ZCP geeft u ondersteuning bij het opvolgen van de Algemene Verordening Gegevensbescherming in het kader van de privacy personen, die per 25 mei 2018 verplicht is.

DPIA

Om te toetsen of er voor de gegevens die binnen ZCP worden verwerkt een DPIA nodig is, is ZCP tegen de 9 criteria van de WP29 aangehouden. De uitkomst hiervan is als volgt:

Nr. Criterium Uitkomst Onderbouwing
1. Beoordelen van mensen op basis van persoonskenmerken N.v.t. In ZCP zitten geen voorzieningen om profiling te ondersteunen.
2. Geautomatiseerde beslissingen N.v.t. ZCP neemt geen geautomatiseerde beslissingen.
3. Stelselmatige en grootschalige monitoring N.v.t. De term ‘grootschalig’ is nader gedefinieerd in de handleiding AVG van de autoriteit persoonsgegevens. Citaat: “Voorbeelden van grootschalige verwerkingen zijn: verwerking van patiëntgegevens in een ziekenhuis (maar niet die van een individuele arts)“. Met name de laatste zinsnede geeft de homeopaat zekerheid omtrent de bedoeling van ‘grootschalig’. Zolang ZCP gebruikt wordt voor het voeren van dossier van een individuele homeopaat is er geen sprake van grootschaligheid.
4. Gevoelige gegevens N.v.t. (echter, zie N.B.) In Artikel 9, lid 1 van de AVG staat het volgende dat relevant is voor de homeopathie praktijk: “…gegevens over gezondheid…” mogen niet worden verwerktLid 2, vertelt geeft hiervoor de uitzondering: “…de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden…”. 

Dit leidt er overigens niet toe dat er een DPIA moet worden uitgevoerd voor ZCP. Hierover is de ‘Guidelines on Data Protection Impact Assessment‘ helder. In de nederlandse vertaling hiervan op pagina 14 (zie wp248_rev.01_nl.pdf, pag. 14) wordt duidelijk t.a.v.: “Een verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat (overweging 91)”, dat een Gegevensbeschermingseffectbeoordeling niet vereist is.  Overweging 91 (zie AVG L 119/17) maakt dit zeer helder: “De verwerking van persoonsgegevens mag niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat. In die gevallen mag een gegevensbeschermingseffectbeoordeling niet verplicht worden gesteld. “.

N.B. In het kader van de Privacy wetgeving, zult u de betrokkene dus toestemming moeten vragen en hiervan ook bewijs moeten kunnen tonen. Dit kan bijvoorbeeld door een te ondertekenen formulier dat u bij uw registratie van uw patiënt voegt.

5. Grootschalige gegevensverwerkingen N.v.t. Citaat: “De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig.” (zie Autoriteit persoonsgegevens).
6. Gekoppelde databases N.v.t. ZCP koppelt niet geautomatiseerd verschillende databases over uw patiënten aan elkaar.
7. Gegevens over kwetsbare personen N.v.t. (echter, zie N.B.) Er ontstaat door de patiëntgegevens die u registreert in ZCP in principe geen toegenomen machtsongelijkheid tussen u als homeopaat en de patiënt. U bent met ZCP te allen tijde in staat om een volledig rapport van het volledige patiëntendossier te genereren en dit te delen met de patiënt. In het geval van kinderen of andere kwetsbare personen zal goed moeten worden geïnformeerd naar voogdij of ouderlijk gezag. Voor het beheren van het dossier in ZCP is het in het kader van de Privacy Wetgeving vereist om toestemming te vragen bij de verantwoordelijke en dit vast te leggen.

N.B.  Zie echter de eerdere vraag 4. over Gevoelige gegevens.

Uitgangspunten

<uitwerken>

Wat u zelf moet regelen

<uitwerken>