zijn privépraktijk werkt met het EPD van het
ziekenhuis, moet hij voor deze verwerkingsactiviteit binnen het ziekenhuis gekwalificeerd worden als
gezamenlijke verwerkingsverantwoordelijke en voor dezelfde verwerking buiten het ziekenhuis als
zelfstandige verwerkingsverantwoordelijke. Afhankelijk van de feitelijke situatie (in het ziekenhuis of
in een privépraktijk) kan de ziekenhuisarts dus voor dezelfde verwerkingsactiviteit twee verschillende
270 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 41. 271 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 40. 272 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 40.
64
hoedanigheden aannemen. Deze verschillende kwalificaties kunnen dan opgenomen worden in twee
aparte regelingen of samen in één regeling, daarover bestaat in de praktijk nog geen eensgezindheid273.
C. Hoedanigheid van de arts-specialist in opleiding (‘ASO’) binnen het algemeen ziekenhuis
104. De arts-specialist in opleiding, hierna ‘ASO’, heeft ervoor gekozen om zich verder te
specialiseren na het behalen van zijn academische graad van arts. De specialisatie vindt plaats in een
ziekenhuis door middel van een stage, waarover een schriftelijke overeenkomst is gesloten tussen de
ASO en de stagemeester of het ziekenhuis274. Bovendien valt de ASO meestal onder een speciaal
statuut, namelijk een statuut sui generis275, maar in de overeenkomst kan ook gekozen worden voor
het werknemersstatuut276. Gedurende de stage valt de ASO onder de verantwoordelijkheid van een
erkende stagemeester, namelijk de arts die verantwoordelijk is voor de gehele of gedeeltelijke
opleiding van de ASO277. De stagemeester kan steeds gezag uitoefenen op de manier waarop de ASO
zijn taken uitvoert, kan bevelen en instructies geven en toezicht houden op het door de ASO
uitgevoerde werk278. Hieruit kan afgeleid worden dat de stagemeester over een grote beslissings- en
toezichtsbevoegdheid beschikt omwille van zijn expertise. Bijgevolg zal voor het grootste deel van de
verwerkingsactiviteiten de stagemeester als verwerkingsverantwoordelijke worden beschouwd en de
ASO in principe als bewerker. De ASO is tijdens de stage onder de leiding en het gezag van de
stagemeester gemachtigd om persoonsgegevens te verwerken. Zo worden de ASO’ers in het
ziekenhuis Oost-Limburg (het ‘ZOL’) als bewerkers gekwalificeerd 279 , waardoor zij geen
verantwoordelijkheid dragen onder de GDPR.
Vermits de ASO heel wat gevoelige gegevens verwerkt, is het aangewezen een duidelijk
privacyreglement op te stellen, dat de privacy van de betrokkene en de bescherming van de
persoonsgegevens voldoende waarborgt.
273 Interview met Sofie Goeminne, bedrijfsjurist van AZ Alma te Eeklo, op dinsdag 9 april 2019. 274 Art. 12, §2, 2° koninklijk besluit van 21 april 1983 tot vaststelling van de nadere regelen voor erkenning van artsen-specialisten en van huisartsen. 275 Een statuut met een eigen bestaansreden dat niet direct tot een welbepaalde soort behoort en nog niet voldoende is geregeld. 276 T. VANSWEEVELT en F. DEWALLENS, Handboek gezondheidsrecht – Volume I – Zorgverleners: statuut en aansprakelijkheid, Antwerpen, Intersentia, 2014, p 251. 277 Art. 1, lid 8 koninklijk besluit van 21 april 1983 tot vaststelling van de nadere regelen voor erkenning van artsen-specialisten en van huisartsen. 278 T. VANSWEEVELT en F. DEWALLENS, Handboek gezondheidsrecht – Volume I – Zorgverleners: statuut en aansprakelijkheid, Antwerpen, Intersentia, 2014, p 253. 279 Interview met Joke Vanlangenaeker, juridisch beleidsadviseur en DPO van het Ziekenhuis Oost-Limburg (‘ZOL’), op dinsdag 7 mei 2019.
65
D. Rechtsonzekerheid omtrent de hoedanigheid van de studenten-stagiairs
105. In een ziekenhuis zijn veel soorten stagiairs aan het werk, voornamelijk studenten
verpleegkunde en geneeskunde, maar ook op de medische secretariaten en logistieke diensten zijn
stagiairs terug te vinden. Patiënten hechten alsmaar meer belang aan hun privacy en zouden de
verwerkingsactiviteiten van hun gezondheidsgegevens door de studenten-stagiairs in vraag kunnen
stellen. De rechtsvraag over de hoedanigheid dringt zich dan ook op, maar in de rechtsleer heerst nog
veel rechtsonzekerheid over hoe de studenten-stagiairs precies gekwalificeerd moeten worden onder
de GDPR.
In het kader van een stage tijdens de opleiding wordt hieromtrent een stageovereenkomst gesloten
tussen het ziekenhuis en de onderwijsinstelling van de stagiair. In deze verhouding zal voor de
verwerkingsactiviteiten die gesteld worden in het raam van een medische diagnose of
gezondheidszorgbehandeling, zoals bijvoorbeeld toegang krijgen tot medische dossiers, het ziekenhuis
beschouwd worden als verwerkingsverantwoordelijke en de onderwijsinstelling als verwerker280. De
student-stagiair zal in deze context gelijkgesteld worden met een personeelslid en zal onder het
rechtstreeks gezag van het ziekenhuis gemachtigd zijn peroonsgegevens te verwerken281. Aangezien
genetische gegevens of biometrische gegevens en gezondheidsgegevens verwerkt worden tijdens de
stage moet het ziekenhuis een lijst opmaken van alle personen die toegang hebben tot deze gegevens
en telkens nauwkeurig de hoedanigheid van deze personen omschrijven282. Bovendien moet het
ziekenhuis erop toezien dat die aangewezen personen het vertrouwelijk karakter van de
persoonsgegevens respecteren door hen bijvoorbeeld, naast de wettelijke en statutaire verplichtingen,
een overeenkomst of verklaring te laten ondertekenen283.
Ook hier moet terug rekening gehouden worden met het feit dat naargelang de welbepaalde
verwerkingsactiviteiten, de actoren een andere hoedanigheid kunnen krijgen. Hierboven werd reeds
de verwerkingsactiviteit in het kader van de zorg besproken, vervolgens kan dieper ingegaan worden
op de verwerkingsactiviteit in het kader van onderwijs, voor educatieve doeleinden. Tijdens de stage
280 D. DIERCKX, Europese privacywetgeving. Handleiding voor een procedure voor gegevensbescherming in zorgvoorzieningen, Brussel, Zorgnet-Icuro, 2017, p 36; N. BROECKX (Dewallens & Partners), “GDPR – praktische invalshoeken”, verslag vergadering ziekenhuis, 21 september 2018, p 12. 281 Interview met André Orban, DPO van AZ Alma te Eeklo, op woensdag 17 april; Interview met Evelien Delbeke, advocaat bij advocatenkantoor Sanalex te Knokke, op vrijdag 26 april 2019; Interview met Joke Vanlangenaeker, juridisch beleidsadviseur en DPO van het Ziekenhuis Oost-Limburg (‘ZOL’), op dinsdag 7 mei 2019. 282 Art. 9, lid 1 en 2 wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. 283 Art. 9, lid 3 wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
66
zal de stagiair immers notities maken om die nadien in een verslag of in een eindwerk te gebruiken,
waarbij weer persoonsgegevens verwerkt worden. Voor deze verwerkingsactiviteiten zal de student-
stagiair zelf verwerkingsverantwoordelijke zijn. Bijgevolg moet de stagiair er dan zelf op toezien dat hij
de beginselen en bepalingen van de GDPR naleeft en de naleving ervan op elk moment kan aantonen.
E. In afwachting van adviezen en rechtspraak
106. Bovenstaande redeneringen over de hoedanigheid van bepaalde actoren in verhouding met
het algemeen ziekenhuis, vormen een eerste interpretatie van de rechtsvraag. Het echte antwoord op
de vraag zal pas verkregen worden wanneer dit verder uiteengezet wordt door de toezichthoudende
autoriteiten, het Europees Comité voor gegevensbescherming of de Nationale Raad van de Orde der
Artsen enz. Eventueel kunnen ook de hoven en rechtbanken naar de toekomst toe een antwoord
bieden op de rechtsvraag.
Toch is het zeker een goed idee van de ziekenhuizen om hier reeds een standpunt over in te nemen.
Indien meerdere ziekenhuizen dezelfde visie aannemen, kan dit bij de beoordeling eventueel een
gunstig richtinggevend effect hebben op de autoriteiten en rechters in kwestie.
4.3. Afsluiten van verwerkersovereenkomsten
107. Wanneer een verwerkingsverantwoordelijke voor een verwerkingsactiviteit beroep doet op
een (externe) verwerker, moet dit geregeld worden in een overeenkomst. Zo moet het algemeen
ziekenhuis telkens een ‘verwerkersovereenkomst’ afsluiten met een app- of softwareleverancier,
waarin het onderwerp, de duur, de aard en het doel van de verwerking, soorten persoonsgegevens,
categorieën van betrokkenen en de rechten en verplichtingen moeten omschreven worden284. De
verwerkersovereenkomst kan zowel schriftelijk als elektronisch opgemaakt worden 285 en een
toezichthoudende autoriteit kan hiervoor standaardcontractbepalingen opstellen286. Het Europees
Comité voor gegevensbescherming (‘EDPB’) heeft recent een opinie geschreven over het ontwerp van
standaardcontractbepalingen door de Deense toezichthoudende autoriteit287. De opinie is een handig
284 Art. 28, lid 3 GDPR. 285 Art. 28, lid 9 GDPR. 286 Art. 28, lid 8 GDPR. 287 EUROPEAN DATA PROTECTION BOARD (EDPB), Opinion on the draft Standard Contractual Clauses submitted by the DK SA (Article 28(8) GDPR), 9 juli 2019, nr. 14/2019, https://edpb.europa.eu/sites/edpb/files/files/ file1/edpb_opinion_201914_dk_scc.pdf.
67
document dat de do’s and don’ts in een verwerkersovereenkomst op een rijtje zet. Ook Zorgnet Icuro
en veel advocatenkantoren bieden reeds een modelovereenkomst aan.
Het afsluiten en controleren van verwerkersovereenkomsten is in de praktijk niet altijd even
gemakkelijk en vereist soms lange onderhandelingen288. Zo ondertekenen de verwerkers vaak de
overeenkomst niet direct en vragen eerst bijkomende aanpassingen of sturen zelf een eigen
contractvoorstel door. Op die manier trachten verwerkers afwijkingen te bekomen op de GDPR, vooral
voor wat betreft de aansprakelijkheid en GDPR-verplichtingen waaraan financiële lasten gekoppeld
zijn. Soms proberen verwerkers de kosten daarvan door te schuiven naar het ziekenhuis. Het is dus
belangrijk erop toe te zien dat de verwerkersovereenkomsten conform de GDPR opgesteld worden,
wat tot het takenpakket van de functionaris van gegevensbescherming (‘DPO’) behoort289. Bovendien
kunnen de ziekenhuizen een sterkere positie innemen tegen de machtspositie van sommige
verwerkers indien zij op eenzelfde lijn zitten en geen wijzigingen aan de overeenkomst toelaten die
niet volledig conform de GDPR zijn. Eventueel zouden de ziekenhuizen binnen hun ziekenhuisnetwerk
samen kunnen onderhandelen met gemeenschappelijke verwerkers290.
4.4. Naleving van twee nieuwe principes: gegevensbescherming door ontwerp en door
standaardinstellingen
108. In het kader van de verantwoordingsplicht 291 en de verantwoordelijkheid 292 van de
verwerkingsverantwoordelijke heeft de GDPR twee nieuwe principes ingevoerd, namelijk de
‘gegevensbescherming door ontwerp’ en de ‘gegevensbescherming door standaardinstellingen’. Beide
concepten zijn terug te vinden in artikel 25 van de GDPR, dat door sommigen als te omslachtig wordt
beschouwd. Het is een feit dat het artikel moeilijk leest, vandaar dat hierna een zo concreet mogelijke
duiding gegeven zal worden.
