GDPR & medische gegevens: wat zijn de juridische moeilijkheden?

GDPR & medische gegevens: wat zijn de juridische moeilijkheden?

Ondernemingen of instellingen die werkzaam zijn in de zorgsector komen in aanraking met medische gegevens. In het kader van de GDPR worden deze gegevens als bijzondere persoonsgegevens aanzien en zijn specifieke verplichtingen opgelegd voor de verwerking hiervan. Mr. Franklin legt graag uit wat de verwerking van medische gegevens juridisch met zich meebrengt en hoe jouw onderneming of instelling zich hierbij GDPR-proof kan opstellen.


Algemene Verordening Gegevensbescherming


De Algemene Verordening Gegevensbescherming (meer bekend als General Data Protection Regulation of GDPR) is van kracht sinds 2018 en legt juridische verplichtingen op aan alle entiteiten die persoonsgegevens verwerken. Dit geldt zowel voor de digitale verwerking van persoonsgegevens als voor het verzamelen en verwerken van gegevens op papier.


Hierbij moeten alle ondernemingen of instellingen de personen van wie de persoonsgegevens verwerkt worden hierover informeren via een privacy-verklaring. Er moeten ook meerdere interne documenten opgemaakt worden zoals een procedure datalekken, een intern privacybeleid voor personeelsleden. Daarnaast moeten er verwerkersovereenkomsten afgesloten worden met verwerkers. Zeker voor medische beroepen is het belangrijk om bijkomende aandacht te schenken aan het opstellen van deze verwerkersovereenkomsten.


Rol van GDPR bij verwerking van medische gegevens


De resultaten van medische testen of behandelingen maar ook de informatie die verkregen wordt door bevraging van de zorgverlener (bijvoorbeeld over de symptomen) vallen onder het begrip gezondheidsgegevens.


Gezondheidsgegevens maken op hun beurt een onderdeel uit van de bijzondere gegevens. Een organisatie die in de zorgsector actief is zal dus in de meeste gevallen bijzondere persoonsgegevens verwerken en moet bijgevolg aan additionele wettelijke verplichtingen voldoen.


De verwerking van gezondheidsgegevens wordt in principe verboden door de Algemene Verordening Gegevensbescherming. De reden hiervoor is dat gezondheidsgegevens gevoelige gegevens zijn en daarom bijzondere bescherming verkrijgen. Op dit principe bestaat een aantal uitzonderingen. In bepaalde strikt gedefinieerde gevallen is de verwerking van gezondheidsgegevens dus toegestaan.


De GDPR-regelgeving legt strenge verplichtingen op aan elke organisatie die bijzondere persoonsgegevens verwerkt. Daar medische gegevens ook bijzondere gegevens zijn, zal je als onderneming dus extra aandacht moeten besteden aan de naleving van de GDPR-vereisten wanneer je in aanraking komt met medische gegevens van jouw klanten, partners of werknemers.


Mijn onderneming verwerkt medische gegevens: wat nu?


Verplichte aanstelling DPO


Allereerst moeten alle organisaties die medische en bijgevolg bijzondere gegevens op grote schaal verwerken een Data Protection Officer aanstellen. Een Data Protection Officer (ook functionaris gegevensbescherming genoemd) is een onafhankelijk persoon die toeziet op de naleving van de GDPR binnen een onderneming.


Mr. Franklin telt drie gecertificeerde DPO’s. Alle drie hebben ze ruime ervaring bij verschillende soorten bedrijven en overheden, onder meer ook in de zorgsector waar de correcte verwerking van medische gegevens uitermate belangrijk is.


Verwerkingsregister


Verder wordt aan de onderneming die medische gegevens verwerkt een wettelijke verplichting opgelegd om een verwerkingsregister bij te houden. In dit document moet beschreven worden welke persoonsgegevens verzameld werden en waarom, op welke manier ze beveiligd worden etc. De onderneming moet ook in staat zijn om op vraag van de toezichthoudende autoriteit aan te tonen dat het verwerkingsregister correct werd bijgehouden.


Risico-analyse


Verwerkt jouw organisatie bijzondere gegevens, dan moet er volgens de Gegevensbeschermingsautoriteit een risico-analyse of Data Protection Impact Assessment (DPIA) worden uitgevoerd.


