Wat is de Algemene verordening gegevensbescherming (AVG)?

Vanaf 25 mei 2018 geldt in de Europese Unie de “Algemene Verordening voor Gegevensbescherming (AVG)”. Deze verordening regelt hoe we in de Europese Unie omgaan met persoonsgegevens (privacy).

De AVG stelt een aantal principes voorop die iedereen die met persoonsgegevens werkt (overheid, voorzieningen, ondernemingen, verenigingen, … ) moet respecteren:

  • Er moet een legitiem doel zijn om gegevens te verwerken. De verzamelde gegevens mogen enkel voor dit doel worden verwerkt. Het legitieme doel kan een wet of decreet zijn maar ook de toestemming van de betrokkene, een contract, …
  • Je vraagt alleen de gegevens die je nodig hebt voor je legitieme doel.
  • Je bent transparant over de gegevensverzameling.
  • De gegevens moeten correct zijn en blijven.
  • De gegevens mogen niet langer bewaard worden dan nodig voor het legitieme doel.
  • Persoonsgegevens moeten beschermd worden tegen onrechtmatige toegang.

Wat zijn persoonsgegevens? In de AVG staat in artikel 4.1. de volgende definitie voor persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Verandert de AVG iets aan de manier waarop we werken bij Zorginspectie?

Net zoals alle andere organisaties moet Zorginspectie de AVG toepassen. Er is echter een  uitzondering voorzien in de AVG (artikel 23, lid 1, e) en h)), zodat inspectiediensten hun opdracht kunnen blijven uitvoeren en informatiedragers met bijzondere persoonsgegevens kunnen blijven inkijken. Toezicht houden is onze wettelijke opdracht en daarvoor moeten we waar nodig documenten of informatiedragers met of zonder persoonsgegevens kunnen inkijken. Dit beperkt zich niet alleen tot een inspectie ter plaatse maar dit geldt ook voor een inspectie zonder plaatsbezoek. De AVG verandert op dit vlak niets aan de inspectiepraktijk.

Zorginspectie mag documenten of informatiedragers met bijzondere persoonsgegevens inzien ter voorbereiding, tijdens of na een inspectie, uiteraard in functie van het maken van een inspectieverslag. Behalve inzien mag Zorginspectie (een kopie van) deze informatie ook meenemen. Ook dit is mogelijk op basis van regelgeving en de verschillende machtigingsaanvragen die we in de loop van voorbije jaren aanvroegen aan de vroegere Privacycommissie of de Vlaamse Toezichtcommissie.

Hoe moeten voorzieningen omgaan met informatiedragers waarop persoonsgegevens staan?

Voorzieningen hebben een wettelijke opdracht en hierdoor hebben ze soms documenten met persoonsgegevens nodig zoals personeelsdossiers, loonfiches, facturen, dossiers van gebruikers, …  .

Over hoe voorzieningen moeten omgaan met deze persoonsgegevens bestaan verschillende regelgevingen, richtlijnen, omzendbrieven, … Voorzieningen worden geacht deze regels te kennen en toe te passen. Hun koepels kunnen hierbij ondersteuning bieden.

Een voorziening of organisatie mag nooit documenten langer bewaren alleen voor inspectie. De bewaartermijn moet gekoppeld zijn aan het doeleinde van de initiële gegevensinzameling.

Een voorziening moet een register voor gegevensverwerking hebben waarin onder andere beschreven staat per verwerkingsactiviteit hoe lang de wettelijke en als die er niet is, administratieve bewaartermijn is.  Als het gaat over inspecteren blijft het principe dat Zorginspectie alle relevante documenten moet kunnen blijven opvragen die de voorziening had moeten hebben om in lijn te zijn met zijn wetgeving inclusief de AVG.

Het is niet de bedoeling dat Zorginspectie de AVG of andere regelgeving over vernietigen van documenten gaat inspecteren. De AVG wordt gecontroleerd door de Toezichthoudende autoriteit of beter, de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie).

Wat doet Zorginspectie/het departement zelf om zorgvuldig om te gaan met persoonsgegevens?

Voor Zorginspectie is zorgvuldig omgaan met persoonsgegevens een constante in het beleid in de teams en over de teams heen.

Het Departement Welzijn, Volksgezondheid en Gezin (waar Zorginspectie deel van uitmaakt) respecteert de rechten bij de verwerking van persoonsgegevens. In de privacyverklaring vindt u hoe we persoonsgegevens verzamelen, verwerken en gebruiken.  

Regelgeving

Er zijn verschillende regelgevingen van belang:

1. De opdrachten van Zorginspectie zijn bepaald in het decreet van 19 januari 2018 houdende het overheidstoezicht in het kader van het gezondheids- en welzijnsbeleid.

Toezicht houden is dus de wettelijke opdracht van Zorginspectie.

2. Zorginspectie diende in 2017 een machtigingsaanvraag in bij de Privacycommissie en kreeg toelating om dossiers of documenten in te zien waarin gezondheidsgegevens staan. Aan het verwerken van gezondheidsgegevens, en met uitbreiding alle persoonsgegevens, zijn wel voorwaarden verbonden. Dat wordt opgenomen in het privacybeleid van Zorginspectie.

3. Het inzagerecht van documenten wordt soms ingeschreven in sectorale regelgevingen. Maar dat is niet altijd het geval. Sommige entiteiten geven als richtlijn dat de inspecteur moet kunnen controleren of bepaalde documenten op een bepaald tijdstip werden opgevraagd door de voorziening. Maar de documenten moeten niet bewaard worden voor inspectie.