Maak van GDPR een positief verhaal!

BARNS 31tips Leave a Comment

Dit artikel past in de 31dagen naar health innovatie-reeks. In tip 26 ‘laat je niet op stang jagen door GDPR’, had ik het over privacy en hoe je er als zorgprofessional of health ondernemer op een haalbare manier mee om kan gaan. Omdat een blog natuurlijk veel te kort is om alle finesses mee te geven, besloten collega Magali Feys en ikzelf de meer uitgebreide (maar haalbare!) 10 stappen en tips apart te publiceren.

Magali Feys is advocate en gespecialiseerd in Intellectueel eigendomsrecht, ICT-recht en data protection recht. Ze richtte A Contrario Law op, ‘not just another law firm’. De naam zegt het al zelf: Magali en Acontrario Law stimuleren om ‘te denken alsof er geen box bestaat’, maar wél met correcte toepassing van de regels. Een praktische manier om met juridische kwesties om te gaan dus.

Magali is ook lid van de juridische Werkgroep e-Health Plan bij het Kabinet van minister Maggie De Block. Ze houdt zich in de werkgroep voornamelijk bezig met de privacy aspecten van mhealth applications.

Je kan er niet omheen kijken: de GDPR is er. De GDPR, of “General Data Protection Regulation”, bepaalt vanaf nu hoe er met je persoonsgegevens omgegaan wordt. Principes zoals toestemming, transparantie en beveiliging moeten ervoor zorgen dat je meer vat krijgt op je digitale voetafdruk.

Ook spelers in de gezondheidszorg en zeker mobile health applications zullen aan deze regelgeving moeten voldoen.

GDPR Wat?

Op 14 april 2016 heeft het Europees Parlement de General Data Protection Regulation (‘GDPR’) of de Algemene Verordening Gegevensbescherming goedgekeurd. Met deze nieuwe verordening, die de vroegere richtlijn rond privacy en gegevensverwerking en de daarbij horende nationale wetten vervangt, wil Europa komen tot een hoger beschermingsniveau voor alle particulieren van wie persoonsgegevens worden verwerkt.

Ook van zorginstellingen en startups actief in de gezondheidszorg wordt verwacht dat ze hun bedrijfsvoering in overeenstemming brengen met deze nieuwe GDPR. Vanaf 25 mei kunnen particulieren, die zich in de EU bevinden, hun bijkomende rechten in de nieuwe privacywetgeving laten gelden en dit ten aanzien van:

  1. Elke Europese onderneming of instelling die hun persoonsgegevens verwerkt
  2. Elke niet-Europese onderneming of instelling die goederen en diensten aanbiedt aan betrokkenen in de EU en hun persoonsgegevens verwerkt
  3. Elke niet-Europese onderneming die hun gedrag monitort

Om ervoor te zorgen dat ondernemingen (maar bijvoorbeeld ook overheden en andere instellingen) deze nieuwe data protection regels zouden naleven, heeft de Europese wetgever voorzien in een sanctiemechanisme. Dit betekent concreet dat wanneer uw onderneming niet voldoet aan de eisen van de nieuwe wetgeving, uw onderneming mogelijks vanaf mei 2018 ook (zware) boetes riskeert.

Belangrijker dan het vermijden van boetes is dat de GDPR voor uw bedrijf heel wat voordelen met zich kan meebrengen. Zo is het een opportuniteit voor uw organisatie om op een transparante, originele en datavriendelijike manier om te springen met de gegevens van uw klanten. Wie op een juiste manier omgaat met persoonsgegevens kan dit als een unique selling point (USP) uitdragen. Of u nu in B2B of B2C werkt, klanten gaan meer en meer kiezen voor een dienstverlener die hun privacy het best kan waarborgen en met veilige systemen werkt.

Dit zijn 10 stappen om Uw USP inzake privacy en GDPR ten volle te benutten.

Stap 1: Is GDPR van toepassing op mijn bedrijf?

Weet u niet zeker of de verordening wel op uw onderneming of instelling van toepassing is? Ja, als uw instelling of onderneming persoonsgegevens verwerkt.
De term ‘persoonsgegevens’ wordt in de GDPR bijzonder ruim geïnterpreteerd. Het gaat niet enkel om gegevens waarmee men een natuurlijke persoon rechtstreeks kan identificeren (zoals naam, e-mailadres, foto,…). Maar het kan ook gaan over gegevens waarmee men onrechtstreeks kan identificeren (zoals adres, locatiegegevens, financiële informatie). Het feit dat de gegevens publiek beschikbaar zijn, heeft geen invloed op de kwalificatie van een persoonsgegeven. Zo zal een professioneel emailadres van de contactpersoon van een B2B-klant ook een persoonsgegeven uitmaken.

Zorginstellingen en jonge innovatieve ondernemingen verwerken vervolgens ook nog eens genetische data, medische gegevens (bloeddruk, diagnose, ziektebeeld, medicijngebruik) en/of gezondheidsgerelateerde gegevens (zoals het dieetschema bij WeightWatcher, BMI-berekening, dieetvoorschriften). Deze gegevens maken allen persoonsgegevens uit die bovendien moeten worden ondergebracht worden in de bijzondere categorie van persoonsgegevens. De verwerking van deze bijzondere categorieën van persoonsgegevens zal ertoe bijdragen dat zorginstellingen en startups in de gezondheidszorg bijkomende (veiligheids)maatregelen zullen moeten nemen.

Wat houdt verwerking in? Ook dit begrip wordt bijzonder breed geïnterpreteerd. Het gaat hier niet enkel om een actief gebruik, maar ook het louter opslaan van de gegevens of toegang hebben tot deze gegevens, bijvoorbeeld voor onderhoud- en ondersteuningsdoeleinden.

Ook voor buitenlandse aanbieders en leveranciers
Tenslotte is het niet langer doorslaggevend of de verwerking van de gegevens plaatsvindt binnen de Europese Unie (met uitbreiding de Europees Economische Ruimte). Van zodra gegevens worden verwerkt van natuurlijke personen die zich in de Unie bevinden is GDPR van toepassing, zelfs als de verwerking ervan buiten de EU plaatsvindt.

Staat uw server in de VS? Koopt u cloudcapaciteit in het Verenigd Koninkrijk voor de verwerking van Europese persoonsgegevens? Weet dan dat de GDPR ook op die bedrijven van toepassing is en dat u in de samenwerking met dergelijke bedrijven ook de nieuwe data protection regels indachtig moet houden. Bedrijven die immers niet in de EU gevestigd zijn, moeten de verplichtingen van de GDPR naleven, voor zover deze bedrijven goederen en diensten aanbieden aan personen die zich binnen de Unie bevinden (denk aan Cloud providers, software applicaties, e-shops) of wanneer zij het gedrag van deze personen monitoren (Facebook, Google,…).

STAP 2: Heb ik recht om die gegevens te verwerken en bij te houden?

Nu we weten wanneer een bedrijf onder de GDPR valt, rijst de vraag of zorginstellingen en startups op grond van deze nieuwe regels nu eigenlijk nog wel de gegevens van patiënten, gebruikers, klanten en personeel mogen gebruiken. Zeker wel.

Het rechtmatig bijhouden en verwerken van persoonsgegevens dient wel gebaseerd te zijn op een rechtsgrond. Welke zijn die voor spelers in de gezondheidssector? Hier wordt een onderscheid gemaakt tussen ‘gewone persoonsgegevens’ (geen data over gezondheid of genetische data) en medische gegevens.

A) Voor gewone persoonsgegevens is het recht tot bijhouden en verwerken gebaseerd op één van de volgende rechtsgronden:

  • Toestemming
    Wanneer een betrokkene (zijnde de natuurlijke persoon wiens persoonsgegevens worden verwerkt, denk aan patient, gebruiker) diens toestemming heeft gegeven met de verwerking van de persoonsgegevens, kan je de gegevens verwerken binnen het kader voor de doeleinden waarvoor deze toestemming werd gegeven. Dit zal bijv. het geval zijn voor een gebruiker die op een mobile health application een account aanmaakt en daarbij de privacy verklaring (ook wel privacy policy genoemd) aanvaardt; of wanneer iemand zijn e-mailadres doorgeeft op de site om gecontacteerd te worden en daarbij de privacy policy heeft aanvaard.Om van een geldige toestemming te kunnen spreken, vereist de GDPR dat wel aan een aantal voorwaarden wordt voldaan:

    • Actieve toestemming
      Vanaf nu vereist de GDPR dat de betrokkene een vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming geeft door middel van actieve handeling. Een opt-out voor het aanvaarden van de privacy policy is dus echt niet meer voldoende. Samengevat: de gebruiker moet eigenhandig een checkbox aanvinken, het mag niet standaard ingevuld staan.
    • Geïnformeerde toestemming
      Nieuwigheid is ook dat het om geïnformeerde toestemming dient te gaan. Een loutere link naar de privacy policy is onvoldoende. Zo is het aan te raden om eigenlijk een korte samenvatting van de privacy policy (privacy notice) te voorzien op het ogenblik de betrokkene zijn of haar toestemming geeft. Dit kan bijvoorbeeld makkelijk met een hoover-over, een pop-up bericht dat verschijnt als je over de privacy policy gaat met de cursor of muis.
  • De uitvoering van een overeenkomst tussen partijen (en is noodzakelijk voor de uitvoering van de overeenkomst)
    Wanneer u bijvoorbeeld een overeenkomst heeft afgesloten met een reseller, dan spreekt het uiteraard voor zich dat u de verzamelde persoonsgegevens van de contactpersoon van die reseller zal mogen gebruiken om de overeenkomst te kunnen uitvoeren. Ook de verwerking van personeelsgegevens is grotendeels gebaseerd op de uitvoering van een arbeidsovereenkomst (zo dient u natuurlijk het rekeningnummer van uw werknemer te weten om het loon te kunnen storten).
  • Verwerking is gebaseerd op een gerechtvaardigd belang
    Wanneer een verwerkingsverantwoordelijke een gerechtvaardigd belang heeft bij de verwerking en de betrokkene er redelijker wijze kon van uitgaan dat deze verwerking zou gebeuren. Mooi voorbeeld hierbij is de verwerking van persoonsgegevens in het kader van direct marketing (nieuwsbrieven, promoties, kerstkaartjes naar uw B2B contactpersonen,….).
    Hierbij zal altijd een afweging moeten gemaakt worden: de voordelen die je als instelling of (jonge) onderneming uit deze verwerking haalt mogen niet onevenredig zijn tot opzichte van de nadelen die de betrokkenen ondervinden. Wie zijn gebruikers bijv. dagelijks zou spammen met promotionele e-mails zal het moeilijk krijgen om daar nog een voordeel voor de gebruiker tegenover te kunnen stellen. Het wordt de kunst om gedoseerde én kwalitatieve mails naar uw gebruikers te sturen.

B) Voor medische gegevens, gezondheidsgerelateerde gegevens en genetische data (een bijzondere categorie in de GDPR) is de verwerking niet toegestaan tenzij een van de 10 specifieke juridische gronden kan worden aangehaald. Het zou ons hier te ver leiden om ze allemaal op te noemen.

DUS: Artsen en zorgprofessionals zullen uiteraard persoonsgegevens zonder meer mogen verwerken wanneer de verwerking gebeurt in het kader van een behandeling.

Echter wanneer in het kader van een behandeling een mobiele gezondheidsapplicatie wordt voorgeschreven, zal de app of platform provider moeten voorzien in een afzonderlijke, expliciete en geïnformeerde toestemming.

Voor wetenschappelijk onderzoek zal men in bepaalde gevallen en mits inachtneming van een aantal veiligheidsvoorschriften (zijnde het anonimiseren of encrypteren van de persoonsgevens – ook wel pseudonimisatie genoemd) persoonsgegevens mogen verwerken. In het kader van een klinisch onderzoek is er dan weer een specifieke, geïnformeerde toestemming nodig.

Tot slot dient hier te worden opgemerkt dat gerechtvaardigd belang geen rechtsgrond uitmaakt voor de verwerking van de bijzondere categorie persoonsgegevens. Dit komt er concreet op neer dat men bijvoorbeeld. de gebruikers van een diabetes app:

  • allen op de hoogte mag stellen van een nieuw medicijn (men verwerkt hiervoor immers enkel de ‘gewone’ persoonsgegevens, zijnde de naam van de gebruiker),
  • maar niet zomaar een nieuw specifiek medicijn, bestemd voor patiënten met een bepaald type van diabetes, enkel aan de gebruikers met dit type diabetes kan promoten (immers, op dat ogenblik gebruikt men de medische persoonsgegevens van de gebruiker om gepersonaliseerde promoties te sturen. Iets wat niet kan zonder daarvoor een expliciete toestemming te hebben bekomen).