Rechtsgrond


Iedere verwerking van persoonsgegevens moet gebaseerd zijn op een rechtsgrond, zoals bijvoorbeeld uitdrukkelijke toestemming van de betrokkene. Meer informatie over de verschillende rechtsgronden vind je in deze blogpost van Mr. Franklin.


Eén van de vaak in GDPR-context gebruikte rechtsgronden is de toestemming van de betrokkene. In de zorgsector is het belangrijk om een onderscheid te maken tussen de toestemming als verwerkingsgrond en de behandelingstoestemming. De toestemming die een arts moet verkrijgen voor de verwerking van gezondheidsgegevens is dus niet dezelfde als de toestemming waarmee de patiënt met zijn behandeling instemt. Deze behandelingstoestemming is vereist op grond van de Wet Patiëntenrechten en moet apart van de toestemming voor de gegevensverwerking worden gegeven.


Voor de gevoelige persoonsgegevens geldt bovendien ook dat de verwerking noodzakelijk onder één van de specifieke uitzonderingen moet vallen.


Voldoende veiligheidsmaatregelen nemen


Er moet bijzondere aandacht zijn om de medische gegevens die verwerkt worden voldoende te beveiligen. Zo is het belangrijk om een analyse uit te voeren van de software die gebruikt wordt bij de verwerking, alsook welke tools gebruikt worden om de gegevens te delen, bijvoorbeeld met patiënten en andere zorgverstrekkers.


Tevens moet er een procedure rond datalekken worden opgemaakt en moeten alle medewerkers binnen een praktijk of zorginstelling voldoende opgeleid zijn in het kader van de GDPR en cybersecurity, om datalekken te voorkomen.


GDPR, medische gegevens en arbeidsrelaties: wat met COVID-19?


Normaal gezien mag de werkgever zijn werknemers of kandidaten niet ondervragen over de gezondheidstoestand. Door COVID-19 werd dit echter genuanceerd. Volgens de Gegevensbeschermingsautoriteit (GBA) is de lichaamstemperatuur een medisch gegeven. Toch brengt het louter meten van lichaamstemperatuur geen toepassing van GDPR-regels met zich mee en mogen de werkgevers dus op het werkvloer controleren of er al dan niet sprake is van hoge koorts bij de werknemers. Worden er daarentegen volgende stappen aan gekoppeld zoals bijvoorbeeld registratie door de werkgever van het lichaamstemperatuur van de werknemer, dan zal er sprake zijn van verwerking van bijzondere persoonsgegevens en moeten dus de strikte GDPR-verplichtingen worden nageleefd.


Volgens GBA kunnen de werknemers dan ook niet verplicht worden tot het invullen van medische vragenlijsten. Bovendien is de bekendmaking van de identiteiten van met COVID-19 besmette werknemers verboden. Tegelijkertijd is de werkgever verplicht om welzijn op het werkvloer te bevorderen, onder andere door risico’s op de besmetting binnen het bedrijf te analyseren en de nodige maatregelen te treffen. De GDPR-regels maken dit proces vanzelfsprekend een pak moeilijker.


GDPR expert nodig?


Mr. Franklin kan jouw onderneming bijstaan bij de oppuntstelling van het GDPR beleid, zowel met het uitvoeren van een GDPR-audit, opmaak van documenten en het implementeren van een privacybeleid op maat.

We hanteren een pragmatische en duidelijke aanpak tegen vaste prijzen. Reeds 250+ bedrijven gingen jou voor. Neem gerust contact op met Mr. Franklin voor meer informatie over onze diensten en tarieven van all-in-one GDPR-formules.


Contacteer ons


Mr. Franklin is een advocatenkantoor met een bijzondere expertise in het aanbieden van allerhande GDPR diensten. We streven steeds naar een persoonlijke en pragmatische aanpak op maat, duidelijk advies en vaste tarieven. Daarbij trachten we steeds zowel innovatief als kwalitatief op te treden.


Neem gerust vrijblijvend contact met ons op zodat we samen jouw onderneming GDPR-proof kunnen maken.


Olivier Sustronck

+32 486 27 53 05

olivier@misterfranklin.be