Hebt u al een specialist gegevensbescherming in uw ziekenhuis?

Edwin Jacobs, advocaat time.lex, vestigt de aandacht van sommige ondernemingen op de verplichting op een Data Protection Officer (DPO) aan te nemen voor begin mei 2018. Dan wordt dat wettelijk verplicht voor publieke verenigingen die gezondheidsdata verwerken op grote schaal.

De advocaat wijst op een aantal hardnekkige misverstanden over de nieuwe wet Algemene Verordening Gegevensbescherming.

Belangrijk is zeker dat deze nieuwe Europese privacywet ook slaat op vele gezondheidsinstellingen. Maar kleine ondernemingen moeten tevens hun voorzorgen nemen, aldus Jacobs: "Alhoewel er enkele concessies worden gedaan richting kleine ondernemers en mbo’s is de privacywet van toepassing op alle organisaties die persoonlijke data verwerken. De impact op een onderneming hangt af van de wijze waarop data worden verwerkt, en niet van het aantal datarecords of de grootte van de organisatie. Hoezo?

De verordening noemt als voorwaarde dat “het verwerken van data of monitoren van individuen” onderdeel is van de kernactiviteiten van de onderneming. De aanduiding “kernactiviteiten” wordt echter niet nader gespecificeerd. "Best is er van uit te gaan dat de verordening geldt voor iedere onderneming die met een commercieel belang identificeerbare persoonlijke gegevens verwerkt", duidt de advocaat. 

Anderzijds moet niet iedere onderneming in deze context een DPO aanstellen. Dat moet alleen bij:

  • publieke instellingen die data verwerken,
  • ondernemingen die persoonlijke data systematisch op grote schaal verwerken,
  • organisaties die data verwerken voor specifieke datacategorieën (zoals gezondheidsdata).

Maar ook al valt een onderneming niet in een van deze categorieën, dan kan het alsnog verstandig zijn om een DPO aan te stellen, raadt meester Jacobs aan. Waarbij hij er fijntjes op wijst dat dit ook een externe DPO kan zijn zoals een advocaat.

Overigens is de aanstelling van een DPO meer dan een formaliteit. Hij moet voldoende aantoonbare expertise bezitten over privacy en databeveiliging. Daarnaast moet de aangestelde DPO voldoende op de hoogte zijn van de bedrijfsspecifieke dataprocessen. 

Een addertje onder het gras is nog  dat de wet ook van toepassing is als een onderneming gebruikmaakt van externe providers voor gegevensopslag bij dataverwerking.

=> Ondernemers, bedrijven en multinationals hebben tot mei 2018 de tijd om de bedrijfsvoering af te stemmen op de nieuwe wet. Dat is bij wijze van spreken morgen. 

 

U wil op dit artikel reageren ?

Toegang tot alle functionaliteiten is gereserveerd voor professionele zorgverleners.

Indien u een professionele zorgverlener bent, dient u zich aan te melden of u gratis te registreren om volledige toegang te krijgen tot deze inhoud.
Bent u journalist of wenst u ons te informeren, schrijf ons dan op redactie@rmnet.be.