288 De praktijkvoorbeelden die hierna volgen, zijn gebaseerd op de interviews met Frieke Verniest, DPO van AZ Sint-Jan Brugge-Oostende AV, op dinsdag 9 april 2019 en André Orban, DPO van AZ Alma te Eeklo, op woensdag 17 april. 289 Zie uitgebreid in titel 4.5. 290 Interview met Joke Vanlangenaeker, juridisch beleidsadviseur en DPO van het Ziekenhuis Oost-Limburg (‘ZOL’), op dinsdag 7 mei 2019. 291 Art. 5, lid 2 GDPR. 292 Art. 24 GDPR.
68
4.4.1. Gegevensbescherming door ontwerp (Privacy by design)
109. Het principe ‘gegevensbescherming door ontwerp’ of ‘privacy by design’ houdt in dat de
verwerkingsverantwoordelijke van bij het begin, alvorens met een verwerking te starten, goed moet
nadenken over het luik privacy en gegevensbescherming. Hij moet proactief nadenken over hoe hij
volledig conform de GDPR persoonsgegevens kan verwerken en pas dan kan hij de naleving van de
basisbeginselen en bepalingen van de verordening daadwerkelijk aantonen. Het eerste lid van artikel
25 van de GDPR schrijft voor welke stappen de verwerkingsverantwoordelijke hierbij moet nemen. Ten
eerste moet hij passende technische en organisatorische maatregelen nemen bij het bepalen van de
verwerkingsactiviteit en de middelen die daarvoor aangewend zullen worden. Het kan daarbij gaan
over het minimaliseren van de verwerking, het zo spoedig mogelijk pseudonimiseren293 van gegevens,
het bieden van transparantie, het uitwerken van een veiligheidsbeleid… 294 Ten tweede moet de
verwerkingsverantwoordelijke voldoende waarborgen voorzien ter bescherming van de rechten van
de betrokkenen. In beide stappen moet rekening gehouden worden met de aard, de context en het
doel van de verwerking, de stand van de techniek, de uitvoeringkosten en mogelijke risico’s voor de
rechten en vrijheden van de betrokkenen.
4.4.2. Gegevensbescherming door standaardinstellingen (Privacy by default)
110. Bij de ‘gegevensbescherming door standaardinstellingen’ of ‘privacy by default’ ligt de focus
op de effectieve verwerking zelf. Privacy moet het uitgangspunt zijn in de verwerkingsactiviteit zonder
dat de betrokkene daartoe zelf maatregelen moet nemen295. Betrokkenen mogen er in principe van
uitgaan dat de verwerkingsverantwoordelijke bij elke verwerking van hun persoonsgegevens reeds een
hoge graad van privacy- en gegevensbescherming heeft ingebouwd296. Krachtens het tweede lid van
artikel 25 van de GDPR moet de verwerkingsverantwoordelijke immers passende technische en
organisatorische maatregelen treffen opdat hij conform de basisbeginselen uit artikel 5
persoonsgegevens verwerkt.
293 Zie definitie pseudonimisering in titel 3.1.6, randnummer 66. 294 Overweging 78 GDPR. 295 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 13 en 32. 296 Overweging 78 GDPR.
69
4.5. Aanstelling van een functionaris voor gegevensbescherming (Data Protection
Officer)
111. Eén van de nieuwe beroepen die de GDPR in het Belgisch rechtssysteem invoert, is de
‘functionaris voor gegevensbescherming’ of ‘Data Protection Officer’, hierna ‘DPO’297. Hij speelt een
heel belangrijke rol bij de naleving van de regels inzake gegevensbescherming en vervult in het raam
daarvan specifieke taken. Verder bepaalt de GDPR welke positie de DPO precies inneemt in zijn relatie
met de verwerkingsverantwoordelijke en verwerker.
Initieel werd het beroep doen op een functionaris voor gegevensbescherming uitgevonden door de
Duitse gegevensbeschermingsautoriteiten, maar ook Groot-Brittannië, de Verenigde Staten en de
Europese Unie werken al een lange tijd met een DPO298. Echter, hoe er precies mee omgegaan moet
worden, blijft het onderwerp van veel discussies tussen verschillende lidstaten. WP29 heeft reeds
richtlijnen uitgevaardigd voor de DPO’s, met daarin aanbevelingen voor goede praktijken299. Vermits
het werken met een functionaris voor gegevensbescherming een volledig nieuw concept is voor België,
worden in deze titel de belangrijkste aandachtspunten uiteengezet.
4.5.1. Aanwijzing van een DPO
112. In het eerste lid van artikel 37 van de GDPR is terug te vinden wanneer een functionaris voor
gegevensbescherming vereist is. Hij moet immers niet in elke situatie aangesteld worden. De
verwerkingsverantwoordelijke en verwerker zijn verplicht een DPO aan te wijzen in drie specifieke
gevallen, waarbij de kerntaak van de verwerkingsverantwoordelijke of verwerker de determinerende
factor vormt.
Ten eerste is de aanwijzing van een DPO verplicht in elk geval waarin de verwerking wordt
verricht door een overheidsinstantie of overheidsorgaan300. In de gezondheidssector is de aanstelling
van een DPO dus verplicht voor de openbare zorgvoorzieningen.
Ten tweede is het vereist een DPO aan te wijzen wanneer de verwerkingsverantwoordelijke of
verwerker hoofdzakelijk belast is met verwerkingen uit te voeren waarbij een regelmatige,
stelselmatige en grootschalige observatie van personen vereist is301. Dergelijke observatie vindt plaats
297 Art. 37 - 39 GDPR. 298 Les Gegevensbeschermingsrecht van 26 maart 2019, prof. Willem Debeuckelaere, UGent. 299 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf. 300 Art. 37, lid 1, a GDRP. 301 Art. 37, lid 1, b GDPR.
70
omwille van de aard, de omvang en doeleinden van de verwerking. Wat precies onder de termen
‘regelmatig’ en ‘stelselmatig’ moet begrepen worden, wordt niet gedefinieerd in de GDPR, maar de
WP29 heeft wel een eerste interpretatie aan deze begrippen gegeven302. Een observatie is ‘regelmatig’
wanneer deze constant of herhaaldelijk op geregeld terugkerende tijdstippen plaatsvindt en is
‘stelselmatig’ indien ze volgens een bepaalde strategie of methode gebeurt. In algemene ziekenhuizen
valt het monitoren en opvolgen van gezondheidsgegevens via draagbare apparaten onder deze
situatie 303 , want de patiënten worden constant of herhaaldelijk op vaste tijdstippen en op een
georganiseerde manier in de gaten gehouden. Een algemeen ziekenhuis is dan ook verplicht een DPO
aan te stellen in het kader van deze observaties die gepaard gaan met gegevensverwerking.
Ten slotte is er nog een derde situatie waarin de verplichting geldt een DPO aan te stellen,
namelijk wanneer de verwerkingsverantwoordelijke of verwerker als kerntaak op grote schaal
bijzondere categorieën van persoonsgegevens verwerken (zie art. 9 GDPR) of304 gegevens gerelateerd
aan strafrechtelijke veroordelingen en misdrijven verwerken (zie art. 10 GDPR)305.
113. In de laatste situatie vormt duidelijk de kerntaak van de verwerkingsverantwoordelijke of
verwerker, de verwerkingen waarmee zij hoofdzakelijk belast zijn, de determinerende factor. In
overweging 97 van de GDPR wordt gespecificeerd dat de ‘kerntaken’ van een
verwerkingsverantwoordelijke betrekking hebben op de hoofdactiviteiten en niet op de verwerking
van persoonsgegevens als nevenactiviteit. Volgens de WP29 kunnen de ‘kerntaken’ dan ook
beschouwd worden als “de belangrijkste handelingen die nodig zijn om de doelstellingen van de
verwerkingsverantwoordelijke of de verwerker te bereiken” 306 . En als de verwerking van
persoonsgegevens onlosmakelijk deel uitmaakt van de belangrijkste activiteiten, moet ook die
verwerking als kerntaak beschouwd worden. Er moet dus echt gekeken worden naar hoe belangrijk de
302 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 10 en 11. 303 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 11. 304 In de bepaling zelf wordt het woord “en” gebruikt, maar volgens de WP29 moet dit als “of” gelezen worden aangezien er geen enkele beleidsregel stelt dat beide soorten gegevens tegelijkertijd verwerkt moeten worden opdat artikel 37, lid 1, c van toepassing zou zijn (Zie GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 11). 305 Art. 37, lid 1, c GDPR. 306 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 8.
71
verwerking van persoonsgegevens is binnen het te bereiken doel. De kerntaak van een algemeen
ziekenhuis is het aanbieden van een veilige en efficiënte gezondheidszorg, maar dat doel kan niet
bereikt worden zonder het verwerken van gezondheidsgegevens307. Bijgevolg is die verwerking van
gevoelige gegevens een kerntaak van het ziekenhuis en is het ziekenhuis in dat opzicht verplicht om
een DPO aan te stellen.308
De verwerking van gezondheidsgegevens moet bovendien op grote schaal gebeuren. Wat precies
onder een ‘grootschalige’ verwerking moet verstaan worden, wordt ook niet expliciet gedefinieerd in
de GDPR en blijft een vaag begrip. In overweging 91 is hier wel een toelichting over terug te vinden,
het zou gaan over “grootschalige verwerkingen die bedoeld zijn voor de verwerking van een
aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan
een groot aantal betrokkenen gevolgen zou kunnen ondervinden en die bijvoorbeeld vanwege hun
gevoelige aard een hoog risico met zich kunnen brengen”. Specifieke of kwantitatieve criteria
vastleggen voor deze term, precieze cijfers m.b.t. de hoeveelheid verwerkte gegevens of het aantal
betrokkenen, is niet eenvoudig aangezien de cijfers in grote mate verschillen van situatie tot situatie.
Naar de toekomst toe zou wel gewerkt kunnen worden met drempelwaarden 309 . 310 De
Gegevensbeschermingsautoriteit en WP29 raden in ieder geval aan om rekening te houden met de
volgende factoren om te beoordelen of het al dan niet gaat om een ‘grootschalige’ verwerking311:
- Het aantal betrokkenen;
307 Art. 9, lid 2, h GDPR. 308 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 8. 309 De Nederlandse Autoriteit Persoonsgegevens heeft reeds drempelwaarden uitgewerkt voor de beoordeling van grootschaligheid in de zorg in welbepaalde gevallen, namelijk voor huisartsenpraktijken en instellingen voor medische specialistische zorg. De verwerking is grootschalig als die praktijk of instelling meer dan 10 000 patiënten heeft ingeschreven of als die gemiddeld meer dan 10 000 patiënten per jaar behandelt. Gegevensverwerkingen van patiënten in ziekenhuizen worden echter altijd grootschalig beschouwd. (Zie Autoriteit Persoonsgegevens, “AP geeft uitleg over grootschalige gegevensverwerking in de zorg”, 31 mei 2018, geraadpleegd op 20 mei 2019 via https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-geeft-uitleg-over-grootschalige-gegevensverwerking-de-zorg). 310 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 9. 311 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 9; Gegevensbeschermingsautoriteit, “Wat wordt bedoeld met grote schaal? Een aantal?”, geraadpleegd op 20 mei 2019 via https://www.gegevensbeschermingsautoriteit.be/wat-wordt-bedoeld-met-grote-schaal-een-aantal.
72
- De omvang van de verwerking: De hoeveelheid gegevens die verwerkt worden (‘datavolume’)
en/of de verschillende soorten persoonsgegevens die verwerkt worden;
- Het langdurig of permanent karakter van de verwerkingsactiviteit;
- De geografische reikwijdte van de verwerkingsactiviteit.
Rekening houdend met deze criteria kan de verwerking van persoonsgegevens van patiënten in de
gebruikelijke werkzaamheden van een ziekenhuis gekwalificeerd worden als een grootschalige
verwerking. Het gaat hier immers over een verwerking van grote omvang die gepaard gaat met een
groot aantal betrokkenen, een langdurig karakter en een mogelijke geografische verspreiding.
