CAM 1
--
CAM 2
--

Autoriteit Persoonsgegevens geeft waarschuwing aan ziekenhuizen
09-06-2016

Meerdere ziekenhuizen blijken de Wet bescherming persoonsgegevens (Wbp) niet goed na te leven. Ze hebben bijvoorbeeld geen bewerkersovereenkomst afgesloten met bedrijven die namens het ziekenhuis patiƫntgegevens verwerken. Wat heeft dit met cameratoezicht te maken, vraagt u zich nu wellicht af. Het antwoord: heel veel.

Hebt u een bewerkersovereenkomst afgesloten?

Iedereen die personen in beeld brengt met camera’s verzamelt persoonsgegevens. Aan het verwerken van persoonsgegevens met camera’s worden strenge eisen gesteld, omdat camerabeelden die ‘gelekt’ worden mensen flink in de problemen kunnen brengen. Daarom moeten dit soort gegevens zorgvuldig verwerkt worden en goed worden beveiligd. Veel eigenaren van camerasystemen laten de beelden door anderen bekijken. De eigenaar van het camerasysteem is ook verantwoordelijk voor wat die anderen met de beelden doen. De wet is met opzet zo ingericht dat die verantwoordelijkheid niet kan worden overgedragen aan een ander: het is niet de bedoeling dat organisaties zich achter elkaar gaan verschuilen. Dat betekent dat u een bewerkersovereenkomst moet sluiten met iedere partij waar u de beelden aan verstrekt.

Afspraken

Het is toegestaan om bewerkers in te schakelen. Maar de eigenaar van het camerasysteem blijft verantwoordelijk en moet dus zorgen dat de bewerker de privacy van de personen die in beeld zijn waarborgen. In zo’n bewerkersovereenkomst moeten in ieder geval afspraken worden gemaakt over:

  • De gegevens die worden verwerkt, het doel en de bewaartermijn;
  • Beveiligingsmaatregelen om opzettelijk misbruik maar ook onbedoeld ‘lekken’ (een USB-stick die kwijt raakt) te voorkomen;
  • Afspraken over de controle op de naleving van de bewerkersovereenkomst door de verantwoordelijke;
  • Een geheimhoudingsplicht voor de bewerker en zijn personeel;
  • De meldplicht bij datalekken.

Boete

De Autoriteit Persoonsgegevens heeft de ziekenhuizen die geen bewerkersovereenkomsten hebben gesloten gewaarschuwd. De Wet meldplicht datalekken (een onderdeel van de Wet bescherming persoonsgegevens dat op 1 januari 2016 in werking trad) biedt de Autoriteit Persoonsgegevens de mogelijkheid forse boetes op te leggen. Maar u houdt zich natuurlijk niet aan de wet om boetes te voorkomen: u doet dat omdat het goed is voor uw reputatie als bedrijf.

Dossiers: Privacy, Wetgeving

Deel

ShareThis

Lees ook