STAP 3: Respecteer te allen tijde de basisprincipes van GDPR

Dat zijn er 3: transparantie, doelbeperking en dataminimalisatie.

In de GDPR wordt veel belang gehecht aan de plicht van ondernemingen om zo transparant mogelijk te zijn over de verzamelde persoonsgegevens en de doeleinden waarvoor ze zullen worden gebruikt. Transparantie is een troef die je als organisatie uit kan spelen.
Deze nieuwe regelgeving vereist nog meer dan de huidige nationale wetgeving dat de betrokkene uitgebreid geïnformeerd wordt. Dit moet gebeuren in eenvoudige, toegankelijke en begrijpelijke taal. Daarnaast moeten uw gebruikers gewezen worden op de rechten die ze hebben onder de GDPR. U dient ze toe te lichten en te tonen hoe deze rechten kunnen uitgeoefend worden.
Meest voor de hand liggend is het opstellen van een privacy verklaring (of privacy policy) die op de website wordt geplaatst (bijv. in een footer), makkelijk toegankelijk & leesbaar is.

De GDPR stelt het principe van doelbeperking of zo concreet mogelijke doelen voorop. Met dit principe wil men vermijden dat er gegevens worden verwerkt die verder gaan dan hetgene waarvoor de betrokkene zijn/haar goedkeuring gaf. Als u daags na iemands goedkeuring een nieuwe toepassing verzint, moet u opnieuw zijn goedkeuring vragen. Kan dat niet opgevangen worden met vage & allesomvattende teksten? Met de komst van GDPR is het ook niet langer de bedoeling om vaag te blijven in uw privacy verklaring om voldoende creatieve vrijheid te behouden in uw marketing. Het is daarom van cruciaal belang om op voorhand, bij het opstellen van een privacy verklaring, reeds de oefening te maken voor welke doeleinden de verzamelde persoonsgegevens allemaal zullen worden aangewend. Denk voldoende vooruit en laat u daarbij challengen door externe partijen. Zo kan uw Algemene Voorwaarden opstellen die duurzaam zijn. Hou daarom ook altijd bij wie welke versie op welk moment heeft ondertekend of goedgekeurd.

Beperk u tot het strikt noodzakelijke (data minimalisatie). Het principe van dataminimalisatie houdt in dat u enkel relevante persoonsgegevens mag vragen die kaderen in de vooropgestelde doeleinden. Denk dus goed na, wanneer een potentiële huurder of koper een (online) formulier invult: is alle gevraagde informatie echt wel relevant en noodzakelijk? Indien niet: maak dit dan misschien een niet-verplicht veld.

STAP 4: Respecteer de rechten van betrokkenen

Als zorginstelling of onderneming actief in de gezondheidszorg dien je de rechten na te gaan waarop betrokkenen zich kunnen beroepen onder de GDPR. Het gaat om volgende rechten van de betrokkene:

  • Recht op Informatie en toegang tot persoonsgegevens
  • Recht op correctie van de gegevens en (in bepaalde gevallen) recht om vergeten te worden.
  • Recht op bezwaar tegen direct marketingpraktijken (bijv. uitschrijven op een nieuwsbrief)
  • Recht op bezwaar tegen geautomatiseerde besluitvorming en profiling
  • Overdraagbaarheid van gegevens (middels dit recht kan de betrokkene de onderneming vragen om de persoonsgegevens die op hem/haar van toepassing zijn in een gestructureerde, gangbare en elektronische vorm te verkrijgen.

Je dient als onderneming te voorzien in de nodige procedures of systemen om deze rechten mogelijk te maken. Je kan bijvoorbeeld het uitwissen van gegevens mogelijk maken door een online formulier daarvoor te voorzien of een specifiek email bericht. Kleinere bedrijven hoeven hier natuurlijk niet te voorzien in een geautomatiseerd proces. Wel is het van groot belang dat wanneer een betrokkene een verzoek richt aan de onderneming om een bepaald recht uit te oefenen , de onderneming hierop binnen de aangegeven tijd (30 dagen, mogelijkheid van verlenging van nogmaals 30 dagen) reageert. Het niet reageren kan reeds tot een boete leiden.

Wanneer een betrokkene vraagt een bepaald recht uit te oefenen, zal de betrokkene zich moeten identificeren. Vaak wordt hier een kopie van (enkel de voorkant van) de identiteitskaart gevraagd.

Met betrekking tot het recht om te worden vergeten dient hier een belangrijke kanttekening te worden gemaakt. Daar medische gegevens, gezondheidsgerelateerde gegevens of genetische data vaak onderworpen zijn aan een wettelijke bewaartermijn (7, 15 of in sommige gevallen zelfs 30 jaar), zal het vaak niet mogelijk zijn om op een dergelijk vezoek in te gaan. Men kan namelijk op grond van de GDPR (hetgeen een algemene wetgeving uitmaakt) de specifieke en sectorgerelateerde wettelijke bepalingen zomaar naast zich neer leggen. Wel, zal men nog altijd de betrokkene dienen te informeren waarom zijn of haar recht niet kan worden uitgeoefend.

Tip: aan het recht van inzage kan makkelijk worden voldaan door te voorzien in een overzichtelijke profielpagina binnen het account.

STAP 5: Creëer bewustwording

Zorg dat minstens de sleutelfiguren en beleidsmakers binnen de zorginstelling of onderneming actief in de gezondheidszorg op de hoogte zijn van de nieuwe regelgeving. Zij moeten immers de gevolgen van deze nieuwe regelgeving inschatten en aanwijzen waar er mogelijks actie moet worden ondernomen.

Verder is het ook nodig om alle medewerkers te informeren over de aankomende veranderingen. Verder is het ook aan te raden jouw medewerkers in te lichten over de manier waarop je binnen jouw onderneming hun gegevens verwerkt en hoe zij de persoonsgegevens van klanten, gebruikers of patiënten moeten verwerken volgens de hierboven uiteengezette basisprincipes en met inachtname van hun rechten.

Stap 6: Waar bewaart u die persoonsgegevens?

Bepalen welke persoonsgegevens zich waar bevinden, is een voorwaarde om aan de verplichtingen van de GDPR te kunnen voldoen. Dat vraagt een inventaris en analyse van data (en meer in het bijzonder van persoonsgegevens) op de gebruikte systemen, op de apparatuur van medewerkers, op externe (cloud)servers en in archieven. Maar ook van informatie in gebruik of bewaring bij leveranciers, onderaannemers en andere partners die persoonsgegevens namens de organisatie verwerken.

Hoe begint u hier aan? Ontwikkel een data map, een informatieplattegrond die in één oogopslag een totaaloverzicht biedt van wat de oorsprong is van welke informatie en waar die informatie allemaal wordt bewaard, en hoe de informatiebronnen zijn verbonden met andere systemen – met nadruk op de persoonsgegevens, fysieke informatie en digitaal. Dat geeft vlot en voortdurend inzicht in de plaats, aard en waarde van alle informatie.
Het spreekt uiteraard voor zich dat deze verplichting bij een startende onderneming of scale-up vaak reeds is opgevangen of weinig inspanningen vraagt. Het in kaart brengen van de dataflows en verwerkingsactiveiten zijn bij deze jonge ondernemingen makkelijk in kaart te brengen. Vandaar ook mijn pleidooi om dit zo snel mogelijk te doen. Als u deze verplichting van bij de start aanvat en laat meegroeien met uw bedrijf, blijft deze oefening bijzonder kost-efficiënt.

Zorginstellingen en start ups in de gezondheidszorg moeten registers bijhouden
In deze context en ook om de rechten van de betrokkenen (zie stap 4) te kunnen garanderen, is het verstandig een register bij te houden waarin alles over de dataverzameling wordt georganiseerd en gedocumenteerd. Voor grote ondernemingen die 250 personen of meer in dienst hebben is het aanleggen van een register verplicht. Wanneer u medische gegevens, gezondheidsgerelateerde gegevens of genetische data verwerkt dan bent u ook verplicht een dergelijk register aan te leggen.

Maar zoals gezegd, kan dit register een handige tool uitmaken. De Belgische Privacycommissie (voortaan onder haar nieuwe naam de Gegevensbeschermingsautoriteit) heeft hiervoor op haar website een template gepubliceerd. Deze template kan een handige aanzet zijn voor een dergelijk register.

