GDPR en AVG
 

1.Inleiding

 
De medewerkers van De Vier Cirkels BVBA te Muizen hanteren al jaren een strikte geheimhoudingsplicht. Dit hield o.a. in dat gegevens van cliënten opgeslagen werden op een externe harde schijf, welke beveiligt is met een wachtwoord en uitgebreide virusbeveiliging. De communicatie, welke plaatsvind via e-mail tussen cliënt en medewerker van De Vier Cirkels BVBA, werd niet aan derden doorgegeven.
Ook de schriftelijke notities werden meteen geanonimiseerd, door alleen gebruik te maken van de voornaam van de cliënt.
Aan derden werden geen gegevens verstrekt, alvorens eerst toestemming te vragen aan de cliënt.
Vanaf 25 mei 2018 is de GDPR of AVG van kracht geworden. In feite liepen wij dus voor op hetgeen nu per wet verplicht wordt.
Hieronder ziet u wat de GDPR globaal inhoud en welke rechten en verplichtingen de cliënten en de medewerkers van De Vier Cirkels BVBA gebben.
 

2.GDPR

 
GPDR is de afkorting van General Data Protection Regulation, de nieuwe Europese wetgeving over het beschermen van persoonsgegevens, die op 25 mei 2018 van kracht wordt in alle Europese lidstaten en geldt voor alle Europese bedrijven, ongeacht hun grootte.
De volgende pijlers zijn de basis van de nieuwe privacywetgeving:
  1. transparantie
  2. verantwoording
  3. dataminimalisatie
 
Ad. 1. Transparantie: de natuurlijke persoon (cliënt)  heeft controle over de gegevens die bijgehouden, verzameld en verwerkt worden. Aan de hand van de Privacy Policy dient ieder natuurlijk persoon duidelijk geïnformeerd te worden over de uitoefening, handhaving en bescherming van zijn rechten.
 
Ad. 2. Verantwoording: elke onderneming moet aantonen, dat haar privacy beleid voldoet aan de verplichtingen van de GDPR. De verantwoording die gemaakt wordt, moet helder gedocumenteerd worden.
Wat mag aan de orde komen?
  • welke gegevens worden er bewaard
    • De Vier Cirkels BVBA: het levensverhaal op de standalone computer, de schriftelijke aantekeningen, de akkoord en bewustzijnsverklaring en de behandelingsdata.
    • De Vier Cirkels BVBA: de cliënt heeft het recht van inzage in de dossiers. Wij reageren dan ook binnen 14 dagen na het verzoek. Gegevens die betrekking hebben op derden, zijn uitgesloten van het recht op inzage.
  • hoe lang worden deze gegevens bewaard
    • De Vier Cirkels BVBA: hoewel er voor cliëntendossiers van therapeuten voorlopig geen wettelijke bewaartermijn vastligt, kan het aangewezen zijn om het dossier 30 jaar te bewaren. Dit komt overeen met de bewaartermijn voor medische dossiers bewaard door ziekenhuizen.  
  • het belang van de natuurlijke persoon
    • De Vier Cirkels BVBA: onze medewerkers werken samen met de cliënten, waardoor we samen een gemeenschappelijk doel hebben (het behandelingscontract). Vanuit dit gegeven staat het belang van de cliënt bij ons hoog in het vaandel.
  • rechtvaardiging van de onderneming om de gegevens te bewaren
    • De Vier Cirkels BVBA: wij slaan de informatie op, om op langere termijn, indien de cliënten terugkomt met al of niet dezelfde hulpvraag, informatie ter beschikking te hebben over het proces wat eens doorlopen is. Dit om de efficiëntie van het proces te vergroten.
  • voor welke technische beschermingsmaatregelen er gekozen wordt.
    • De Vier Cirkels BVBA: adequate virusbeveiliging, alsmede een standalone computer voor de meest gevoelige informatie.
    • De Vier Cirkels BVBA: alle aantekeningen worden meteen geanonimiseerd, zodat er geen verbinding gemaakt kan worden tussen de inhoud van de aantekeningen en een natuurlijk persoon.
 
Ad. 3. Dataminimalisatie
  • De Vier Cirkels BVBA: afgezien van de e-mails, welke de cliënt ons zelf stuurt, worden alle gegevens terug gebracht tot uitsluitend de voornaam. Deze gegevens worden NOOIT doorgegeven aan derden, zonder overleg met de cliënt.
 

3.Wat voor consequenties heeft dit in de praktijk?

 
Een bedrijf moet vanaf 2018 GDPR-compliant zijn. De Vier Cirkels BVBA respecteert niet alleen de principes van GDPR, maar het zorgt er ook voor, dat we voldoen aan de in de GDPR opgenomen verplichtingen.
Deze verplichtingen zijn:
  1. Privacy Policy
De cliënt wordt ingelicht over het hoe en waarom van de verwerking van hun persoonsgegevens.
De cliënt krijgt te horen wat hun rechten zijn. Bestaande rechten als het recht op verzet, recht op toegang en recht op informatie worden uitgebreid met het recht om vergeten te worden (de gegevens worden verwijderd)
De cliënt krijgt te horen wat te doen als ze klachten hebben over deze privacy.
Alles moet transparant staan op de website, vandaar deze pagina.
  1. Register van verwerkingsactiviteiten
Aan de hand van dit register, worden de datastromen binnen de onderneming    in kaart gebracht. In het geval van De Vier Cirkels BVBA, komt de cliënt met de vraagstelling binnen en wordt zijn levensverhaal meteen opgeslagen op de standalone computer. Wij zorgen ervoor, dat onbevoegden geen toegang hebben tot deze gegevens.
  1. Verwerkingsovereenkomst
De enige externe communicatie die plaats kan vinden, is die tussen de cliënt en de therapeut bij het aanleveren van een factuur. Hierop staan de gegevens van de cliënt (naam, adres, naam bedrijf) en de behandelingsdata, alsmede het betaalde bedrag en een korte omschrijving van de behandeling (als Innerlijke Kind, Adult Attachment Therapie, Coaching etc.).
Ook kan op die manier het telefoonnummer gebruikt worden, dit om contact te leggen met de cliënt.
  1. Meldplicht bij datalek
Een datalek wordt in het kader van GDPR ruim geïnterpreteerd. Er wordt reeds van een datalek gesproken, als bijvoorbeeld een USB stick verdwijnt waar uw klantenbestand opstond.
  • Dit zal binnen De Vier Cirkels BVBA onmogelijk zijn, daar dergelijke gegevens niet op een stick worden gezet.
Wanneer er sprake is van een datalek, dient De Vier Cirkels BVBA binnen 72 uur na kennisname de Privacy Commissie op de hoogte te stellen. (www.privacycommission.be/nl) Ook moet de persoon, wiens gegevens is gelekt, op de hoogte worden gebracht.



© 2018 Het innerlijke kind - realisatie: BMT Media