Vanaf 25 mei 2018 vervangt de Algemene verordening gegevensbescherming (AVG) de Wet bescherming persoonsgegevens (Wbp). De AVG brengt ook (nieuwe) verplichtingen mee voor werkgevers. Werkgevers verwerken immers grote hoeveelheden persoonsgegevens van hun werknemers. Zonder deze gegevensverwerking kunnen werkgevers niet aan hun wettelijke en contractuele verplichtingen voldoen, zoals het uitbetalen van salaris en afdragen van belastingen en premies.

Op grond van de AVG heeft de werkgever als verwerkingsverantwoordelijke onder meer de verplichting om werknemers tijdig informatie te verschaffen over de verwerking van diens persoonsgegevens. Deze informatieplicht bestaat ook al in de Wbp, maar wordt in de AVG aanzienlijk uitgebreid. De Autoriteit Persoonsgegevens heeft daarnaast vanaf 25 mei 2018 de bevoegdheid om boetes tot 20 miljoen euro (!) op te leggen als niet aan deze informatieplicht wordt voldaan. 

De informatie aan de werknemer moet in “beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal” worden verstrekt. Het doel hiervan is dat werknemers zich er beter van bewust worden dat hun persoonsgegevens worden verwerkt, waarom, door wie en welke rechten zij hebben ten aanzien van de verwerking.

Om aan deze actieve informatieplicht te kunnen voldoen zal een werkgever de werknemer een algemene informatiebrief – voorafgaand aan het dienstverband – toe moeten sturen. In deze brief dient ten minste de volgende informatie te worden opgenomen:

• in voorkomende gevallen, de contactgegevens van de functionaris voor gegevensbescherming;
• de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking;
• de gerechtvaardigde belangen van de werkgever indien de verwerking op gerechtvaardigd belang is gebaseerd;
• in voorkomende gevallen, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
• in voorkomende gevallen, dat de werkgever het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie en wat de passende of geschikte waarborgen zijn;
• de periode gedurende welke de persoonsgegevens zullen worden opgeslagen (bewaartermijnen), of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
• dat de werknemer het recht heeft de werkgever te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid (dataportabiliteit);
• wanneer de verwerking op toestemming van de werknemer is gebaseerd, dat de werknemer het recht heeft de toestemming te allen tijde in te trekken;
• dat de werknemer het recht heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens;
• of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de werknemer verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
• het bestaan van geautomatiseerde besluitvorming en nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de werknemer.

Kortom, de informatieplicht is omvangrijk en het achterwege laten van deze informatie is binnenkort geen optie meer. 

Wilt u meer weten over de verwerking van persoonsgegevens van uw werknemers? Neemt u dan contact op met Annneloes Korremans.

Vanaf 25 mei 2018  zijn overheidsinstanties en publieke organisaties verplicht een FG aan te stellen. Dit geldt ook voor zorginstellingen.

De Wet bescherming persoonsgegevens maakt het echter mogelijk om voor een bepaalde sector nadere regels te stellen. Zo is op 1 januari 2018 het Besluit elektronische gegevensverwerking door zorgaanbieders in werking getreden. Dit om uitdrukking te geven aan het grote belang dat gehecht wordt aan een adequate en passende beveiliging van elektronische gegevensuitwisseling in de zorg.

Op grond van dit besluit is een zorgaanbieder als verantwoordelijke voor een “elektronisch uitwisselingssysteem” verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze verplichting  geldt dus al per 1 januari 2018 en niet pas vanaf 25 mei 2018. Hetzelfde geldt voor instellingen als bedoeld in artikel 1 eerste lid Wet kwaliteit, klachten en geschillen zorg die op grote schaal gegevens verwerken. Wat betekent dit nu concreet?

Met een elektronisch uitwisselingssysteem wordt een systeem bedoeld aan de hand waarvan zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar maken. Veel zorgaanbieders beschikken over een dergelijk systeem.

Voor wat betreft het “op grote schaal verwerken van gegevens” door instellingen als bedoeld in artikel 1 eerste lid Wet kwaliteit, klachten en geschillen, geldt dat de artikel 29 werkgroep als voorbeeld voor een grootschalige gegevensverwerking een ziekenhuis heeft genoemd. Als voorbeeld van niet-grootschalige gegevensverwerking noemt de werkgroep gegevensverwerking door een individuele arts.

De inwerkingtreding van het besluit heeft dus tot gevolg dat een groot aantal zorgaanbieders al per 1 januari 2018 verplicht is een FG aan te stellen en dus niet pas per 25 mei 2018. Zorgaanbieders opgelet dus!

Wilt u meer weten over privacy in de zorg? Neemt u dan contact op met Natascha van Duuren.

GEHACKED? Het kan ons allemaal overkomen.

Fox-IT is gehacked, dat klinkt als een schande. Maar is dat ook zo? Of laat Fox-IT hier juist zien wat je moet doen vóór dat je gehacked wordt en wat als het gebeurd is?

Met het nieuws dat Fox-IT gehacked is, mag duidelijk worden dat iedere organisatie in zekere mate kwetsbaar is. Als zelfs een bedrijf als Fox-IT gehacked kan worden, kunnen we toch redelijker wijs aannemen dat het ook u of ons kan overkomen. Is dat nu echt nieuws of wisten we dit eigenlijk wel. Natuurlijk wisten we dit eigenlijk wel. Net als dat ieder fietsslot open gemaakt kan worden, heeft ook iedere organisatie zwakkere plekken in de informatiebeveiliging. Dat is niet erg, zelfs niet als je (nog) niet weet waar die zwakheden zitten. Het gaat er dan om hoe snel je ontdekt dat er sprake is van een hack en hoe je vervolgens reageert op de ontstane situatie.

Hoe achterhaal je wat er gecompromitteerd is, hoe kan je het lek (tijdelijk) dichten. Hoe kan je achterhalen hoe de hack mogelijk was, wat is je communicatieplan, wie schakel je op bij deze crisis en uiteindelijk hoe ga je de boel herstellen en zorgen dat de impact van de hack geminimaliseerd wordt. In financiële zin, in productie impact, maar zeker ook ter bescherming van het imago.

Als je dit allemaal moet gaan bedenken als het gebeurt, ben je te laat en verlies je onnodig tijd en daarmee kan de impact van de hack groeien. Het is dus zaak om dit alles goed vooraf uit te werken. In procedures, maar zeker ook in maatregelen die je in staat stellen zaken na te lopen. En te detecteren. Hieronder vallen Intrusion Detection Systemen, SIEM systemen, maar ook log files en tools om log files te analyseren.

Uit de beperkte berichtgeving over de hack bij Fox-IT kan afgeleid worden dat men het daar behoorlijk op orde heeft. Het volume van de gecompromitteerde gegevens is beperkt, men weet hoe de hack ontstaan is, de communicatie was op orde en onder controle (immers, weten wij het nu pas, terwijl de hack in september plaats vond). Fox-IT is een klein bedrijf (ondanks de naamsbekendheid) en heeft haar zaken beter op orde dan vele grotere organisaties. Het kan dus wel!

ConanDoyle helpt uw organisatie graag met deze "pre-flight - post crash" aanpak. Kijk voor een goede start op: Organisatie Prioriteiten Scan