Gezondheidsgegevens worden immers regelmatig uitgewisseld tussen de verschillende
zorgvoorzieningen. Dat alles vormt een extra argument waarom in een algemeen ziekenhuis zeker en
vast een DPO moet aangewezen worden.
Nog een bijkomende factor die een rol speelt bij de beoordeling of het al dan niet gaat over een
verwerking op grote schaal, is het aantal personen dat de persoonsgegevens verwerkt312. Zo mag de
gegevensverwerking door een individuele arts of een andere zorgverlener niet als een grootschalige
verwerking beschouwd worden, want dan gaat slechts één persoon over tot de verwerking313. Een
ziekenhuisarts die dus in zijn privépraktijk gevoelige gegevens verwerkt, is niet bezig met een
verwerking op grote schaal en is dan ook niet verplicht een DPO aan te stellen314.
114. Binnen een algemeen ziekenhuis kan er voor bepaalde verwerkingsactiviteiten sprake zijn van
een gezamenlijke verwerkingsverantwoordelijkheid 315 . In principe is dan iedere
verwerkingsverantwoordelijke zelf verantwoordelijk voor de aanstelling van een DPO, maar zij kunnen
er ook voor kiezen de DPO van het ziekenhuis als gemeenschappelijke DPO aan te wijzen316. Hierover
312 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 45. 313 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 10. 314 Echter is het volgens de WP29 toch aangewezen om ook in deze situatie een DPO aan te wijzen omwille van zijn belangrijke functie in de naleving van de GDPR en zijn bijhorende taken (Zie GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 5). 315 Zie titel 4.2.5. en 4.2.6. 316 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 46.
73
moeten dan afspraken vastgelegd worden in de verplichte onderlinge regeling die afgesloten moet
worden tussen de gezamenlijke verwerkingsverantwoordelijken317.
115. Ook voor de verwerkingsactiviteiten waarbij het algemeen ziekenhuis als verwerker kan
worden beschouwd, is een DPO vereist 318 . Vermits het ziekenhuis reeds een DPO heeft in zijn
hoedanigheid als verwerkingsverantwoordelijke, kan beroep gedaan worden op diezelfde DPO voor
de activiteiten als verwerker.
4.5.2. Deskundigheid en capaciteiten van een DPO
116. Kenmerkend voor de functie van een DPO is de hoge graad van deskundigheid en de
verschillende vaardigheden die hij onder de knie moet hebben. Een DPO wordt aangewezen op basis
van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving en de praktijk
inzake gegevensbescherming319. Hij moet immers in staat zijn de in artikel 39 van de GDPR opgesomde
taken te vervullen320.
Bij de zoektocht naar de geschikte functionaris voor gegevensbescherming voor een algemeen
ziekenhuis, is het ziekenhuis opzoek naar een heel gespecialiseerd profiel, wat duidelijk wordt in het
volgende overzicht321.
- DPO als jurist: Hij moet de wet en regelgeving omtrent gegevensbescherming kennen en vooral
begrijpen. Het vereiste niveau van deskundigheid dient te worden bepaald op grond van de
uitgevoerde gegevensverwerkingsactiviteiten en de bescherming die de verwerkte gegevens
vereisen omwille van de gevoeligheid, complexiteit en hoeveelheid322. Bovendien kan de juridische
kennis goed van pas komen bij het beoordelen en zelf opstellen van verwerkersovereenkomsten.
- DPO als ICT’er: Hij moet technisch sterk zijn en een basiskennis hebben over ICT en informatica.
Het is immers belangrijk om te weten hoe en via welke informatiesystemen de persoonsgegevens
precies beveiligd worden. Op dat vlak kan de DPO zich ook laten bijstaan door een ICT-team of kan
hij voor het ICT-luik beroep doen op de informatieconsulent van het ziekenhuis.
317 Art. 26, lid 1 GDPR. 318 Zie titel 4.2.5, randnummer 94. 319 Art. 37, lid 5 GDPR. 320 Zie uitgebreid in titel 4.5.3.
321 Het overzicht is gebaseerd op de interviews die in het kader van deze masterproef afgelegd werden met DPO’s van verschillende ziekenhuizen (Zie bibliografie). 322 Overweging 97 GDPR; GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 13.
74
- DPO als goede communicator: Hij moet communicatief sterk zijn, aangezien hij een belangrijk
aanspreekpunt vormt en intern opleidingen en infosessies zal organiseren. Bovendien brengt hij
ook rechtstreeks verslag uit aan de directie van het ziekenhuis.
- Ten slotte is het een grote meerwaarde als een DPO de organisatie en de gang van zaken in het
ziekenhuis goed kent. Het is zeer handig om als DPO de cultuur van het ziekenhuis te kennen en
zo zijn taken sneller succesvol uit te voeren. Dan kan men iets op een juiste manier aanpakken,
stap voor stap, op het juiste moment en heeft men een grote kans op realisatie en succes.
Het is niet evident voor ziekenhuizen om een DPO te vinden die over alle bovenstaande competenties
beschikt. Vandaar dat verschillende instituten praktijkgerichte opleidingen aanbieden, waarna de
functionarissen voor gegevensbescherming een certificaat kan voorleggen. Deze opleidingen zeggen
echter niets over de professionele kwaliteiten of de ervaring van een DPO.
117. In de praktijk wordt de informatieveiligheidsconsulent soms verward met de functionaris voor
gegevensbescherming. De informatieveiligheidsconsulent staat in voor de informatieveiligheid en de
gegevensbeveiliging binnen het ziekenhuis. Deze functie toont zeker gelijkenissen met de functie van
DPO, maar valt er niet automatisch mee samen 323 . Het ziekenhuis kan er wel voor kiezen de
informatieveiligheidsconsulent aan te stellen als DPO van het ziekenhuis, op voorwaarde dat de
consulent de vereiste professionele kwaliteiten en deskundigheid heeft om de taken van een DPO uit
te voeren324.
118. De functie van DPO kan overigens ingevuld worden door een personeelslid van de
verwerkingsverantwoordelijke of door de verwerker zelf of de DPO kan zijn taken op grond van een
dienstverleningsovereenkomst verrichten325. Het is ook een optie om een team rond de functionaris
voor gegevensbescherming te vormen, een ‘DPO-team’ of ‘data protection office’326. Dit kan nodig zijn
omwille van de grootte en de structuur van een algemeen ziekenhuis waardoor de DPO een grote
werklast heeft. Werken in team is interessant, aangezien de expertise en gespecialiseerde
vaardigheden van meerdere profielen gecombineerd worden. Op die manier kan de DPO zijn taken
323 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 54. 324 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 55. 325 Art. 37, lid 6 GDPR. 326 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 15 en 18; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 56.
75
optimaal uitoefenen. Wanneer het algemeen ziekenhuis een DPO-team samenstelt, moeten de taken
en verantwoordelijkheden binnen het team concreet verdeeld worden en moet één persoon effectief
als DPO aangeduid worden, die vervolgens optreedt als interne en externe contactpersoon. Met
betrekking tot de wettelijke opdrachten van de DPO moeten de teamleden de instructies van de
aangewezen DPO volgen.
119. Van zodra een DPO is aangewezen, moet het algemeen ziekenhuis de contactgegevens van de
functionaris voor gegevensbescherming publiceren op haar website en in zijn privacyreglement en
moeten de contactgegevens meegedeeld worden aan de Gegevensbeschermingsautoriteit327. Het is
belangrijk dat de betrokkenen op een eenvoudige manier contact kunnen opnemen met de DPO. Het
is dan ook aangewezen een apart e-mailadres aan te maken zoals ‘[email protected]’ en een
onlinecontactformulier ter beschikking te stellen328.
4.5.3. Takenpakket van een DPO
120. De DPO-functie is belangrijk omdat hij de verwerkingsverantwoordelijke en verwerker helpt
conform de GDPR persoonsgegevens te verwerken. Hij informeert en adviseert het algemeen
ziekenhuis over de GDPR-verplichtingen en ziet toe op de naleving van de bepalingen van de
verordening, overige privacyregels en het privacybeleid van het ziekenhuis329. WP29 verduidelijkt in
zijn richtlijn wat precies onder ‘de controle op de naleving’ moet verstaan worden en benadrukt dat
de DPO niet verantwoordelijk is voor de eventuele niet-naleving330. De eindverantwoordelijkheid voor
de naleving van de GDPR blijft op het ziekenhuis als verwerkingsverantwoordelijke rusten331. Zo is het
in de praktijk vaak de DPO die inventarissen opmaakt en een register van de verwerkingsactiviteiten
bijhoudt op basis van informatie over de verwerkingen, die hem wordt verleend door de verschillende
327 Art. 37, lid 7 GDRP. 328 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 51. 329 Art. 39, lid 1, a en b GDPR. 330 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 21. 331 Art. 24, lid 1 GDPR; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 48.
76
diensten in het ziekenhuis332. Echter, is het finaal de verwerkingsverantwoordelijke of verwerker die
verantwoordelijk is voor de naleving van de verplichtingen inzake het register333.
Ook m.b.t. een gegevensbeschermingseffectbeoordeling 334 heeft de DPO een advies- en
toezichthoudende functie335. Het algemeen ziekenhuis is vrij al dan niet de adviezen te volgen.
Ten aanzien van de toezichthoudende autoriteit en de betrokkenen treedt de DPO op als
aanspreekpunt336. Er kan contact opgenomen worden met de DPO voor alle aangelegenheden die
verband houden met de gegevensverwerking. Omgekeerd kan de DPO wanneer hij dit relevant acht,
in het kader van een verwerking contact opnemen met de toezichthoudende autoriteit en haar advies
vragen.
121. De belangrijkste taak uit het takenpakket van de DPO is sensibilisering, bewustwording creëren
in het ziekenhuis betreffende de GDPR337. Dit vormt eigenlijk het startpunt van de omzetting van het
hele GDPR-verhaal in de praktijk. Om het algemeen ziekenhuis en haar actoren meer inzicht te
verschaffen in gegevensbescherming, organiseert de DPO veel infosessies. In eerste instantie zijn dit
algemene infosessies, waar alle actoren welkom zijn. Nadien kunnen individuele infosessies per dienst
gehouden worden. Bijkomend kan een verdere toelichting bij de GDPR gepubliceerd worden in het
informatieblad of op de website van het ziekenhuis. Verder lanceert de DPO affichecampagnes in het
ziekenhuis om bijvoorbeeld de zorgverleners erop te wijzen telkens hun computer te vergrendelen bij
vertrek en om discreter om te springen met informatie die ze delen in de gang of in de lift. Daarnaast
kan een DPO ook verdere richtlijnen uitvaardigen over de manier waarop mondelinge en elektronische
communicatie gevoerd moet worden. Het doel van al deze acties is meer bewustzijn creëren, namelijk
dat de verschillende actoren bij de uitvoering van hun taken ook het luik privacy en
gegevensbescherming in acht moeten nemen. De stap die volgt na sensibilisering, is borging. De DPO
zal ervoor zorgen dat de verworven inzichten niet vervagen en tracht het privacybeleid in het
ziekenhuis verder te optimaliseren.
332 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 23. 333 Art. 30, lid 1 en lid 2 GDPR. 334 Zie uitgebreid in titel 4.7. 335 Art. 35, lid 2 en artikel 39, lid 1, c GDPR; GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 21 en 22. 336 Art. 38, lid 4 en art. 39, lid 1, d en e GDPR. 337 Interview met Frieke Verniest, DPO van AZ Sint-Jan Brugge-Oostende AV, op dinsdag 9 april 2019; Interview met André Orban, DPO van AZ Alma te Eeklo, op woensdag 17 april.
77
122. In het eerste lid van artikel 39 van de GDPR wordt een lijst opgesomd van de taken die een
DPO ten minste moet vervullen voor de gegevensbescherming. Naast deze wettelijke opdrachten kan
een DPO ook andere taken uitoefenen338 . In het kader van bijvoorbeeld een buitengerechtelijke
bemiddeling bij een geschil tussen het algemeen ziekenhuis en een betrokkene, kan beroep worden
gedaan op de DPO. Als het gevoel van vertrouwen bij de betrokkene beschadigd is, kan de DPO zijn
hulp aanbieden bij het zoeken naar een gepaste oplossing.