Samengevat: Een datamap én een register zijn broodnodige documentatie voor de gezondheidsprofessional, zorginstelling die op ieder moment zal moeten kunnen aantonen waar welke informatie zich bevindt voor welke bedoeling.

Hoe lang mag ik persoonsgegevens bijhouden?
Bewaartermijnen zijn een belangrijk onderdeel in het GDPR-gebeuren. U mag immers geen gegevens langer bijhouden dan nodig. Het komt erop neer dat er genoeg informatie – maar niet teveel – wordt bewaard, gebruikt en gedeeld. Gegevensvernietiging is een delicate kwestie, die ook uiterst vertrouwelijk en aantoonbaar juist moet gebeuren. Daarenboven dient u onder de GDPR enkel accurate data bij te houden.

Keep it safe
Ten slotte moet alles veilig worden bewaard, wat enkel kan als er een IT-beveiligingsbeleid wordt gevoerd. Ook hier is het wel van belang te benadrukken dat het hier enkel om een proportionele maatregel dient te gaan en dus een veiligheidsbeleid moet worden bepaald dat financieel, bedrijfsmatig en commercieel is afgetoetst. Wel kan men er niet om heen dat wanneer men medische gegevens, gezondheidsgerelateerde gegevens of genetische data verwerkt, er proportioneel meer veiligheidsmaatregelen zal moeten worden genomen teneinde de confidentialiteit en integriteit van deze gegevens te garanderen.

Stap 7: Integreer data protection/privacy in uw denkpatronen

De GDPR draagt ondernemingen ook op om vanaf 25 mei 2018 pro-actief na te gaan denken over data protection. Zo bepaalt deze nieuwe verordening dat nieuwe ontwikkelingen, producten of softwareintegraties reeds van bij hun creatie of aankoop (licentie) moeten voldoen aan de principes van data protection by design en data protection by default. Beide begrippen zijn nieuwe termen die door de GDPR worden geïntroduceerd.

  • Bij Data Protection by design komt het erop neer dat u reeds vanaf de ontwikkeling van een product of bij de aanvang van een nieuwe verwerkingsactiviteit de kernprincipes van data protection in overweging neemt. Zo dient uw product, oplossing of nieuwe verwerkingsactiviteit te worden ontwikkeld dat ze voldoet aan de principes van transparantie, dataminimalisatie en doelbeperking.
  • Data Protection by default heeft dan weer betrekking op het feit dat u ervoor moet zorgen dat de meest privacyvriendelijke instelling standard (by ‘default’) ingesteld staat.

Twee concrete voorbeelden:

  • Bij het inloggen op uw platform of site, de meest veilige oplossing (zijnde bijv. two-factor authentification) als standaardinstelling ingesteld staat en dus niet de minder veilige optie (zijnde bijv. paswoord en gebruikersnaam);
  • Opdat een betrokkene zijn of haar rechten zou kunnen uitvoeren, zal hij of zij vooreerst zich moeten kunnen identificeren (door bijv. een kopie van de ID-kaart te nemen of in te loggen met itsme).

Stap 8: Wees voorbereid op datalekken

De kans bestaat altijd dat een datalek zich voordoet als gevolg van een beveiligingsprobleem of een hacking incident. We lezen er dagelijks over in de kranten. Als zorginstelling of onderneming actief in de gezondheidszorg wordt u in het kader van GDPR verplicht om een aantal maatregelen nemen die u (maar vooral uw gebruikers) beschermen tegen een mogelijk datalek. Naast haar preventief beleid moet een onderneming dus ook nadenken over een reactieve aanpak.

In dit kader introduceert de GDPR bij ons de meldplicht wanneer een datalek is ontstaan. Wanneer een zorginstelling of onderneming actief in de gezondheidszorg geconfronteerd wordt met een datalek, dient er een melding te gebeuren binnen de 72 uren aan de gegevensbeschermingsautoriteit nadat het bedrijf kennis nam van het datalek of wanneer een verwerker de verwerkingsverantwoordelijke hierover informeert. Een dergelijke meldplicht is enkel verplicht wanneer het datalek een risico inhoudt voor de rechten en de vrijheden van de betrokkenen. Wanneer een datalek van persoonsgegevens (mogelijks) een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, moeten ook de betrokkenen zelf geïnformeerd worden. Dit moet zo snel als mogelijk gebeuren. Het komt er dan op aan om in eenvoudige en begrijpbare taal te communiceren over de gebeurtenissen met uw gebruikers.

