Privacy Policy

AVG

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum de privacy wetgeving binnen de hele Europese Unie gelijk is. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Met de AVG veranderen een aantal zaken op het gebied van privacy en gegevensbescherming, maar veel blijft ook hetzelfde.

Wat verandert er?

Met de komst van de AVG hebben alle organisaties in Europa, dus ook Meet-ing, die persoonsgegevens verwerken meer verplichtingen. Deze verplichtingen zijn er met name op gericht op de verantwoordelijkheid dat organisaties kunnen aantonen dat zij zich aan de wet houden.

Zo moeten organisaties een verantwoordelijke aanwijzen die de gegevensbescherming waarborgt en als contactpersoon optreedt. Een zogenaamde functionaris voor de gegevensbescherming (FG). Aangezien Meet-ing een eenmanszaak is ben ik dat zelf. Dit geeft mooi weer dat de impact van de AVG verschilt per organisatie.

Een andere maatregel die nu verplicht is een gedocumenteerd en werkend gegevensbeschermingsbeleid, oftewel een privacy policy. Hierin staat beschreven hoe de technische en organisatorische bescherming van jouw persoonsgegevens bij Meet-ing is geregeld.

Ook je rechten omtrent de gegevens verwerking hebben een verandering ondergaan. Denk dan hierbij aan het recht op inzage, correctie en verwijdering. Maar ook het recht op dataportibiliteit (dat je makkelijk je gegevens kan krijgen en kan doorgeven aan een andere organisatie. NB Dit geldt overigens alleen voor een deel van de gegevens in medische dossiers: de persoonsgegevens en de gegevens verstrekt door het gebruik van een meetinstrument, vragenlijst of die voortkomen uit observatie. Het recht op dataportabiliteit geldt dus niet voor gegevens die jij niet direct of indirect heeft aangeleverd (bijvoorbeeld conclusies, diagnoses, vermoedens of behandelplannen).

De verwerkersovereenkomst heeft betrekking op de samenwerking die Meet-ing met derde partijen (verwerkers) heeft. Denk dan bijvoorbeeld aan mijn software leverancier en mijn boekhouder. Deze verplichting was er ook al onder de Wbp, maar onder de AVG stelt daar verdergaande eisen aan.

Hetzelfde geldt voor de meldplicht met betrekking tot datalekken.

De AVG stelt ook verplicht om invulling te geven aan de begrippen ‘Privacy by design’ en ‘Privacy by default’.

Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd. Een ander aspect is dat er niet meer gegevens worden verzameld of gedeeld dan noodzakelijk is voor het doel van de verwerking. En tevens de gegevens niet langer worden bewaard dan nodig is voor het doel.

Privacy by default houdt in dat technische en organisatorische maatregelen worden getroffen zodat standaard alleen die persoonsgegevens worden verwerkt die noodzakelijk zijn voor het bereiken van een specifiek doel. Er worden dus niet meer persoonsgegevens verzameld dan nodig, en de standaardinstellingen van een product of dienst gaan uit van minimale dataverzameling van alleen relevante persoonsgegevens.

In de AVG is er ook een informatieplicht opgenomen. Zo is Meet-ing verplicht om je te informeren over de verwerking van je persoonsgegevens. Tevens moet Meet-ing je erop wijzen hoe je rechten én hoe je omgaat met datalekken. Dit is allemaal vormgegeven in de privacy policy. Hier hoef je geen akkoord op te geven, maar je moet er wel ten alle tijden toegang tot hebben. Ik heb mijn uiterste best gedaan om de privacy policy zo beknopt, transparant en begrijpelijk te maken.

Wat verandert er voor jou, als cliënt?

Voor jou als cliënt veranderd er in feite weinig. Je gegevens zijn veilig bij Meet-ing, maar dat is niet nieuw.

Wat je wel moet doen is goed geïnformeerd. Concreet houdt dit in dat je de privacy policy van Meet-ing kan doorlezen zodat je precies weet hoe Meet-ing omgaat met jouw gegevens.


Publicatie: 25 mei 2018