Gezondheidsgegevens genieten een bijzonder statuut in de Algemene Verordening Gegevensbescherming (AVG / GDPR). Zij worden wegens hun aard beschouwd als ‘gevoelige gegevens’. Dat heeft een aantal belangrijke consequenties. Het verwerken van gevoelige gegevens is immers verboden, tenzij u onder een van de uitzonderingscategorieën valt. In het kader van uw verantwoordingsplicht betekent dit dat u goed moet documenteren waarom u gerechtigd bent om gezondheidsgegevens te verwerken en hoe u hiermee omgaat.
Gezondheidsgegevens
De term gezondheidsgegevens mag vrij ruim worden opgevat. Het betreft alle soorten gegevens die informatie over de lichamelijke of geestelijke gezondheidstoestand van een bepaald individu kunnen geven. Bijvoorbeeld: informatie over ziekte of ziekterisico, testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, genetische gegevens, medische voorgeschiedenis, etc. Dit ongeacht de bron (ziekenhuis, arts, gezondheidsmedewerker, een medisch hulpmiddel, etc.).
Verplichte documentatie
Dataverwerkingsregister
Elke onderneming die persoonsgegevens verwerkt, moet een dataverwerkingsregister bijhouden. Dit betreft een inventaris van de categorieën persoonsgegevens die worden verwerkt en op welke wijze dat gebeurt (doeleinden, rechtsgrond, bewaartermijn, ontvangers van de gegevens, beveiliging, etc.). Als u gezondheidsgegevens verwerkt, moet u in dat register verantwoorden waarom u gerechtigd bent dat te doen. Het register moet bovendien up-to-date worden gehouden, zodat u bij een eventuele controle dit document onmiddellijk kunt voorleggen (bijvoorbeeld na een klacht bij de Gegevensbeschermingsautoriteit = de Belgische toezichthouder inzake GDPR en privacy).
Privacy policy
Ten aanzien van de personen van wie u gezondheidsgegevens verwerkt (bv. patiënten of personeel) moet u transparant zijn. U moet hen vóór of bij aanvang van de verwerking van hun gegevens uw privacy policy meedelen waarin zij alle wettelijk vereiste informatie terugvinden. Indien er zich wijzigingen voordoen die voor hen van belang zijn, zult u deze wijzigingen zo spoedig mogelijk ter kennis moeten brengen. U moet hen ook informeren omtrent de rechten die zij t.a.v. u kunnen uitoefenen, zoals bijvoorbeeld het recht op informatie of het recht op verbetering van hun gegevens.
Extra document vereist door Belgische wetgever
In uitvoering van de AVG (welke een Europese wetgeving is) kunnen de EU lidstaten afzonderlijk extra verplichtingen opleggen. De Belgische wetgever heeft m.b.t. de verwerking van gezondheidsgegevens een extra formaliteit opgelegd. De verwerkingsverantwoordelijke moet met name een lijst bijhouden van de categorieën van personen die toegang hebben tot gezondheidsgegevens en nauwkeurig omschrijven in welke hoedanigheid zij deze kunnen raadplegen en verwerken. Deze lijst moet ter beschikking worden gehouden van de Gegevensbeschermingsautoriteit. De personen die gezondheidsgegevens verwerken, moeten steeds gebonden zijn aan een wettelijke of statutaire verplichting tot geheimhouding (vb. beroepsgeheim) of moeten via een evenwaardige contractuele bepaling tot geheimhouding worden verplicht.
Adequate bescherming
Persoonsgegevens moeten adequaat worden beschermd. Dit omhelst zowel het nemen van technische maatregelen (vb. bescherming van uw IT-infrastructuur) als organisatorische maatregelen (vb. uw personeel bewust leren omgaan met persoonsgegevens).
Gezien de verwerking van gevoelige gegevens bijzondere bescherming geniet binnen de AVG, betekent dit ook dat de maatregelen ter bescherming van gezondheidsgegevens van een passend niveau moeten zijn.
Een datalek m.b.t. gezondheidsgegevens zou u ernstige reputatieschade kunnen toebrengen en kan tevens leiden tot strenge financiële sancties.
Als onderneming moet u er aandacht voor hebben dat het gevaar niet steeds van buitenaf komt (vb. een hacker), maar dat er ook intern risico’s zijn. Denk bijvoorbeeld aan een personeelslid die gezondheidsgegevens verstuurt naar een foutief persoon, een werknemer die ongeoorloofd gezondheidsgegevens inkijkt die niet voor hem zijn bestemd of deze verspreid naar andere personen, etc.
Verwerkers
Verwerkers zijn ondernemingen die in uw opdracht en volgens uw instructies persoonsgegevens verwerken.
Als u een beroep doet op een verwerker, zorg er dan voor dat u een verwerkersovereenkomst sluit die passende waarborgen voorziet. Zoals hoger uiteengezet, vereisen gezondheidsgegevens (gezien de gevoelige aard) passende beschermingsmaatregelen. Afspraken inzake beveiliging van de gegevens en hoe te handelen in geval van een datalek zijn een absolute must.
Als u werkt met een softwarepakket om de gegevens van klanten, leveranciers, werknemers, etc. te beheren, kies dan voor een softwareprovider die dataveiligheid hoog in het vaandel draagt. Denk goed na welke functionaliteiten de software moet bieden om uw beleid inzake dataveiligheid ten uitvoer te kunnen brengen. Denk bijvoorbeeld aan de mogelijkheid om per werknemer te beslissen welke gegevens zij kunnen inzien (afzonderlijke autorisaties). Niet elke werknemer dient immers alle gegevens van de onderneming te kunnen raadplegen, enkel degene die hij in functie van zijn takenpakket nodig heeft (HR, boekhouding, verkoop, etc.).
Staat uw privacy beleid nog niet op punt? Kunt u hulp gebruiken om uw bedrijf GDPR conform te maken? Aarzel niet om contact met mij op te nemen.