Stap 9: Stel een verantwoordelijke aan

Ten slotte is het belangrijk dat de gehele organisatie en de partners zich bewust zijn van de verplichtingen en afspraken, en dat er bijvoorbeeld eenduidigheid bestaat over het toegangsbeleid, de bewaartermijnen en het vernietigingsbeleid. Hou een regelmatige beoordeling. Immers, een bedrijf moet ook na 25 mei 2018 GDPR-compliant blijven en meegaan met de stand van de techniek. Het is belangrijk om in de organisatie een DPO (Data Protection Officer) aan te stellen die het hele proces van de GDPR nu en in de toekomst kan uitvoeren en updaten. Het aanstellen van een DPO is verplicht voor bedrijven die medische gegevens, gezondheidsgerelateerde gegevens en/of genetische data verwerken.

Stap 10: Herschrijf contracten met klanten & leveranciers

Een zorginstelling of onderneming actief in de gezondheidszorg werkt vaak samen met andere onderaannemers. Wanneer uw bedrijf regelmatig persoonsgegevens uitwisselt met andere ondernemingen, dan houdt u best een aantal zaken in het achterhoofd.
Eerst en vooral dient u wanneer u een aantal taken delegeert naar bepaalde bedrijven (zoals een sociaal secretariaat, IT-partner, marketing bedrijf, zelfstandige developpers …) na te gaan of deze bedrijven ook in orde zijn met hun verplichtingen onder GDPR. Omdat u dit ook moet kunnen aantonen, zal u vanaf nu met deze bedrijven of partners een verwerkersovereenkomst dienen aan te gaan (al dan niet als bijlage bij de lopende overeenkomsten). In een dergelijke overeenkomst maakt u afspraken over de duur, beschrijving en doeleinden van de verwerkingen, alsook dient een overzicht te worden gegeven van de technische en beveiligingsmaatregelendie zullen worden genomen.
De GDPR zelf voorziet in duidelijke richtlijnen over hoe deze overereenkomsten moeten worden opgesteld.

In het geval de onderneming waarmee u samenwerkt zich niet in EU bevindt, dan dient u bovendien na te gaan of uw partner zich in een derde land bevindt dat een passend beschermingsniveau kan waarborgen. De Europese Commissie heeft een lijst voorzien van de landen die een dergelijk passend beschermingsniveau bieden (o.a. Zwitserland, Israël, Isle of Man, Uruguay, Canada,…). Indien uw partner zich in een land bevindt dat niet op deze lijst voorkomt, dan dient u bijkomend met deze partner een overeenkomst te tekenen. Deze overeenkomst dient een aantal standaardclausules, opgelegd door de Europese Commissie te bevatten.

8 documenten die u voortaan beter op het schap hebt liggen?

  • Interne privacy policy
  • Externe privacy policy (op website of in applicatie)
  • Data retention policy (policy rond bewaartermijnen)
  • Access management policy
  • Data breach (management) policy
  • Procedures uiteenzetten rond rechten van betrokkenen
  • Security policy – met oog voor (sub)verwerkers
  • Verwerkersovereenkomst met partners

Maak van GDPR een positief verhaal

Maak van GDPR geen negatief verhaal. Vergeet even die boetes en ga voor een pragmatische, proportionele, positieve aanpak in lijn met de filosofie van uw instelling of bedrijf. Gebruik GDPR niet als een excuus om minder digitaal te doen, maar net als een opener om meer e-health te gaan werken.

Wanneer we het vandaag hebben over GDPR, komt er vaak vanuit de juridische beroepen en de consultantwereld maar éé boodschap naar boven: wie niet in orde is met deze wetgeving zal monsterboetes riskeren, die kunnen oplopen tot 4% van de wereldwijde omzet of tot 20 miljoen Euro. Bedrijven en instellingen worden vervolgens dan ook aangepord om zo snel mogelijk stappen te ondernemen om toch nog op de valreep aan deze wetgeving te gaan voldoen. Het wordt dan snel een verhaal van overhaaste beslissingen, inboeten aan bedrijfsprocedures en het opzetten van een over-gecompliceerd data protection plan waarbij de bedrijfsfilosofie maar al te vaak wordt vergeten. Waarbij – en laten eerlijk zijn- vaak enkel de consultants of raadgevers beter worden.