Bovendien mag de functie van DPO gecumuleerd worden met andere functies binnen of buiten het
ziekenhuis. Zo kan een DPO naast zijn DPO-functie voor x aantal procent aangesteld zijn in het
ziekenhuis als juridisch bedrijfsadviseur339. De bijkomende opdrachten mogen wel niet leiden tot een
belangenconflict. Dit betekent dat de een DPO binnen het ziekenhuis geen functie mag invullen waarbij
hij het doel en de middelen van een gegevensverwerking bepaalt of waarbij hij zelf persoonsgegevens
verwerkt ten behoeve van het ziekenhuis 340 . Met andere woorden moet een DPO binnen het
ziekenhuis duidelijk onderscheiden worden van de verwerkingsverantwoordelijke of verwerker. Een
belangenconflict zou zich bijvoorbeeld kunnen voordoen wanneer iemand, naast de DPO-functie, ook
de functie van directielid of medisch diensthoofd in het ziekenhuis uitoefent. Bovendien moet het
ziekenhuis voorkomen dat de cumulatie van functies ertoe zou leiden dat er onvoldoende tijd overblijft
voor de DPO om zijn wettelijke taken behoorlijk te kunnen vervullen341. De taken van een DPO mogen
immers niet verwaarloosd worden. Vandaar dat het aangewezen is vast te leggen hoeveel procent of
uren/dagen per week van de beschikbare tijd besteed wordt aan het uitoefenen van de DPO-functie342.
123. Het is een goede praktijk om een duidelijk overzicht te maken van het volledig takenpakket
van de DPO binnen het algemeen ziekenhuis en het bijhorend niveau van prioriteit te bepalen343. De
gedragscode van Zorgnet Icuro wijst erop dat een DPO steeds voorrang moet geven aan de
gegevensverwerkingen die de grootste risico’s voor de betrokkenen inhouden, meer bepaald de
338 Art. 38, lid 6 GDPR. 339 Interview met Joke Vanlangenaeker, juridisch beleidsadviseur en DPO van het Ziekenhuis Oost-Limburg (‘ZOL’), op dinsdag 7 mei 2019. 340 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 55. 341 Art. 38, lid 2 GDPR. 342 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 17. 343 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 17.
78
verwerkingen van gezondheidsgegevens van patiënten344. Vermits een DPO tijdens de uitvoering van
zijn taken in aanraking komt met veel gevoelige informatie, is hij onderworpen aan een
geheimhoudings- of vertrouwelijkheidsplicht overeenkomstig van het EU-recht of nationaal recht345.
Bijkomend kan het ziekenhuis de DPO een extra vertrouwelijkheidsclausule laten ondertekenen.
4.5.4. Positie van een DPO ten opzichte van de verwerkingsverantwoordelijke of verwerker
A. Betrokkenheid van de DPO
124. Het eerste lid van artikel 38 van de GDPR schrijft voor dat de DPO zo vroeg mogelijk moet
betrokken worden bij alle aangelegenheden die verband houden met de gegevensbescherming. Dit
bevordert de optimale naleving van de GDPR. Het is dus aangewezen vóór de start van een nieuw
project de DPO hiervan op de hoogte te brengen, want dan kan hij bijvoorbeeld al relevante informatie
verzamelen die nodig is om het register van de verwerkingsactiviteiten aan te vullen of kan hij duiden
dat er een risicoanalyse zal moeten gebeuren. Dergelijke betrokkenheid komt tot uiting wanneer een
DPO regelmatig samenzit met directieleden van het ziekenhuis of met een opgerichte stuurgroep
omtrent de GDPR346.
B. Ondersteuning van de DPO
125. Tussen de DPO en het ziekenhuis moet een goede wisselwerking bestaan. De
verwerkingsverantwoordelijke en verwerker moeten een DPO de nodige ondersteuning bieden opdat
hij zijn wettelijke opdrachten naar behoren kan uitvoeren. Krachtens artikel 38, lid 2 van de GDPR
houdt dergelijke ‘ondersteuning’ in dat de DPO toegang moet krijgen tot persoonsgegevens en
verwerkingsactiviteiten, de nodige middelen hem ter beschikking gesteld moeten worden en zijn
deskundigheid in stand moet gehouden worden.
Ten eerste moet een DPO toegang krijgen tot de relevante persoonsgegevens en
verwerkingsactiviteiten. Indien hij hiertoe geen toegang krijgt, zal het immers moeilijk worden om na
te gaan of de verwerkingen binnen het ziekenhuis aan de GDPR-vereisten voldoen. Het verschaffen
van toegang maakt op zijn beurt een verwerkingsactiviteit uit, waarbij bijgevolg ook de beginselen en
bepalingen van de GDPR gerespecteerd moeten worden. Het ziekenhuis verleent toegang aan de DPO
conform de basisbeginselen van doelbinding en minimale gegevensverwerking. Bovendien zal de DPO
344 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 54. 345 Art. 38, lid 5 GDPR. 346 Interview met Frieke Verniest, DPO van AZ Sint-Jan Brugge-Oostende AV, op dinsdag 9 april 2019; Interview met André Orban, DPO van AZ Alma te Eeklo, op woensdag 17 april; Interview met Joke Vanlangenaeker, juridisch beleidsadviseur en DPO van het Ziekenhuis Oost-Limburg (‘ZOL’), op dinsdag 7 mei 2019.
79
pas inzage krijgen als de betrokkenen hun toestemming hiervoor hebben gegeven
(rechtmatigheidsbeginsel)347.
Ten tweede biedt het ziekenhuis ondersteuning aan de DPO door middel van het leveren van
de nodige middelen. WP29 verklaart in zijn richtlijnen wat precies onder de ‘nodige middelen’ verstaan
moet worden348:
- Voldoende tijd om de taken naar behoren uit te voeren;
- Financiële middelen, materiaal, infrastructuur en personeel waar nodig;
- Officiële bekendmaking aan het personeel van de aanstelling van de DPO;
- Permanente vorming: Het ziekenhuis moet de DPO de kans bieden om op de hoogte te blijven van
nieuwe ontwikkelingen op het vlak van gegevensbescherming. Het niveau van deskundigheid
wordt behouden of verhoogt door het bijwonen van studiedagen, congressen, workshops,
cursussen...
C. Onafhankelijkheid van de DPO
126. Kenmerkend voor de functie van DPO is het autonoom karakter. Hij moet zijn functie
onafhankelijk kunnen uitoefenen. Dit betekent dat het algemeen ziekenhuis haar DPO geen instructies
mag geven over hoe hij zijn taken moet uitvoeren 349. Wanneer een eigen personeelslid van het
ziekenhuis optreedt als DPO, blijft deze onafhankelijkheid gelden.
D. Ontslag en sancties
127. Verder bepaalt het derde lid van artikel 38 van de GDPR dat een DPO niet ontslagen en direct
of indirect gestraft mag worden voor de uitvoering van zijn taken. Een DPO beschikt dus over
voldoende bescherming om zijn opdrachten vlot en deskundig tot een goed einde te brengen. Om
andere redenen dan voor de uitvoering van zijn taken als DPO, kan hij wel rechtmatig ontslagen
worden.
4.5.5. Ziekenhuisnetwerken brengen DPO’s bij elkaar
128. Ziekenhuizen moeten zich organiseren in netwerken naar aanleiding van de nieuwe
richtsnoeren van Maggie De Block. Op het niveau van de ziekenhuisnetwerken bestaan reeds diverse
werkgroepen. Zo zitten de CEO’s, ICT’ers of ziekenhuisjuristen van de verschillende ziekenhuizen
347 Art. 9, lid 2, a GDPR. 348 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 17 en 18. 349 Art. 38, lid 3 GDPR.
80
binnen eenzelfde netwerk op regelmatige basis samen. Naar analogie kunnen binnen eenzelfde
netwerk ook de DPO’s van elk ziekenhuis samen te werk gaan en hun krachten bundelen350. De
ziekenhuisnetwerken zijn in dat opzicht een zegen voor de nieuwe DPO-functie. Op lange termijn zou
er een handige wisselwerking kunnen ontstaan tussen de verschillende DPO’s, waarbij de ene DPO zich
bijvoorbeeld meer focust op de sensibilisering binnen het netwerk, een andere DPO zich meer
specialiseert rond klinische studies en nog iemand anders rond verwerkersovereenkomsten... Op die
manier kan op het niveau van de ziekenhuisnetwerken een DPO-team gevormd worden, waarin ieder
zijn expertise heeft, met in elk ziekenhuis een duidelijk aanspreekpunt. Bovendien zal dan het
ziekenhuisnetwerk de financiën van het DPO-team op zich nemen.
Naast deze mogelijkheid om op netwerkniveau samen te werken, is het ook een optie om op
provinciaal niveau de handen in elkaar te slaan351.
4.5.6. Lacune wat betreft financiering
129. Een algemeen ziekenhuis moet conform de GDPR aan gegevensverwerking doen. Dit brengt
nieuwe financiële lasten met zich mee, maar het budget van financiële middelen voorziet daarvoor
geen extra financiering. Het ziekenhuis is krachtens de GDPR verplicht een DPO aan te wijzen, maar de
kosten hiervan worden niet vergoed door de overheid.
4.6. Bijhouden van een register van de verwerkingsactiviteiten
130. De GDPR voert de nieuwe verplichting in om een intern register aan te leggen en bij te houden
van alle verwerkingsactiviteiten. Zowel de verwerkingsverantwoordelijke als de verwerker zijn
verplicht een ‘register van de verwerkingsactiviteiten’ bij te houden352. Deze verplichting vervangt de
afgeschafte aangifteplicht 353 van vóór de inwerkingtreding van de GDPR en doet nu dienst als
accountability-instrument in functie van de aansprakelijkheid en verantwoordelijkheid van de
verwerkingsverantwoordelijke (en indirect van de verwerker)354. De naleving van de GDPR kan pas
350 Interview met Frieke Verniest, DPO van AZ Sint-Jan Brugge-Oostende AV, op dinsdag 9 april 2019; Interview met André Orban, DPO van AZ Alma te Eeklo, op woensdag 17 april. 351 Interview met Joke Vanlangenaeker, juridisch beleidsadviseur en DPO van het Ziekenhuis Oost-Limburg (‘ZOL’), op dinsdag 7 mei 2019. 352 Art. 30, lid 1 en lid 2 GDPR. 353 Zie titel 4.1. 354 COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER (CBPL), Aanbeveling betreffende het Register van de verwerkingsactiviteiten (artikel 30 van de AVG), 14 juni 2017, nr. 06/2017, https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/aanbeveling_06_2017_0.pdf, p 7.
81
gegarandeerd worden wanneer de verwerkingsverantwoordelijke en verwerker een overzicht hebben
van alle gegevensverwerkingen die zij verrichten en kunnen identificeren. Bovendien houdt het een
documentatieplicht in die voortvloeit uit de nieuwe verantwoordingsplicht. Door alles in een register
te documenteren, kan de naleving van de GDPR daadwerkelijk aangetoond worden. Kortom, de
nieuwe verplichting zet aan tot denken over de verwerking van persoonsgegevens en creëert meer
bewustwording omtrent gegevensbescherming.
In deze titel wordt dieper ingegaan op wie zo een register precies moet aanleggen en vervolgens op
de vorm, de inhoud en de duur ervan.
4.6.1. Wie moet het register aanleggen?
131. Zowel de verwerkingsverantwoordelijke als de verwerker zijn verplicht een register van de
verwerkingsactiviteiten bij te houden 355 . Een algemeen ziekenhuis kan naargelang de
verwerkingsactiviteit beschouwd worden als verwerkingsverantwoordelijke, dan wel als verwerker356.
