Quality is personal

Privacy

Privacy

De advocaten van Legaltree ondersteunen ondernemingen en overheidsinstanties ook bij hun privacyvraagstukken. Bieneke Braat, Simona Tiems, Irene Scholten-Verheijen en Carolien van Weering hebben ruime ervaring met onderwerpen als privacy rond applicaties, persoonsgegevens in de zorg, doorgifte van gegevens, gebruik van klantgegevens, inzageverzoeken van overheidsinstanties, dataexport en datalekken.

Met de verhoging van de boetebevoegdheid van de Autoriteit Persoonsgegevens per 1 januari 2016, de introductie van de meldplicht datalekken en de aankomende Europese privacywetgeving met daarin nog forsere boetes, wordt het belang van privacy-compliance steeds groter. De specialisten van Legaltree ondersteunen ondernemingen hierbij. Zij doen dit voor ondernemingen in verschillende sectoren, zoals de zorg-, de IT- en de retailsector, variërend van multinationals tot MKB bedrijven. 

Zoals in de hele Legaltree organisatie zijn ook de lijnen met deze advocaten kort. Door een kantoorstructuur waarin medewerkers en stagiaires ontbreken, werkt u altijd met zeer ervaren advocaten die volledig betrokken zijn. Of het nu gaat om adviseren of procederen. De efficiënte en pragmatische werkwijze die hieruit voortvloeit, wordt door cliënten zeer gewaardeerd.

Onderwerpen

  • Bewerkersovereenkomsten
  • Europese privacywet
  • Patiëntgegevens en het beroepsgeheim
  • Werknemersgegevens
  • Datalekken
  • Uitwisselen van gegevens
  • Privacy in de cloud
  • Dataexport
  • Direct marketing

Bewerkersovereenkomsten

Als activiteiten met de persoonsgegevens worden uitbesteed aan een externe leverancier of dienstverlener is er meestal sprake van een 'bewerkersrelatie'. Denk bijvoorbeeld aan het laten hosten van de gegevens, het in een online applicatie plaatsen van de gegevens, het uitbesteden van het beheer of het gebruik door een callcenter. In zulke situaties is er een wettelijke verplichting om een 'bewerkersovereenkomst' met de externe partij (de 'bewerker') te sluiten.

Europese privacywet

Sinds 2012 wordt door de Europese Unie onderhandeld over een nieuwe privacywet die rechtstreeks voor heel Europa gaat gelden. De verwachting is dat deze Algemene Verordening Bescherming Persoonsgegevens in 2016 officieel zal worden gepubliceerd. Daarna is er nog een periode van twee jaar voordat de Verordening daadwerkelijk in werking treedt. Organisaties kunnen zich al voorbereiden op de nieuwe verplichtingen door na te gaan wat de status is van de privacy compliance en de benodigde maatregelen te nemen. Legaltree ondersteunt organisaties daarbij vanuit juridisch oogpunt.  

Patiëntgegevens en het beroepsgeheim

Het beroepsgeheim staat steeds verder onder druk. Er zijn steeds meer wetten op grond waarvan zorgverleners hun beroepsgeheim moeten doorbreken. Ook zijn er steeds meer partijen die belang hebben bij patiëntgegevens, zoals zorgverzekeraars, gemeenten en politie en justitie. Pia Schmelzer, Simona Tiems en Carolien van Weering kunnen aangeven waar de grenzen nu precies liggen.

Steeds meer gegevens van patiënten worden elektronisch verwerkt. Patiëntgegevens zijn zogenaamde 'bijzondere persoonsgegevens'. Bijzondere persoonsgegevens mogen maar in een beperkt aantal gevallen worden gebruikt. Ook gelden er extra eisen wat betreft beveiliging en dus ook de processen waarbij toegang wordt verkregen tot de patiëntgegevens. Dat geldt met name als gebruik wordt gemaakt van internet applicaties. Wat mag en moet met patiëntgegevens? Wie krijgen, binnen de organisatie, toegang tot die gegevens? En moet de patiënt altijd toestemming geven tot het verstrekken van patiëntgegevens aan derden? Welke regels gelden bij wetenschappelijk onderzoek? Wat te doen met een vordering van een nabestaande tot afgifte van het medisch dossier om aan te tonen dat de overledene niet compos mentis was ten tijde van het wijzigen van het testament? Voor dergelijke vragen kunt u bij Legaltree terecht.

Werknemersgegevens

Ook werknemers hebben het recht op bescherming van hun persoonsgegevens. Omdat zij in een afhankelijk relatie staan tot hun werkgever is het hier van extra groot belang om de belangen af te wegen tussen de noodzaak om bepaalde werknemersgegevens te verzamelen en het recht op privacy van de werknemer. Bijvoorbeeld bij het invoeren van cameratoezicht, emailcontrole, centrale werknemers databases of het screenen van kandidaten en werknemers. Als er een ondernemingsraad is geldt er vaak een adviesrecht of zelfs instemmingsrecht.

Datalekken

Sinds 1 januari 2016 is het in Nederland verplicht om 'datalekken' te melden. Dit zijn incidenten waarbij persoonsgegevens zijn vrijgekomen, aangetast, verloren gegaan of toegankelijk geworden voor onbevoegden. Een datalek dat aan bepaalde criteria voldoet, moet worden gemeld aan de toezichthouder (de Autoriteit Persoonsgegevens) en soms ook aan de personen om wiens gegevens het gaat. Als er niet wordt gemeld terwijl dat wel moest riskeert de organisatie een boete. Een intern 'draaiboek' waarbij wordt vastgesteld wanneer een datalek moet worden gemeld is een goed hulpmiddel om boetes te voorkomen.

Uitwisselen van gegevens

Soms kan het nodig zijn om persoonsgegevens uit te wisselen met andere partijen of wordt een organisatie door een overheidsinstantie gevraagd om dit te doen. Om de privacyregels te volgen is het belangrijk om na te gaan of het uitwisselen van de gegevens een basis vindt in de wet.

Privacy in de cloud

Wanneer persoonsgegevens door verantwoordelijke partijen 'in de cloud' worden geplaatst, meestal door gebruik te maken van een Saas-oplossing, spelen verschillende privacyaspecten. Niet alleen is beveiliging van de persoonsgegevens een extra aandachtspunt maar ook de controle die de verantwoordelijke partij over de gegevens heeft, wat er mee gebeurt na het eindigen van het contract en waar de gegevens worden opgeslagen. Als dat bijvoorbeeld buiten de Europese Economische Ruimte is dan is dat in principe niet toegestaan.

Dataexport

Persoonsgegevens mogen in beginsel niet vanuit de Europese Economische Ruimte worden doorgegeven naar een land daarbuiten waar geen 'passend beschermingsniveau' is. Van een paar landen wordt aangenomen dat ze wel een passend beschermingsniveau bieden maar van de overige niet uitdrukkelijk. Er moet dan worden gekeken of er een beroep mogelijk is op een wettelijke uitzondering of dat er een ander mechanisme voor doorgifte mogelijk is, bijvoorbeeld door het sluiten van 'model contracten'.

Direct marketing

Bij het gebruik van emailadressen, fax- en telefoonnummers voor het versturen van commerciële berichten, gelden specifieke regels. Meestal is een opt-in nodig maar soms kan worden volstaan met een 'opt-out' zoals bij commerciële berichten voor gelijksoortige diensten of producten.