Is dit dan een pleidooi om helemaal niks rond GDPR te moeten doen? Neen absoluut niet. Als u deze regelgeving volledig aan u laat voorbijgaan, dan natuurlijk riskeert u tegen de lamp te lopen. Dit is zeker het geval voor wat betreft de gezondheidssector. Bovendien is het mijn mening dat zorginstellingen of ondernemingen actief in de gezondheidszorg van nature uit bewust dienen om te gaan met de verschillende data (waaronder de bijzondere categoriëen data) die men verwerkt. Deze instellingen en ondernemingen zouden m.i. de bescherming van hun betrokkene in hun (professioneel) DNA hebben moeten zitten.
Dit betekent echter niet dat we daarom het hele GDPR of data protection verhaal enkel te moeten benaderen vanuit de angst om boetes te riskeren.
Als GDPR of data protection kan als het goed aangepakt wordt heel wat voordelen brengen voor een instelling of onderneming.

Ik som de voordelen nog even op.

Intern zal een juist privacy of data protection beleid leiden tot meer transparantie naar uw werknemers toe. Zo kan u op grond van een interne privacy policy, uw werknemers transparant inlichten en geruststellen hoe hun data wordt gebruikt en voor welke doeleinden. Als onderneming of zaakvoerder zal u bijv. ook aan de hand van een juiste e-mailpolicy makkelijker projecten kunnen opvolgen van werknemers die afwezig zijn.

Door in een datamap de (persoons)gegevens in kaart te brengen (dataflows) en op elkaar af te stemmen, creëert u een bijkomend voordeel. U vermijdt immers dat er op deze manier overdadig gebruik wordt gemaakt van vaak onnodige software en toepassingen. Verder weet u waar de data zich bevindt, hetgeen vroeger niet altijd het geval was. Daar vroeger al deze data verspreid zat doorheen uw instelling of bedrijf, zorgde ervoor dat u geen weet had van welke data uw bedrijf allemaal in handen had. Zo bleef een schat aan informatie onbenut en werd deze data nooit volgens diens vol potentieel benut. Aan de hand van concrete en handige datamappen en dataflows zal dit niet langer het geval zijn en zal u de ingewonnen data maximaal kunnen benutten. Zo kunnen er betere gebruikerservaringen worden gecreëerd.

Externe voordelen: Ook de voordelen naar uw gebruikers, patiënten en klantenrelaties toe, zijn talrijk wanneer u op een juiste wijze de GDPR gaat toepassen. Door transparant te communiceren naar uw betrokkene omtrent de verwerkingen van de door hen aangeleverde of door u ingewonnen data, creëert u een band van vertrouwen. Daarenboven wanneer u van de betrokkene een toestemming dient te verkrijgen, zorg dan voor een extra touchpoint met deze gebruiker of klant. Maak van die privacy policy en privacy notice (zie stappen 2 tem 4) geen saaie tekst, die het best kan worden omschreven als het beste slaapmiddel sinds jaren op de markt gebracht. Maar grijp deze opportuniteit aan om op dat ogenblik (touchpoint) uw visitekaartje af te geven aan de klant. Zorg dat u bij uw betrokkene een originele, unieke indruk nalaat die uw instelling of onderneming onderscheidt van die van uw concurrenten.

Tot slot rest mij nog u op het hart te drukken om GDPR te implementeren in lijn met de filosofie van uw instelling of onderneming. De nieuwe regelgeving stelt duidelijk voorop dat u proportionele maatregelen dient te nemen. Met andere woorden: maatregelen in lijn met de werking van uw instelling of bedrijf. Het is dus perfect mogelijk om het 10 Stappenplan in lijn met uw bedrijfsfilosofie te integreren, zonder aan de functionaliteiten van uw producten of werking te moeten inboeten. Zeker niet op grond van een juiste juridische basis, en als u daar transparant over bent.

Je kan Magali bereiken op LinkedIn of @MaggiFeys op twitter.