Bijgevolg kan het ziekenhuis ervoor opteren in beide hoedanigheden een afzonderlijk register aan te
leggen: enerzijds een register voor alle gegevensverwerkingsactiviteiten die onder haar
verantwoordelijkheid vallen en anderzijds een register voor de verwerkingen die zij ten behoeve van
een verwerkingsverantwoordelijke heeft verricht. Echter is het ziekenhuis niet verplicht twee aparte
registers bij te houden. Zij kan ook kiezen voor één register met daarin alle verwerkingsactiviteiten,
mits dan wel duidelijk aangegeven wordt in welke hoedanigheid elke verwerking werd uitgevoerd357.
In verhouding met de ziekenhuisartsen kan er eventueel sprake zijn van gezamenlijke
verwerkingsverantwoordelijkheid. Dan volstaat het de gezamenlijke verwerkingsactiviteiten op te
nemen in het register van het ziekenhuis als verwerkingsverantwoordelijke 358 . De gezamenlijke
verwerkingsverantwoordelijkheid moet dan wel telkens uitdrukkelijk vermeld worden.
132. Bij de uiteenzetting van de nieuwe DPO-functie werd reeds opgemerkt dat het vaak de DPO is
die in de praktijk het register van het ziekenhuis aanlegt en bijhoudt onder de verantwoordelijkheid
355 Art. 30, lid 1 en lid 2 GDPR. 356 Zie titel 4.2.5. 357 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 58 en 62. 358 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 58.
82
van de zorgvoorziening. Het ziekenhuis kan de DPO met deze taak belasten omdat dergelijk register
een belangrijk hulpmiddel is voor de functionaris bij het uitvoeren van zijn wettelijke taken359.
4.6.2. Vorm van het register
133. Het ziekenhuis is volledig vrij om zelf te bepalen op welke manier het register van de
verwerkingsactiviteiten wordt opgemaakt. De GDPR vereist enkel dat het register schriftelijk of
elektronisch wordt bijgehouden360. Er zijn reeds verschillende modellen van zo een register terug te
vinden in de praktijk.
4.6.3. Inhoud van het register
134. Artikel 30, lid 1 en 2 van de GDPR schrijft voor welke informatie m.b.t. de
verwerkingsactiviteiten van respectievelijk de verwerkingsverantwoordelijke en de verwerker
opgenomen moet worden in het register. De informatie in het register moet bovendien regelmatig
bijgewerkt worden opdat de gegevens accuraat en up-to-date blijven.
In principe moet de inhoud van het register niet openbaar gemaakt worden, het register moet niet ter
beschikking worden gesteld van het publiek. De toezichthoudende autoriteit 361 en de
verwerkingsverantwoordelijke kunnen wel inzage krijgen in het register, aangezien het voor hen een
accountability-instrument is. Aan de hand van het register kunnen zij controleren op de naleving van
de GDPR en kunnen zij die naleving ook daadwerkelijk aantonen. Daarnaast is het register ook een
handig hulpmiddel wanneer een betrokkene wil weten welke gegevens over hem verwerkt worden of
bij welke verwerkingsactiviteiten zijn gegevens verwerkt worden.
4.6.4. Bewaartermijn van de informatie in het register
135. De vraag stelt zich hoe lang informatie in het register moet bewaard worden nadat een
verwerkingsactiviteit beëindigd is. De GDPR geeft hier geen antwoord op. De Privacycommissie stelt
dat het voor de verwerkingsverantwoordelijke en verwerker soms nuttig kan zijn informatie omtrent
een beëindigde verwerking te blijven bewaren362. De toezichthoudende autoriteit kan immers, met
inachtneming van de toepasselijke verjaringstermijnen van de vorderingen, nog toegang vragen tot
359 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf, p 23. 360 Art. 30, lid 3 GDPR. 361 Art. 30, lid 4 GDPR. 362 COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER (CBPL), Aanbeveling betreffende het Register van de verwerkingsactiviteiten (artikel 30 van de AVG), 14 juni 2017, nr. 06/2017, https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/aanbeveling_06_2017_0.pdf, p 19.
83
het register in het kader van controles die zij kan uitvoeren nadat een verwerking is stopgezet. In dat
opzicht is het aangewezen de bewaartermijn af te stemmen op de verjaringstermijn voor de
aansprakelijkheid van het ziekenhuis363. Concreet kan een bewaartermijn van minstens 20 jaar na de
beëindiging van de verwerkingsactiviteit als richtlijn genomen worden.
4.7. Uitvoeren van gegevensbeschermingseffectbeoordelingen (Data Protection Impact
Assessments)
136. Vermits een algemeen ziekenhuis optreedt als verwerkingsverantwoordelijke, is zij in bepaalde
gevallen verplicht een ‘gegevensbeschermingseffectbeoordeling’ of ‘data protection impact
assessment’, hierna ‘DPIA’, uit te voeren364. Een DPIA vindt plaats vóóraleer een verwerkingsactiviteit
van start gaat en houdt een risicoanalyse in. De verwerkingsverantwoordelijke gaat na of de
verwerking eventueel risico’s kan inhouden voor de rechten en vrijheden van de betrokkenen. Na de
inschatting van de risico’s kunnen vervolgens de passende maatregelen bepaald worden die nodig zijn
om de risico’s aan te pakken en om conform de GDPR gegevens te verwerken. De
gegevensbeschermingseffectbeoordelingen worden door de GDPR ingevoerd in functie van de
verantwoordelijkheid van de verwerkingsverantwoordelijke en de nieuwe verantwoordingsplicht,
want door middel van een DPIA kan het ziekenhuis daadwerkelijk de naleving van de GDPR aantonen.
Hieronder worden de belangrijkste aspecten voor het uitvoeren van een DPIA uiteengezet.
4.7.1. Verwerkingen waarvoor een DPIA vereist is
137. Het ziekenhuis moet niet voor iedere verwerking een
gegevensbeschermingseffectbeoordeling uitvoeren. Artikel 35, lid 1 van de GDPR schrijft duidelijk voor
dat een DPIA pas vereist is als een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten
en vrijheden van de betrokkenen. Daarnaast laat GDPR toe aan de toezichthoudende autoriteit om
een lijst op te stellen van verwerkingsactiviteiten waarbij het uitvoeren van een DPIA steeds verplicht
363 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 64. 364 Art. 35 GDPR.
84
is365. De Privacycommissie heeft al zo een lijst opgesteld366, die reeds beoordeeld werd door het
Europees Comité voor gegevensbescherming (‘EDPB’)367.
138. Wanneer de verwerking niet op de lijst van de Privacycommissie staat, moet het ziekenhuis
nagaan of de verwerking ‘waarschijnlijk een hoog risico’ vertoont voor de rechten en vrijheden van de
betrokkenen. Het gaat over de gegevensverwerkingen waarvan het waarschijnlijk is dat zij wezenlijke
nadelige gevolgen zullen of kunnen hebben voor de fundamentele rechten en vrijheden van de
betrokkenen, waaronder privacy368.
De GDPR somt zelf al drie verwerkingen op die onder bovenstaande formulering vallen en dus een
‘waarschijnlijk hoog risico’ inhouden. Bijgevolg is voor de volgende drie verwerkingen een DPIA
vereist369:
- Een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen,
die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten
worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de
natuurlijke persoon op vergelijkbare wijze wezenlijk treffen – Bv. het opstellen van
evaluatieverslagen van het personeel;
- Een grootschalige370 verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in
artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare
feiten als bedoeld in artikel 10 – Voor de verwerking van gezondheidsgegevens zal het ziekenhuis
altijd vooraf een DPIA moeten uitvoeren;
- De stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten – Bv.
camerabeveiliging.
365 Art. 35, lid 4 GDPR. 366 COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER (CBPL), Aanbeveling uit eigen beweging met betrekking tot de gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging, 28 februari 2018, nr. 01/2018, https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/ files/documents/aanbeveling_01_2018.pdf, bijlage 2, p 42 - 44. 367 EUROPEAN DATA PROTECTION BOARD (EDPB), Opinion on the draft list of the competent supervisory authority of Belgium regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR), 25 september 2018, nr. 2/2018, https://edpb.europa.eu/sites/edpb/files/files/file1/2018-09-25-opinion_2018_art._64_be_sas_dpia_list_en.pdf. 368 COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER (CBPL), Aanbeveling uit eigen beweging met betrekking tot de gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging, 28 februari 2018, nr. 01/2018, https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/ files/documents/aanbeveling_01_2018.pdf, bijlage 2, p 8. 369 Art. 35, lid 3 GDPR; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 68. 370 Zie definitie ‘grootschalig’ in titel 4.5.1, randnummer 113.
85
Voor de overige verwerkingen moet het ziekenhuis zelf beoordelen of er sprake is van een
waarschijnlijk hoog risico. WP29 heeft in het kader van deze beoordeling negen risicocriteria voorop
gesteld, die in aanmerking moeten genomen worden371. Voor een duidelijk overzicht van deze criteria
met bijhorende praktijkvoorbeelden wordt verwezen naar de gedragscode van Zorgnet Icuro372. Hoe
meer van deze risicocriteria bij een bepaalde verwerking vervuld zijn, hoe groter de kans is dat de
verwerking ‘waarschijnlijk een hoog risisco’ inhoudt. De vuistregel is dat wanneer een verwerking aan
twee of meer criteria voldoet, een DPIA vereist is. In geval van twijfel raadt de WP29 toch aan om een
DPIA uit te voeren. Het ziekenhuis zal bij de verwerking van genetische en gezondheidsgegevens
telkens vooraf een risiscoanalyse moeten doorvoeren, vermits deze verwerking altijd minstens aan
twee risicocriteria voldoet: (1) het is een verwerking van gevoelige gegevens of gegevens van zeer
persoonlijke aard, (2) het kan een verwerking uitmaken van gegevens over kwetsbare betrokkenen,
zoals kinderen, ouderen of geesteszieken, (3) het is een grootschalige verwerking. Hierbij moet
bijkomend opgemerkt worden dat wanneer reeds een DPIA werd uitgevoerd voor een ‘vergelijkbare’
verwerking, geen tweede risicoanalyse moet plaatsvinden373.
139. Indien uit bovenvermelde beoordeling zou blijken dat de verwerking inderdaad een hoog risico
zou opleveren indien het ziekenhuis geen passende maatregelen neemt om het risico te beperken,
moet het ziekenhuis voorafgaand aan de verwerking de Gegevensbeschermingsautoriteit
raadplegen374.
4.7.2. Lijst Privacycommissie van verwerkingen waarvoor geen DPIA vereist is.
140. De Privacycommissie heeft ook reeds een lijst opgesteld van de soort verwerkingen waarvoor
geen DPIA verplicht is 375 . Zo zal er bijvoorbeeld voor de verwerkingen in het kader van
loonadministratie, personeelsadministratie en boekhouding geen DPIA vooraf vereist zijn.
371 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking “waarschijnlijk een hoog risico inhoudt” in de zin van Verordening 2016/679, 4 oktober 2017, WP248, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf, p 10 – 13. 372 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 69 - 70. 373 Art. 35, lid 1 GDPR. 374 Art. 36, lid 1 GDPR. 375 Art. 35, lid 5 GDPR; COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER (CBPL), Aanbeveling uit eigen beweging met betrekking tot de gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging, 28 februari 2018, nr. 01/2018, https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/aanbeveling_01_2018.pdf, bijlage 3, p 45 – 47; T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 71 - 72.
86
4.8. Melden van inbreuken via een incidentmeldingssysteem (report data breaches)
141. Ondanks alle geleverde inspanningen, kan het toch gebeuren dat er een inbreuk op de GDPR
vastgesteld wordt in het ziekenhuis. Een ‘inbreuk in verband met persoonsgegevens’ of ‘gegevenslek’
wordt ruim geïnterpreteerd door de GDPR. Het omvat namelijk “elke inbreuk op de beveiliging die per
ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde
verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte
gegevens”376. Het typevoorbeeld van een gegevenslek is het schenden van de vertrouwelijkheid van
gegevens door ze mee te delen of ter beschikking te stellen aan personen die daartoe niet gerechtigd
of gemachtigd zijn. In een algemeen ziekenhuis gebeurt het wel eens dat zorgverleners of ander
personeel gevoelige gegevens kunnen inkijken, terwijl zij daar eigenlijk helemaal geen toegang toe
mogen hebben. Wanneer zo’n situatie zich voordoet, moet het incident gemeld worden aangezien de
GDPR in een meldingsplicht voorziet377.
