Patiëntrechtenverklaring en AVG
Patiëntrechtenverklaring en AVG
Patiënt privacy rechten (Informatief voor de praktijk)
Een organisatie mag niet zomaar persoonsgegevens verwerken.
De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens*:
-
- Toestemming van de betrokken persoon.
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
- De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
- De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Het is aan de organisatie zelf om te bepalen of er sprake is van een of meer grondslagen om persoonsgegevens te mogen verwerken.
Onder de AVG krijgen mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt.
Welke privacy rechten vallen onder de AVG*?:
- Het recht op dataportabiliteit.Het recht om persoonsgegevens over te dragen (NIEUW). In de AVG (artikel 20) heet dit het ‘recht om gegevens over te dragen’. Het houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machine leesbaar formaat te verstrekken.
- Het recht op vergetelheid. Het recht om ‘vergeten’ te worden (NIEUW).Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt.
- De Algemene Verordening Gegevensbescherming (AVG) noemt een aantal omstandigheden waarin het recht op vergetelheid niet geldt:
- De verwerking is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat privacy en vrijheid van meningsuiting gelijkwaardige grondrechten zijn.
- De organisatie verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen.
- De organisatie verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
- De organisatie verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
- De organisatie moet de gegevens in het algemeen belang archiveren.
- De gegevens zijn noodzakelijk voor een rechtsvordering.
- Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die u van hen verwerkt in te zien. Bij inzageverzoeken moet u ook laten weten:
- Waarom u bepaalde gegevens verwerkt.
- Welke soorten persoonsgegevens u verzamelt.
- Indien van toepassing: aan welke organisaties u de persoonsgegevens doorgeeft. Dit geldt ook voor gegevens die u doorgeeft aan organisaties in andere landen of aan internationale organisaties.
- Hoe lang u de persoonsgegevens bewaart. Als u dat niet precies kunt aangeven, moet u duidelijk kunnen maken welke criteria u hanteert om een bewaartermijn te bepalen.
- Welke privacy rechten mensen hebben: het recht om hun persoonsgegevens te laten wijzigen, aanvullen of wissen, om u te vragen om minder persoonsgegevens te verwerken en om bezwaar te maken als u hun persoonsgegevens verwerkt.
- Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
- Indien van toepassing: van welke organisatie u persoonsgegevens heeft ontvangen als u deze niet zelf heeft verzameld bij de betrokken personen.
- Indien van toepassing: op basis van welke logica u een geautomatiseerd besluit over iemand neemt.
- Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te wijzigen. U bent er verantwoordelijk voor dat de persoonsgegevens die u verwerkt juist zijn. En dat u deze gegevens actualiseert als dat nodig is. Zijn persoonsgegevens, gelet op de doeleinden waarvoor u die verwerkt, onjuist? Dan bent u verplicht om alle redelijke maatregelen te nemen om die gegevens te rectificeren of aan te vullen. Dus ook als iemand u erop wijst dat zijn gegevens niet kloppen. Of onvolledig zijn. Heeft u onjuiste of onvolledige persoonsgegevens aan derde partijen verstrekt? Dan moet u de aangepaste of aangevulde gegevens ook aan deze organisaties doorgeven. Als een betrokkene daar om vraagt, moet u ook vertellen welke organisaties u op die manier heeft geïnformeerd.
- Het recht op beperking van de verwerking.Het recht om minder gegevens te laten verwerken. Het recht op beperking van de verwerking geldt in situaties die voldoen aan een van de volgende criteria:
- Gegevens zijn mogelijk onjuist
Geeft iemand aan dat uw organisatie onjuiste persoonsgegevens gebruikt? Dan mag u deze gegevens niet gebruiken zolang u nog niet heeft gecontroleerd of de gegevens wel kloppen. - De verwerking is onrechtmatig
U mag bepaalde gegevens niet verwerken, maar de betrokkene wil niet dat u de gegevens wist. Bijvoorbeeld omdat hij de gegevens later nog wil opvragen. - Gegevens zijn niet meer nodig
U heeft de persoonsgegevens niet meer nodig voor het doel waarvoor u ze heeft verzameld. Maar de betrokkene heeft de persoonsgegevens nog wel nodig voor een rechtsvordering. Bijvoorbeeld een juridische procedure waarbij hij betrokken is. - Betrokkene maakt bezwaar
Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet u stoppen met deze gegevens te verwerken. Tenzij u dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Zo lang nog niet duidelijk is of uw gronden zwaarder wegen, mag u de gegevens niet verwerken. Heeft u de betreffende persoonsgegevens aan andere partijen verstrekt? Dan moet u deze organisaties laten weten dat u het gebruik van deze gegevens heeft beperkt. En dat zij dat dus ook moeten doen. Als iemand van wie u persoonsgegevens verwerkt er om vraagt, moet u ook vertellen welke organisaties u op die manier heeft geïnformeerd.
- Het recht om bezwaar te maken tegen de gegevensverwerking. Verwerkt u als organisatie persoonsgegevens op grond van een taak van algemeen belang? Of op grond van een gerechtvaardigd belang? Dan hebben de betrokkenen – de mensen van wie u gegevens verwerkt – altijd het recht om bezwaar te maken tegen deze verwerking van hun gegevens. Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet u stoppen met deze gegevens te verwerken. Tenzij u dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Of die te maken hebben met een rechtsvordering. Let op: zo lang nog niet duidelijk is of uw gronden zwaarder wegen, mag u de betreffende gegevens niet verwerken. U stelt dan een beperking van de verwerking in.
*Bron: Website autoriteit persoonsgegevens