login »

DPIA Adviesdocumenten

Via deze pagina zijn twee DPIA adviesdocumenten beschikbaar:

Beide adviesdocumenten zijn opgesteld door het ministerie van JenV en vastgesteld door de landelijke werkgroep gegevensdeling in het zorg- en veiligheidsdomein.

Adviesdocument DPIA ZVH

Dit document is opgesteld om organisaties die samenwerken binnen de Zorg- en Veiligheidshuizen (ZVH’s) te ondersteunen bij het opstellen van een gegevensbeschermingseffectbeoordeling (DPIA) zoals bedoeld in artikel 35 AVG, artikel 7b Wjsg en artikel 4c Wpg. De uitwerkingen in dit document zijn opgesteld in lijn met het Handvat gegevensuitwisseling bij samenwerking rond casuïstiek in het zorg en veiligheidsdomein en het addendum Wvggz en Wzd (vanaf hier: Handvat Z&V). Dit document is gericht op lezers met juridische privacykennis.

Volgens de AVG, Wjsg en Wpg is een verwerkingsverantwoordelijke verplicht om een DPIA op te stellen m.b.t. een gegevensverwerking als deze een hoog privacyrisico met zich meebrengt voor de personen van wie gegevens worden verwerkt. De Autoriteit Persoonsgegevens heeft deelname aan samenwerkingsvormen zoals ZVH’s aangewezen als verwerkingsactiviteit waarvoor een DPIA vereist is.

Adviesdocument Middenvelder

Bij het uitvoeren van een bekendheidscheck van een persoon bij de verschillende Zorg- en Veiligheidshuizen d.m.v. de applicatie Middenvelder, worden persoonsgegevens verwerkt. Middenvelder staat in verbinding met de informatiesystemen van alle zorg- en veiligheidshuizen in Nederland.
In dit rapport worden adviezen uitgewerkt voor het op juiste wijze omgaan met de mogelijkheid van het doen van een landelijke check op bekendheid bij de zorg- en veiligheidshuizen (hierna: ZVH’s).

Organisaties hebben de plicht om een DPIA (data protection impact assessment ) uit te voeren ten aanzien van gevoelige gegevensverwerkingen die onder hun verwerkingsverantwoordelijkheid vallen. Ook het doen van een check op landelijke bekendheid van een persoon bij een ZVH geldt als gevoelige verwerking waarop deze verplichting van toepassing is. Met behulp van dit document kan deze verwerking worden opgenomen in een DPIA, of indien aanwezig worden toegevoegd aan de bestaande DPIA op de deelname aan de ZVH-casusoverleggen.

In dit document wordt in lijn met de verplichte onderdelen van de DPIA allereerst ingegaan op de met de Middenvelder gemoeide gegevensverwerking (hoofdstuk 2), vervolgens op de rechtmatigheid, noodzaak en evenredigheid van de gegevensverstrekking (hoofdstuk 3) en tot slot op mogelijke risico’s en bijbehorende beheersmaatregelen (hoofdstuk 4).

Uitvoering van de DPIA’s

Samenwerkende organisaties binnen de ZVH’s zijn in beginsel zelfstandig verwerkingsverantwoordelijk als zij deelnemen aan casusoverleggen, en moeten daarom elk zelf een DPIA opstellen. De in voorliggend document gedane tekstvoorstellen kunnen daarvoor worden gebruikt. In dat geval zullen ze moeten worden uitgewerkt en in geval van een verwijzing naar het handvat Z&V worden uitgeschreven, zodat ze aansluiten bij de specifieke situatie van de verwerkingsverantwoordelijke.

Er zijn ook onderdelen van de gegevensverwerking binnen het ZVH waarbij partijen gezamenlijk verwerkingsverantwoordelijk zijn. De onderdelen van de gegevensverwerking waarvoor dit geldt zijn als zodanig terug te vinden in de beschrijving van de gegevensverwerking die in dit document is opgenomen.

In veel gevallen zullen deelnemende organisaties in het ZVH bij de manager ZVH te rade gaan om zicht te krijgen op de werkwijze en de risico’s die in kaart zijn gebracht en de maatregelen die zijn genomen. In dit document is een risico-inventarisatie opgenomen en zijn bijbehorende maatregelen benoemd gebaseerd op het handvat Z&V, de daarin opgenomen bijlage ‘van Handvat naar praktijk’ en het modelconvenant en -protocol zoals opgesteld door de landelijke werkgroep gegevensdeling in het zorg- en veiligheidsdomein. Deze zijn uitsluitend bruikbaar voor zover het eigen protocol en de eigen praktijk in overeenstemming is met deze landelijke documenten.

Met betrekking tot de uitvoering de DPIA’s kan het praktisch zijn om hier een gestructureerd en gezamenlijk proces van te maken met de betrokkenheid van privacy officers van de deelnemende partijen. Op die manier kan bepaald worden welke onderdelen generiek bruikbaar zijn voor alle partijen, en waar partijen zelf aanvullende analyse moeten maken.