Hieronder wordt een korte toelichting gegeven over de inrichting van een incidentmeldingssysteem,
de specifieke meldingsplicht, documentatieplicht bij inbreuken en de cyberrisicoverzekering. Voor een
diepgaandere uiteenzetting kan doorverwezen worden naar de richtsnoeren van de WP29378.
4.8.1. Inrichten van een incidentmeldingssysteem
142. Vermits het ziekenhuis als verwerkingsverantwoordelijke verantwoordelijk is voor het nemen
van passende beveiligingsmaatregelen379 en de GDPR een meldingsplicht bij inbreuken voorschrijft,
draagt het ziekenhuis de eindverantwoordelijkheid voor de incidentmelding. Het ziekenhuis moet
bijgevolg een incidentmeldingssysteem uitwerken, zodat de zorgverleners en personeelsleden weten
wat er precies moet gebeuren wanneer er zich een gegevenslek voordoet. Het moet in elk geval
duidelijk zijn in welke gevallen aan wie de melding moet gebeuren.
376 Art. 4, lid 12 GDPR. 377 Art. 33 en 34 GDPR. 378 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren voor de melding van inbreuken in verband
met persoonsgegevens krachtens Verordening 2016/679, 6 februari 2018, WP250,
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/guidelines_meldplicht_datalekken.pdf.
379 Art. 32 GDPR.
87
4.8.2. Meldingsplicht bij inbreuken
143. De GDPR voert enkel een meldingsplicht in voor ‘inbreuken in verband met persoonsgegevens’.
In de inleiding van deze titel werd reeds besproken wat hieronder verstaan wordt. Aan wie deze
inbreuken gemeld moeten worden is afhankelijk van het risico dat de inbreuk inhoudt voor de rechten
en vrijheden van de betrokkenen380. Hieruit volgt dat het ziekenhuis eerst een risicoanalyse moet
uitvoeren om te weten aan wie het incident gemeld moet worden. Er moet een onderscheid gemaakt
worden tussen de inbreuken die ‘waarschijnlijk geen risico’ inhouden, ‘waarschijnlijk wel een risico’
inhouden en de inbreuken die een ‘waarschijnlijk hoog risico’ hebben. Voor wat betreft de beoordeling
over het al dan niet bestaan van zo een risico, kunnen dezelfde risicocriteria als bij een DPIA in
aanmerking genomen worden381. Belangrijk hierbij op te merken is dat ieder incident in verband met
persoonsgegevens, ongeacht het risico, steeds intern gemeld moet worden via het uitgewerkt
incidentmeldingssysteem. Bovendien geldt ook een documentatieplicht, een systeem van interne
logging, maar hier wordt in titel 4.8.3. dieper op ingegaan.
A. Inbreuken die waarschijnlijk een risico inhouden
144. Inbreuken die ‘waarschijnlijk een risico’ inhouden moeten gemeld worden aan de
toezichthoudende autoriteit382. De melding moet plaatsvinden zonder onredelijke vertraging, uiterlijk
72 uur nadat de verwerkingsverantwoordelijke kennis heeft genomen van de inbreuk. Indien de
melding niet binnen die uiterlijke termijn gebeurt, moet de vertraging gemotiveerd worden.
B. Inbreuken met een waarschijnlijk groot risico
145. Indien de inbreuk ‘waarschijnlijk een groot risico’ inhoudt voor de rechten en vrijheden van de
betrokkene, moet zowel aan de toezichthoudende autoriteit als aan de betrokkene melding gemaakt
worden383. Echter, voorziet de GDPR drie uitzonderingsgevallen waarin het ziekenhuis niet verplicht is
de inbreuk te melden aan de betrokkene384:
- Wanneer de verwerkingsverantwoordelijke passende technische en organisatorische
beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de
persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met
380 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 131. 381 Zie titel 4.7.1, randnummer 138. 382 Art. 33, lid 1 GDPR. 383 Art. 34, lid 1 GDPR. 384 Art. 34, lid 3 GDPR.
88
name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleu
teling;
- Wanneer de verwerkingsverantwoordelijke achteraf maatregelen genomen heeft om ervoor te
zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet
meer zal voordoen;
- Wanneer de mededeling onevenredige inspanningen zou vergen. In dat geval komt er in de
plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen
even doeltreffend worden geïnformeerd.
4.8.3. Documentatieplicht van inbreuken
146. Het ziekenhuis is krachtens de GDPR verplicht alle inbreuken in verband met
persoonsgegevens te documenteren, ongeacht het risico voor de rechten en vrijheden van de
betrokkenen385. Zowel de feiten van de inbreuk, de gevolgen daarvan als de genomen corrigerende
maatregelen moeten gedocumenteerd worden. Op die manier kan de toezichthoudende autoriteit, bij
een latere controle, nagaan of de verwerkingsverantwoordelijke de verplichting tot het melden en
meedelen van gegevenslekken op een correcte manier heeft toegepast386.
4.8.4. Afsluiten van een cyberrisicoverzekering
147. In het kader van gegevenslekken kan het ziekenhuis een specifieke verzekering aangaan,
namelijk de 'cyberrisicoverzekering’387. Gegevenslekken zoals het verlies of diefstal van een laptop of
USB-stick met gevoelige gegevens op, zijn snel gebeurd. De inbreuken in verband met
persoonsgegevens kunnen vervolgens administratieve geldboetes en lasten met zich meebrengen. Het
hebben van een aangepaste verzekeringspolis kan in dat opzicht een grote bescherming bieden. Een
cyberrisicoverzekering beschermt het ziekenhuis tegenover ‘cyberrisico’s’ of ‘digitale risico’s’. De
dekking van de verzekering omvat doorgaans het volgende388:
- Burgerlijke aansprakelijkheid van het ziekenhuis voor de inbreuken in verband met
persoonsgegevens;
- Bestuurdersaansprakelijkheid voor gegevenslekken;
385 Art. 33, lid 5 GDPR. 386 Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018, https://www.absym-bvas.e/info-voor-alle-artsen/gdpr, p 42. 387 X. ZINGEN, G. DE MONTLIVAULT en Q. VANDENHAUTE, “Verzeker U tegen het verlies van medische gegevens”, De Specialist 2019, nr. 147, p 17. 388 M. CAPRONI en S. DE SMEDT, Praktische gids - Privacy in de onderneming, Mechelen, Wolters Kluwer, 2017, p 131.
89
- Betaling van de kosten ten gevolge van het herstel en de opvolging;
- Juridische bijstand in verband met de melding van de inbreuk aan de toezichthoudende autoriteit;
- Betaling van de administratieve sancties indien dit wettelijk toegelaten is.
DEEL III. Versterking van de rechten van de betrokkene
148. Naast de invoering van nieuwe vereisten en verplichtingen versterkt de GDPR de positie van
de betrokkene in verhouding met de verwerkingsverantwoordelijke, door de rechten van de
betrokkene in het kader van de gegevensverwerking te optimaliseren. De GDPR is er immers op gericht
de belangen van de betrokkene te beschermen. In deze titel wordt een overzicht gegeven van de
belangrijkste rechten die uitgeoefend kunnen worden ten aanzien van het ziekenhuis. Hierbij moet
opgemerkt worden dat het recht op informatie, recht op inzage, recht op verbetering en recht op
verzet geen volkomen nieuwe rechten vormen onder de GDPR. Deze vier rechten bestonden ook al
onder de Wet Verwerking Persoonsgegevens van 8 december 1992, de voormalige Belgische
privacywet389. Bijgevolg zullen zij slechts kort aangehaald worden. Ook het recht op gegevenswissing
(‘het recht om vergeten te worden’) was reeds opgenomen in de voormalige Privacyrichtlijn 95/46/EG.
Enkel het recht op beperking van de gegevensverwerking en het recht op overdraagbaarheid van
persoonsgegevens zijn effectief nieuw.
1. Regels informatieverstrekking en communicatie bij verzoek tot
uitoefening van een recht
149. Wanneer een betrokkene bij de verwerkingsverantwoordelijke een verzoek indient om één
van zijn rechten uit te oefenen, schrijft de GDPR enkele regels voor die gerespecteerd moeten worden
bij de kosteloze informatieverstrekking en communicatie naar de betrokkene390. Het verstrekken van
informatie aan en communiceren met de betrokkene moet gebeuren in een beknopte, transparante,
begrijpelijke en gemakkelijk toegankelijke vorm. Bovendien moet een duidelijke en eenvoudige taal
gehanteerd worden, afgestemd op de betrokkene in kwestie. Verder kan informatie schriftelijk,
elektronisch (indien geschikt) of mondeling verstrekt worden. Het is de betrokkene die om een
mondelinge informatieverstrekking moet vragen en de identiteit van de betrokkene moet hierbij
389 Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, Pb.L. 18 maart 1993. 390 Art. 12, lid 1 en lid 5 GDPR.
90
bewezen kunnen worden. De termijn waarbinnen het ziekenhuis moet reageren op het verzoek van
de betrokkene, is geregeld in lid 3 en lid 4 van artikel 12 van de GDPR.
2. Recht op informatie
150. De betrokkene heeft het recht om informatie te krijgen over de verwerkingsactiviteiten
waarbij zijn persoonsgegevens verwerkt worden. Afhankelijk van de bron van de persoonsgegevens
geeft de GDPR een opsomming van de te verstrekken informatie. Wanneer de persoonsgegevens bij
de betrokkene zelf zijn verzameld, moet het ziekenhuis kijken naar artikel 13, maar indien het
ziekenhuis de gegevens verkregen heeft van iemand anders dan de betrokkene zelf, moet artikel 14 in
acht genomen worden.
3. Recht van inzage
151. De betrokkene heeft krachtens artikel 15 van de GDPR het recht om inzage te krijgen van de
persoonsgegevens die van hem verwerkt worden in het ziekenhuis en van de manier waarop dit
gebeurt. In dat opzicht vormt het recht op inzage een soort noodzakelijke voorwaarde om als
betrokkene uw andere rechten uit te oefenen, want pas als effectief zijn persoonsgegevens verwerkt
worden door het ziekenhuis, kan hij zich beroepen op de andere rechten.
Het recht op inzage onder de GDPR moet bovendien onderscheiden worden van het recht op inzage
in het patiëntendossier. Op grond van artikel 9 van de wet patiëntenrechten heeft een patiënt steeds
het recht om inzage te krijgen in zijn patiëntendossier en moeten hierbij de regels van dat artikel
gerespecteerd worden.
4. Recht op rectificatie
152. Het recht op rectificatie houdt in dat onjuiste persoonsgegevens zo snel mogelijk gecorrigeerd
moeten worden en dat onvoldoende gegevens spoedig met nieuwe gegevens moeten worden
aangevuld.
5. Recht op gegevenswissing (‘recht om vergeten te worden’)
153. In welbepaalde gevallen kan de betrokkene eisen dat het ziekenhuis binnen een redelijke
termijn zijn gegevens wist, maar dat is geen absoluut recht. In de praktijk zullen betrokkenen maar
zelden de wissing van hun persoonsgegevens kunnen bekomen ten aanzien van het ziekenhuis. Het
recht op gegevenswissing geldt immers slechts in zes voorgeschreven gevallen, waaronder de situatie
waarin de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij werden verzameld
91
of verwerkt391. Echter zullen gezondheidsgegevens vaak lang nodig zijn voor het verstrekken van
gezondheidszorg en zullen ze zelfs na de behandeling nog een bepaalde tijd bewaard moeten blijven
overeenkomstig de wettelijke bewaartermijnen392. Zo geldt een dertigjarige bewaartermijn voor het
medisch dossier in ziekenhuizen.
Bovendien bevat lid 3 van artikel 17 van de GDPR uitzonderingsgevallen waarbij het recht op
gegevenswissing niet geldt. Wanneer de verwerking nodig is in het kader van een algemeen belang,
zoals de gezondheidszorg, is het recht niet van toepassing.
