Privacy

Vragen op het gebied van privacy? Ook dan staat Legaltree voor u klaar, met ruime ervaring in privacy rond applicaties, persoonsgegevens in de zorg, doorgifte van gegevens, het gebruik van klantgegevens, inzageverzoeken van overheidsinstanties en datalekken.

Het belang van privacy-compliance is toegenomen door de Europese privacywetgeving (de Algemene Verordening Gegevensbescherming / AVG) die sinds 25 mei 2018 van kracht is. Met Legaltree heeft u gespecialiseerde expertise aan uw kant. Met ervaring die is opgedaan in onder meer de zorg, de IT en de retail, variërend van multinationals tot mkb-bedrijven.

Voor welke onderwerpen kunt u bij Legaltree terecht?

• Verwerkersovereenkomsten
• Compliance met de AVG
• Patiëntgegevens en het beroepsgeheim
• Werknemersgegevens
• Datalekken
• Uitwisselen van gegevens
• Privacy in de cloud
• Dataexport
• Direct marketing
• Andere privacyvragen

Verwerkersovereenkomsten

Besteedt u activiteiten met persoonsgegevens uit aan een externe leverancier of dienstverlener? Dan is er meestal sprake van een ‘verwerkersrelatie’. Denk bijvoorbeeld aan het laten hosten van gegevens, het in een online applicatie plaatsen van gegevens, het uitbesteden van het beheer of het gebruik door een callcenter. U bent dan wettelijk verplicht een ‘verwerkersovereenkomst’ met de externe partij (de ‘verwerker’) te sluiten. De specialisten van Legaltree hebben ruime ervaring met het opstellen, reviewen en uitonderhandelen van verwerkersovereenkomsten. Ook kunt u bij Legaltree terecht wanneer niet altijd duidelijk is of een externe leverancier of dienstverlener verwerker is.

AVG-compliance

Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG), in het Engels de ‘General Data Protection Regulation (GDPR). De AVG is een Europese verordening die rechtstreeks van toepassing is in alle landen van de Europese Unie. Deze nieuwe privacywet brengt nieuwe verplichtingen met zich mee op het gebied van privacycompliance. Daarnaast zijn er met de komst van de AVG forse boetes bijgekomen. Legaltree kan u helpen met AVG-vraagstukken die binnen uw organisatie spelen.

Patiëntgegevens en het beroepsgeheim

Het beroepsgeheim staat steeds verder onder druk. Op grond van steeds meer regels moeten zorgverleners hun beroepsgeheim doorbreken. Ook groeit het aantal partijen dat belang heeft bij patiëntgegevens, zoals zorgverzekeraars, gemeenten en politie en justitie. Maar waar liggen nu de grenzen? Vraag het Legaltree.

Steeds meer gegevens van patiënten worden elektronisch verwerkt. Patiëntgegevens zijn zogenaamde ‘bijzondere persoonsgegevens’. Bijzondere persoonsgegevens mogen maar in een beperkt aantal gevallen worden gebruikt. Ook gelden er extra eisen wat betreft beveiliging en dus ook de processen waarbij toegang wordt verkregen tot de patiëntgegevens. Dat geldt met name als gebruik wordt gemaakt van internetapplicaties. Wat mag en moet er met patiëntgegevens gebeuren? Wie krijgen binnen de organisatie toegang tot die gegevens? En moet de patiënt altijd toestemming geven tot het verstrekken van patiëntgegevens aan derden? Welke regels gelden bij wetenschappelijk onderzoek? Wat te doen met een vordering van een nabestaande tot afgifte van het medisch dossier om aan te tonen dat de overledene niet compos mentis was ten tijde van het wijzigen van het testament? Voor dergelijke vragen kunt u bij Legaltree terecht.

Werknemersgegevens

Werknemers hebben recht op bescherming van hun persoonsgegevens. Vanwege hun afhankelijkheid van de werkgever, is het extra van belang om af te wegen of het wel noodzakelijk is bepaalde persoonsgegevens te verzamelen. Hoe zit het met het recht op privacy van de werknemer bij het invoeren van cameratoezicht, e-mailcontrole, centrale werknemersdatabases of het screenen van kandidaten en werknemers? Als er een ondernemingsraad is geldt er vaak een adviesrecht of zelfs instemmingsrecht.

Datalekken

Sinds 1 januari 2016 is het in Nederland verplicht datalekken te melden: incidenten waarbij persoonsgegevens zijn vrijgekomen, aangetast, verloren gegaan of toegankelijk geworden voor onbevoegden. Met de komst van de AVG is dit niet wezenlijk anders geworden. Een datalek dat aan bepaalde criteria voldoet, moet worden gemeld aan de toezichthouder (de Autoriteit Persoonsgegevens) en soms ook aan de personen om wiens gegevens het gaat. Als er niet wordt gemeld terwijl dat wel moest, riskeert de organisatie een hoge boete. Een intern ‘draaiboek’ waarbij wordt vastgesteld wanneer een datalek moet worden gemeld is een goed hulpmiddel om boetes te voorkomen.

Uitwisselen van gegevens

Soms is het nodig persoonsgegevens uit te wisselen met andere partijen of draagt een overheidsinstantie u dit op. Om de privacyregels te volgen is het belangrijk om na te gaan of het uitwisselen van de gegevens wel overeenkomt met de wettelijke regels.

Privacy in de cloud

Worden persoonsgegevens ‘in de cloud’ geplaatst – meestal door gebruik te maken van een Saas-oplossing – dan spelen er meerdere privacyaspecten. Beveiliging is een aandachtspunt, maar ook de controle die de verantwoordelijke partij over de gegevens heeft, wat er mee gebeurt na het eindigen van het contract en waar de gegevens worden opgeslagen. Gebeurt dat bijvoorbeeld buiten de Europese Economische Ruimte (alle EU-landen inclusief Noorwegen, IJsland en Liechtenstein), dan is dat in principe niet toegestaan.

Dataexport

Persoonsgegevens mogen in principe niet vanuit de Europese Economische Ruimte worden doorgegeven naar een land daarbuiten waar geen ‘passend beschermingsniveau’ is. Van een paar landen wordt aangenomen dat zo’n passend beschermingsniveau er is, van de overige niet. Dan moet worden bekeken of u een beroep kunt doen op een wettelijke uitzondering. Ook kan een ander mechanisme voor doorgifte mogelijk zijn, zoals het sluiten van modelcontracten.

Direct marketing, online privacy

Bij het gebruik van e-mailadressen en telefoonnummers voor het versturen van commerciële berichten gelden specifieke regels. Meestal is een opt-in nodig, soms kan worden volstaan met een ‘opt-out’ zoals bij commerciële berichten voor gelijksoortige diensten of producten. Daarnaast is privacy een steeds belangrijker aandachtspunt bij online verwerking van persoonsgegevens. Welke gegevens mogen er van app en websitegebruikers worden opgevraagd en welke regels gelden daar bij? Hoe informeert u de app- en websitegebruikers? Plaatst u cookies en zo ja, moet daar toestemming voor worden gevraagd? Bij dit soort vraagstukken kunnen de specialisten van Legaltree helpen.

Contact

Hieronder ziet u de partners die gespecialiseerd zijn in privacy: