Wat is de Algemene verordening gegevensbescherming (AVG)?

Vanaf 25 mei 2018 geldt in de Europese Unie de “Algemene verordening gegevensbescherming (AVG)”. Een verordening zijn wettelijke regels van algemene strekking. De AVG regelt hoe we in de Europese Unie omgaan met persoonsgegevens en privacy.

De AVG stelt een aantal principes voorop die iedereen die met persoonsgegevens werkt (overheid, voorzieningen, ondernemingen, verenigingen, … ) moet respecteren:

• Er moet een legitiem (gegrond, aanvaardbaar, wettelijk) doel zijn om gegevens te verwerken. De verzamelde gegevens mogen enkel voor dit doel worden verwerkt. Het legitiem doel kan een wet of decreet zijn maar ook de toestemming van de betrokkene, een contract, …
• Je mag alleen de gegevens vragen die je nodig hebt voor je legitieme doel.
• Je bent transparant over de gegevensverzameling.
• De gegevens moeten correct zijn en blijven.
• De gegevens mogen niet langer bewaard worden dan nodig voor het legitieme doel.
• Persoonsgegevens moeten beschermd worden tegen onrechtmatige toegang.

Wat zijn persoonsgegevens?

Artikel 4.1. uit de AVG geeft de volgende definitie voor persoonsgegevens:

"alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon."

Hoe verandert de AVG de manier waarop we werken bij Zorginspectie?

Zorginspectie moet de AVG toepassen, maar een aantal algemene rechten en verplichtingen uit het AVG zijn niet op hen van toepassing. Deze uitzonderingen staan bepaald in artikel 23, lid 1, e) en h) van het AVG.

• Dankzij deze uitzonderingen kan Zorginspectie haar opdracht (toezicht houden) blijven uitvoeren. De wettelijke opdracht van Zorginspectie beperkt zich niet alleen tot een inspectie ter plaatse maar omvat ook inspecties zonder plaatsbezoek.
• Daarnaast kan Zorginspectie door deze uitzonderingen informatiedragers met of zonder bijzondere persoonsgegevens blijven inkijken. 

De AVG verandert op dit vlak niets aan de inspectiepraktijk.

Het is niet de bedoeling dat Zorginspectie de AVG of andere regelgeving over vernietigen van documenten gaat inspecteren. De AVG wordt gecontroleerd door de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie).

Andere regelgeving waar Zorginspectie aan onderworpen is

Zorginspectie mag documenten of informatiedragers met bijzondere persoonsgegevens inzien op drie momenten: voor, tijdens of na een inspectie. Uiteraard mag dit alleen in functie van het maken van een inspectieverslag. Zorginspectie mag daarnaast ook (een kopie van) deze informatie meenemen. Dit is mogelijk op basis van regelgeving en op basis van verschillende machtigingsaanvragen van de voorbije jaren.

Een machtigingsaanvraag is een verzoek dat men indient voor een elektronische verwerking of mededeling van persoonsgegevens. Zorginspectie vroeg die in de loop van de voorbije jaren aan bij de vroegere Privacycommissie (nu: de Gegevensbeschermingsautoriteit) of bij de Vlaamse Toezichtcommissie.

Hieronder vindt u wat van belang is voor Zorginspectie:

1. De opdrachten van Zorginspectie zijn bepaald in het decreet van 19 januari 2018 houdende het overheidstoezicht in het kader van het gezondheids- en welzijnsbeleid. Toezicht houden is dus de wettelijke opdracht van Zorginspectie.
2. Zorginspectie diende in 2017 een machtigingsaanvraag in bij de Privacycommissie en kreeg toelating om dossiers of documenten in te zien waar gezondheidsgegevens in staan. Aan het verwerken van gezondheidsgegevens, en met uitbreiding alle persoonsgegevens, zijn wel voorwaarden verbonden. Die werden opgenomen in het privacybeleid van Zorginspectie.
3. Het inzagerecht van documenten wordt soms ingeschreven in regelgevingen per sector. Bijvoorbeeld: sommige organisaties geven als richtlijn dat de inspecteur moet kunnen controleren of bepaalde documenten op een bepaald tijdstip werden opgevraagd door de organisatie, maar deze documenten zelf moeten niet bewaard worden voor inspectie.

Bewaartermijn

Het doeleinde waarvoor de gegevens oorspronkelijk verzameld werden, bepaalt de bewaartermijn. Een organisatie mag nooit documenten langer bewaren dan die bewaartermijn, ook niet om ze beschikbaar te houden voor eventuele inspecties. 

Een organisatie moet een register voor gegevensverwerking hebben. Hierin staat, onder andere, per verwerkingsactiviteit beschreven hoe lang de wettelijke bewaartermijn is. Is er geen wettelijke bewaartermijn, dan moet de administratieve bewaartermijn beschreven staan. Als het gaat over inspecteren blijft het principe gelden dat Zorginspectie alle relevante documenten moet kunnen opvragen die de organisatie moet hebben om in lijn te zijn met haar wetgeving, inclusief de AVG.

Wat doen Zorginspectie en het Departement Zorg zelf om zorgvuldig om te gaan met persoonsgegevens?

Voor Zorginspectie is zorgvuldig omgaan met persoonsgegevens een constante factor in haar beleid. 

Het Departement Zorg (waar Zorginspectie deel van uitmaakt) respecteert de rechten bij de verwerking van persoonsgegevens. In de privacyverklaring vindt u hoe we persoonsgegevens verzamelen, verwerken en gebruiken.  

Hoe andere organisaties moeten omgaan met informatiedragers waarop persoonsgegevens staan

Organisaties hebben soms documenten nodig met persoonsgegevens zoals personeelsdossiers, loonfiches, facturen, dossiers van gebruikers, … om hun wettelijke opdracht te kunnen uitvoeren.

Verschillende regelgevingen, richtlijnen, omzendbrieven, … maken duidelijk hoe organisaties met deze persoonsgegevens moeten omgaan. De organisaties zijn verondersteld deze regels te kennen en toe te passen. Hun koepels kunnen hierbij ondersteuning bieden.