6. Recht op beperking van de verwerking
154. In de specifieke gevallen bepaald in artikel 18, lid 1 van de GDPR heeft de betrokkene het recht
om het verder gebruik van zijn gegevens te beperken. De GDPR definieert het ‘beperken van de
verwerking’ als “het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in
de toekomst te beperken”393 . De beperking kan gezien worden als een soort ‘bevriezing’ van de
verwerkingsactiviteiten. Dit doet zich voornamelijk voor wanneer de betrokkene reeds een verzoek tot
de uitoefening van een ander recht heeft ingediend en de reactie van de
verwerkingsverantwoordelijke daarop nog afwacht.
7. Recht op overdraagbaarheid van de gegevens
155. Het recht op overdraagbaarheid van de gegevens is een volkomen nieuw recht onder de GDPR.
Het houdt in dat de betrokkene (enkel) de gegevens die hij reeds aan de zorgvoorziening heeft
verstrekt, in een gestructureerde en gangbare machineleesbare vorm kan opvragen. Vervolgens kan
hij dan die gegevens rechtstreeks overmaken aan een andere verwerkingsverantwoordelijke394. Echter
is het recht pas van toepassing wanneer de verwerking aan volgende voorwaarden voldoet:
- Het recht heeft enkel betrekking op de gegevens die hij reeds aan de zorgvoorziening heeft
verstrekt;
- Het moet gaan om persoonsgegevens die verwerkt worden via geautomatiseerde procedés, onder
andere profilering waarbij er geen menselijke tussenkomst is;
391 Art. 17, lid 1, a GDPR. 392 T. BALTHAZAR en P. RAEYMAEKERS, Gegevensbescherming in de zorg – Een praktische gids bij de GDPR, Brugge, die Keure, 2018, p 111. 393 Art. 4, lid 3 GDPR. 394 Art. 20 GDPR.
92
- De verwerking moet in het algemeen gebaseerd zijn op de toestemming van de betrokkene en in
het bijzonder, bij de verwerking van gezondheidsgegevens, op de uitdrukkelijke toestemming of
op de noodzaak voor de uitvoering van een overeenkomst. Dit zijn echter geen gebruikelijke
verwerkingsgronden voor de verwerking van gezondheidsgegevens, waardoor het recht op
overdraagbaarheid vaak geen toepassing zal vinden ten aanzien van het ziekenhuis.
- De WP29 voegt hieraan toe dat de overdracht van de persoonsgegevens de rechten en vrijheden
van anderen niet nadelig mag beïnvloeden 395 . Dit is vooral van belang als de opgevraagde
persoonsgegevens vermengd zijn met persoonsgegevens van andere betrokkenen.
8. Recht op verzet of recht op bezwaar
156. Wanneer de verwerking van persoonsgegevens in het algemeen gebaseerd is op de noodzaak
voor een algemeen belang of de noodzaak voor gerechtvaardigde belangen, heeft de betrokkene het
recht bezwaar te maken tegen het gebruik van zijn gegevens in die welbepaalde verwerking396. Dit
recht vloeit voort uit de specifieke situatie van de betrokkene.
9. Conclusie
157. Uit bovenvermeld kort overzicht van de rechten van de betrokkene kan afgeleid worden dat
ten aanzien van het ziekenhuis als verwerkingsverantwoordelijke, het daadwerkelijk uitoefenen van
bepaalde rechten minder kans op slagen heeft. Het gevoelige karakter van de gegevens die
voornamelijk in deze context verwerkt worden, ligt aan de basis daarvan.
DEEL IV. De verregaande gevolgen van de GDPR voor algemene
ziekenhuizen
158. Ondanks het feit dat reeds een kader voor privacy- en gegevensbescherming werd voorzien in
de voormalige Privacyrichtlijn 95/46/EG, voert de GDPR veel nieuwe vereisten en verplichtingen in.
Vermits een algemeen ziekenhuis veel persoonsgegevens verwerkt, in het bijzonder gevoelige
gegevens, heeft de GDPR een verregaande impact op de zorgvoorziening. Door haar kwalificatie als
395 GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen inzake het recht op gegevensoverdraagbaarheid, 5 april 2017, WP242, https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/nederlandse_vertaling_guidelines_dataportabiliteit.pdf, p 13 - 15. 396 Art. 21 GDPR.
93
verwerkingsverantwoordelijke, krijgt het ziekenhuis een zeer grote verantwoordelijkheid bij de
naleving van de basisbeginselen en verplichtingen van de GDPR en in het aantonen van die naleving
(‘verantwoordingsplicht’). Bovendien geeft de nieuwe verordening aanleiding tot meer
bewustwording binnen het ziekenhuis, want zij moet risicogebaseerd denken en te werk gaan.
Theoretisch gezien is de GDPR zeker een goede zaak, maar praktisch gezien vraagt de nieuwe
verordening veel inspanningen die niet vanzelfsprekend zijn. Bijgevolg is alle hulp welkom bij de
implementatie van de GDPR binnen het algemeen ziekenhuis. De gedragscode van Zorgnet Icuro en
de reeds uitgevaardigde richtlijnen van de WP29, het Europees Comité voor gegevensbescherming en
de vroegere Privacycommissie zijn hierbij zeer belangrijke instrumenten. Het is jammer dat de
Gegevensbeschermingsautoriteit nog even op zich laat wachten.
Algemene ziekenhuizen zullen nog lang moeten investeren in de correcte naleving van de nieuwe
vereisten en verplichtingen van de GDPR om een optimale bescherming van de persoonsgegevens in
hun verwerkingsactiviteiten te bekomen. Voorkomen is immers altijd beter dan genezen en dat geldt
niet alleen voor de gezondheid van de patiënten.
94
I
BIBLIOGRAFIE
1. Wetgeving
1.1. Internationaal
- EVRM
- Handvest van de grondrechten van de Europese Unie
- IVBPR
- UVRM
- Verdrag 108 van 28 januari 1981
- VEU
- VWEU
1.2. Europees
- Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en
betreffende het vrije verkeer van die gegevens, Pb.L. 23 november 1995, afl. 281, 31 - 50.
- Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende
de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en
betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene
verordening gegevensbescherming), Pb.L. 4 mei 2016, afl. 119, 1 - 88.
- EUROPEAN DATA PROTECTION BOARD (EDPB), Opinion on the draft list of the competent
supervisory authority of Belgium regarding the processing operations subject to the requirement
of a data protection impact assessment (Article 35.4 GDPR), 25 september 2018, nr. 2/2018,
https://edpb.europa.eu/sites/edpb/files/files/file1/2018-09-25-opinion_2018_art._64_be_sas_
dpia_list_en.pdf.
- EUROPEAN DATA PROTECTION BOARD (EDPB), Guidelines on the territorial scope of the GDPR
(Article 3), 16 november 2018, nr. 3/2018, https://edpb.europa.eu/sites/edpb/files/files/file1/
edpb_guidelines_3_2018_territorial_scope_en.pdf.
- EUROPEAN DATA PROTECTION BOARD (EDPB), Guidelines on Codes of Conduct and Monitoring
Bodies under Regulation 2016/679, 12 februari 2019, nr. 1/2019, https://edpb.europa.eu/sites/
edpb/files/files/file1/edpb-20190219_guidelines_coc_ public_ consultation_ version_en.pdf.
- EUROPEAN DATA PROTECTION BOARD (EDPB), Guidelines on the processing of personal data under
Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, 9 april 2019,
II
nr. 2/2019, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-
1-b-final_public_consultation_version_en.pdf.
- EUROPEAN DATA PROTECTION BOARD (EDPB), Opinion on the draft Standard Contractual Clauses
submitted by the DK SA (Article 28(8) GDPR), 9 juli 2019, nr. 14/2019, https://edpb.europa.eu/
sites/edpb/files/files/file1/edpb_opinion_201914_dk_scc.pdf.
- GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Advies over het begrip persoonsgegevens,
20 juni 2007, nr. 4/2007, https://ec.europa.eu/justice/article-29/documentation/opinion-
recommendation/files/2007/wp136_nl.pdf.
- GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Advies over begrippen “voor de verwerking
verantwoordelijke” en “verwerker”, 16 februari 2010, nr. 1/2010,
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/
wp169_nl.pdf.
- GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Advies over de definitie van “toestemming”,
13 juli 2011, nr. 15/2011, https://vvena.nl/wp-content/uploads/2018/04/wp187_nl-15-2011-
toestemming.pdf.
- GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Opinion on purpose limitation, 2 april 2013,
nr. 03/2013, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/
files/2013/wp203_en.pdf.
- GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Advies over het begrip “gerechtvaardigd
belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG,
9 april 2014, nr. 06/2014, https://ec.europa.eu/justice/article-29/documentation/opinion-
recommendation/files/2014/wp217_nl.pdf.
- GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren voor
gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking “waarschijnlijk een
hoog risico inhoudt” in de zin van Verordening 2016/679, 4 oktober 2017, WP248,
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf.
- GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen inzake het recht op
gegevensoverdraagbaarheid, 5 april 2017, WP242, https://www.autoriteitpersoonsgegevens.nl/
sites/default/files/atoms/files/nederlandse_vertaling_guidelines_dataportabiliteit.pdf.
- GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtlijnen voor functionarissen voor
gegevensbescherming (Data Protection Officer, DPO), 5 april 2017, WP243,
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf.
III
- GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren voor de melding van inbreuken
in verband met persoonsgegevens krachtens Verordening 2016/679, 6 februari 2018, WP250,
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/guidelines_meldplicht_dat
alekken.pdf.
- GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Richtsnoeren inzake toestemming
overeenkomstig Verordening 2016/679, 10 april 2018, WP259,
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp259_rev_0.1_nl.pdf.
1.3. Nationaal
- Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de
verwerking van persoonsgegevens, Pb.L. 18 maart 1993, 5801.
- Wet van 7 augustus 1987 op de ziekenhuizen, Pb.L. 7 oktober 1987, 14652.
- Wet van 11 december 1998 tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het
Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband
met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, Pb.L.
3 februari 1999.
- Wet van 22 augustus 2002 betreffende de rechten van de patiënt (wet patiëntenrechten), Pb.L. 26
september 2002, 43719.
- Wet van 10 juli 2008 op de ziekenhuizen en andere verzorgingsinrichtingen (ziekenhuiswet), Pb.L.
7 november 2008, 58624 – 58682.
- Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, Pb.L. 10 januari
2018, 989 - 1007.
- Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de
verwerking van persoonsgegevens, Pb.L. 5 september 2018, 68616 - 68684.
- Wet van 22 april 2019 inzake de kwaliteitsvolle praktijkvoering in de gezondheidszorg, Pb.L. 14 mei
2019, 46372 - 46385.
- Koninklijk besluit nr. 38 van 27 juli 1967 houdende inrichting van het sociaal statuut der
zelfstandigen, Pb.L. 29 juli 1967, 8071.
- Koninklijk besluit van 8 augustus 1980 betreffende het bijhouden van sociale documenten, Pb.L.
27 augustus 1980.
- Koninklijk besluit van 21 april 1983 tot vaststelling van de nadere regelen voor erkenning van
artsen-specialisten en van huisartsen, Pb.L. 27 april 1983.
IV
- Koninklijk besluit van 15 december 1987 houdende de uitvoering van de artikelen 13 tot en met
17 van de wet op de ziekenhuizen, zoals gecoördineerd door het koninklijk besluit van 7 augustus
1987, Pb.L. 25 december 1987, 19511.
- Koninklijk besluit van 3 mei 1999 houdende bepaling van de algemene minimumvoorwaarden
waaraan het medisch dossier, bedoeld in artikel 15 van de wet op ziekenhuizen, gecoördineerd op
7 augustus 1987, moet voldoen, Pb.L. 30 juli 1999, 28462 – 28463.
- COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER (CBPL), Aanbeveling
betreffende het Register van de verwerkingsactiviteiten (artikel 30 van de AVG), 14 juni 2017, nr.
06/2017, https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/
documents/aanbeveling_06_2017_0.pdf.
- COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER (CBPL), Aanbeveling uit
eigen beweging met betrekking tot de gegevensbeschermingseffectbeoordeling en voorafgaande
raadpleging, 28 februari 2018, nr. 01/2018, https://www.gegevensbeschermingsautoriteit.be/
sites/privacycommission/files/documents/aanbeveling_01_2018.pdf.
- GEGEVENSBESCHERMINGSAUTORITEIT (GBA), Overzicht van de begrippen
verwerkingsverantwoordelijke/verwerker in het licht van de verordening (EU) nr. 2016/679 van het
Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens (AVG) en enkele specifieke
toepassingen voor vrije beroepen zoals advocaten,
https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beg
rippen_VW_OA.pdf.
2. Rechtsleer
2.1. Boeken
- BALTHAZAR, T. en RAEYMAEKERS, P., Gegevensbescherming in de zorg – Een praktische gids bij de
GDPR, Brugge, die Keure, 2018, 151 p.
- CAPRONI, M. en DE SMEDT, S., Praktische gids privacy in de onderneming, Mechelen, Wolters
Kluwer, 2017, 297 p.
- CALLENS, S. en PEERS, J., Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2015, 755
p.
- CALLENS, S., LEIRE, M. en BODDEZ, L., Gezondheidszorg in een notendop, Brugge, die Keure, 2016,
193 p.
V
- DE BACKER, P., LAMBRECHT, P. en RAGHENO, N., Data protection & privacy – De GDPR in de
praktijk, Limal, Anthemis, 2017, 230 p.
- DE BOT, D., GDPR: hoe op een pragmatische wijze aan de nieuwe privacywetgeving voldoen?,
Leuven, Indicator, 2018, 88 p.
- DEWALLENS, F., Het statuut van de ziekenhuisarts – De rechtsverhoudingen tussen
ziekenhuisartsen en ziekenhuizen, Antwerpen, Intersentia, 2015, 608 p.
- DIERCKX, D., Europese privacywetgeving. Handleiding voor een procedure voor
gegevensbescherming in zorgvoorzieningen, Brussel, Zorgnet-Icuro, 2017, 57 p (online).
- DOOMS, V., De uitholling van het beroepsgeheim?, Hoofdstuk V. Raakvlakken tussen privacy en
beroepsgeheim, Gent, Larcier, 2018, p 93 - 117.
- VANSWEEVELT, T. en DEWALLENS, F., Handboek gezondheidsrecht – Volume I – Zorgverleners:
statuut en aansprakelijkheid, Antwerpen, Intersentia, 2014, 1688 p.
- VERSMISSEN, K., TERSTEGGE, J. en KRIJGSMAN, N., Grip op de AVG – De nieuwe privacywet voor
niet-juristen, Deventer, Wolters Kluwer, 2017, 120 p.
2.2. Bijdragen in tijdschriften
- BALTHAZAR, T., “Privacycommissie wordt Gegevensbeschermingsautoriteit”, De Juristenkrant
2018, nr. 362, p 2.
- BALTHAZAR, T., “Nieuwe Kaderwet vormt sluitstuk voor GDPR”, De Juristenkrant 2018, nr. 374, p
1 - 2.
- CALLENS, M., “eHealth in België”, CM-Informatie 2014, nr. 258, p 3 – 10.
- CALLENS, S., “De verhouding algemene regeling versus individueel contract van de ziekenhuisarts”,
T.Gez. 2003, nr. 5, p 325-327.
- CALLENS, S., “Impact van de algemene verordening gegevensbescherming”, De Artsenkrant 2016,
nr. 2450, p 19.
- Orde Der Artsen, Nationale Raad, “Artsen en digitale media”, Tijdschrift Nationale Raad 2015, nr.
148 (fictieve nummering), geraadpleegd via www.ordomedic.be/nl/adviezen/advies/artsen-en-
digitale-media.
- ZINGEN, X., DE MONTLIVAULT, G. en VANDENHAUTE, Q., “Verzeker U tegen het verlies van
medische gegevens”, De Specialist 2019, nr. 147, p 17.
2.3. Persoonlijke communicatie
- BROECKX N. (Dewallens & Partners), “GDPR – praktische invalshoeken”, verslag vergadering
ziekenhuis, 21 september 2018, 8 p.
VI
- DELBEKE E. (Sanalex) i.s.m. White Wire, “Onderlinge regeling AVG over de verwerkingsactiviteiten
met een gezamenlijke verwerkingsverantwoordelijkheid”, ontwerptekst, 19 februari 2019, 10 p.
- DELBEKE E. (Sanalex), “Informatievergadering relatie ziekenhuis en ziekenhuisartsen onder de
Europese privacywetgeving”, powerpoint, 7 november 2018, 44 p.
- Vlaams Artsensyndicaat (BVAS) i.s.m. Arcas Law, “De GDPR in 10 stappen”, 2018,
https://www.absym-bvas.be/info-voor-alle-artsen/gdpr, 42 p.
- Ziekenhuis X, “HR-beleid voor artsen”, beleidslijn, 4 juni 2018, 15 p.
- Zorgnet-Icuro, “Kaderwet Privacy – overzicht nieuwe bepalingen over wetenschappelijk onderzoek
op gezondheidsgegevens”, Informatienota 2018/135.
3. Internetbronnen
- Autoriteit Persoonsgegevens, “AP geeft uitleg over grootschalige gegevensverwerking in de zorg”,
31 mei 2018, geraadpleegd op 20 mei 2019 via https://autoriteitpersoonsgegevens.nl/nl/nieuws/
ap-geeft-uitleg-over-grootschalige-gegevensverwerking-de-zorg.
- CASAER, D., “GDPR Update: Proficiat aan de directie van de Gegevensbeschermingsautoriteit”, 29
maart 2019, geraadpleegd op 5 april 2019 via www.linkedin.com/pulse/gdpr-update-proficiat-
aan-de-directie-van-dylan-casaer/.
- CoZo, geraadpleegd op 6 mei via www.cozo.be.
- DAMMEKENS, A., “Data protection en privacy : de Kaderwet", 11 september 2018, geraadpleegd
op 1 maart 2019 via www.vbo.be/actiedomeinen/ethiek--maatschappelijke-verantwoordelijkheid
/privacy/data-protection-en-privacy-de-kaderwet_2018-09-11/.
- eHealth, “Wie zijn wij?”, geraadpleegd op 5 maart 2019 via
www.ehealth.fgov.be/ehealthplatform/nl/wie-zijn-wij.
- Encyclo (Nederlandse Encyclopedie), “Veerkracht”, geraadpleegd op 26 april 2019 via
www.encyclo.nl/begrip/veerkracht.
- Europees Comité voor gegevensbescherming, “Over de EDPB”, geraadpleegd op 2 maart 2019 via
https://edpb.europa.eu/about-edpb/about-edpb_nl.
- Europese Unie, “Europese Toezichthouder voor gegevensbescherming (EDPS)”, geraadpleegd op
2 maart 2019 via https://europa.eu/european-union/about-eu/institutions-bodies/european-
data-protection-supervisor_nl#de-edps-en-u.
- Europese Commissie, “Wat zijn persoonsgegevens?”, geraadpleegd op 10 maart 2019 via
https://ec.europa.eu/ info/law/law-topic/data-protection/reform/what-personal-data_nl.
VII
- Flanders Care, “Gegevensdeling in de zorg”, geraadpleegd op 5 maart 2019 via
www.flanderscare.be/gegevensdeling-de-zorg.
- Gegevensbeschermingsautoriteit, “Raad van Europa - […] voornaamste Europese
rechtsinstrumenten”, geraadpleegd op 26 februari 2019 via
www.gegevensbeschermingsautoriteit.be/raad-van-europa.
- Gegevensbeschermingsautoriteit, “Privacywet”, geraadpleegd op 1 maart 2019 via
www.gegevensbeschermingsautoriteit.be/lexicon/privacywet.
- Gegevensbeschermingsautoriteit, “Referentieteksten rond gegevensbescherming”, geraadpleegd
op 2 maart 2019 via www.gegevensbeschermingsautoriteit.be/wetgeving-en-normen.
- Gegevensbeschermingsautoriteit, “Wet betreffende de bescherming van natuurlijke personen
met betrekking tot de verwerking van persoonsgegevens (Kaderwet)”, geraadpleegd op 2 maart
2019 via www.gegevensbeschermingsautoriteit.be/wet-betreffende-de-bescherming-van-
natuurlijke-personen-met-betrekking-tot-de-verwerking-van.
- Gegevensbeschermingsautoriteit, “Gedragscodes”, geraadpleegd op 5 maart 2019 via
www.gegevensbeschermingsautoriteit.be/faq-themas/gedragscodes.
- Gegevensbeschermingsautoriteit, “Wat met beveiliging van de gegevens?”, geraadpleegd op 26
april 2019 via https://www.gegevensbeschermingsautoriteit.be/wat-met-beveiliging-van-de-
gegevens.
- Gegevensbeschermingsautoriteit, “Sluiting applicatie voor aangiften (eLoket)”, geraadpleegd op
12 mei 2019 via https://www.gegevensbeschermingsautoriteit.be/sluiting-applicatie-voor-
aangiften-eloket.
- Gegevensbeschermingsautoriteit, “Wat wordt bedoeld met grote schaal? Een aantal?”,
geraadpleegd op 20 mei 2019 via https://www.gegevensbeschermingsautoriteit.be/wat-wordt-
bedoeld-met-grote-schaal-een-aantal.
- Gratis woordenboek Van Dale, “Betekenis ‘privacy’”, geraadpleegd op 16 januari 2019 via
www.vandale.nl/ gratis-woordenboek/nederlands/betekenis/privacy#.XNVC12aYOqA.
- VAN DEN BRANDE, B., “Beter laat dan nooit: Ook België heeft zijn “GDPR-wet” klaar”, 14
september 2018, geraadpleegd op 1 maart 2019 via https://siriuslegaladvocaten.be/beter-laat-
dan-nooit-ook-belgie-heeft-zijn-gdpr-wet-klaar/.
- VAN DEN BRANDE, B., “Sirius Legal – Data protection update in België, Europa en de wereld”, 14
november 2018, geraadpleegd op 15 april 2019 via www.dp-institute.eu/wp/wp-
content/uploads/2019/04/Bart-VDB-Sirius.pdf, 54 p.
VIII
- VAN LEEMPUTTEN, P., “Parlement benoemt directeurs Gegevensbeschermingsautoriteit” 29
maart 2019, geraadpleegd op 5 april 2019 via https://datanews.knack.be/ict/nieuws/parlement-
benoemt-directeurs-gegevensbeschermingsautoriteit/article-news-1446377.html.
- Vlaanderen Intern, “Vlaamse Toezichtcommissie”, geraadpleegd op 20 april 2019 via
https://overheid.vlaanderen.be/vlaamse-toezichtcommissie.
- Vlaanderen Intern, “VTC vanaf 29 maart 2019 volwaardige toezichthoudende autoriteit”, 29 maart
2019, geraadpleegd op 20 april 2019 via https://overheid.vlaanderen.be/nieuws/vtc-vanaf-29-
maart-2019-volwaardige-toezichthoudende-autoriteit.
- White Wire, “Wat is een persoonsgegeven?”, 25 juni 2017, geraadpleegd op 10 maart 2019 via
https://whitewire.be/wat-is-een-persoonsgegeven-2/.
- White Wire, “Guidelines over verwerking ihkv een contract”, 16 april 2019, geraadpleegd op 29
april 2019 via https://whitewire.be/guidelines-over-verwerking-ihkv-een-contract/.
4. Interviews
- Frieke Verniest, DPO van AZ Sint-Jan Brugge-Oostende AV, op dinsdag 9 april 2019.
- Sofie Goeminne, bedrijfsjurist van AZ Alma te Eeklo, op dinsdag 9 april 2019.
- André Orban, DPO van AZ Alma te Eeklo, op woensdag 17 april.
- Evelien Delbeke, advocaat bij advocatenkantoor Sanalex te Knokke, op vrijdag 26 april 2019.
- Julie Hantson, advocaat bij advocatenkantoor Hantson te Gent, op 30 april 2019.
- Joke Vanlangenaeker, juridisch beleidsadviseur en DPO van het Ziekenhuis Oost-Limburg (‘ZOL’),
op dinsdag 7 mei 2019.