#Kopzorgen: “Hoe weet ik of mijn e-health-toepassing aan de privacywetgeving (AVG) voldoet?”

Via ons loket ontvangen we regelmatig vragen over zorginnovatie en e-health. In deze rubriek geeft een expert antwoord op een vraag waarin veel zorgondernemers zich zullen herkennen. Deze keer: over de Algemene verordening gegevensbescherming (AVG), de privacywet die sinds 2018 van toepassing is.

AVG

Vraag

"Mijn stichting heeft een app ontwikkeld om ouderen langer thuis te laten wonen, doordat kinderen of mantelzorgers een oogje in het zeil kunnen houden. Een zorginstelling, een energieleverancier en een zorgverzekeraar hebben alle drie een succesvolle pilot gedaan, waarbij de app door in totaal zo’n 100 ouderen is getest. Ik wil dit e-health-project nu opschalen. Hoe weet ik of ik aan de privacywetgeving voldoe?"

Han van Doorn, eigenaar stichting ‘Familieparticipatie’

Karoline Moors
Beeld: ©Karoline Moors

Antwoord

"Dag Han, om goed antwoord te kunnen geven op de vraag over jouw case, zou ik meer van de app af moeten weten. Voor specifieke hulp kun je terecht bij meerdere partijen, maar daarover straks meer. In z’n algemeenheid kan ik je zeker op weg helpen.

Grondslagen voor de AVG

Het belangrijkste is dat je ervoor moet zorgen dat je een geldige grondslag hebt, oftewel een goede reden om persoonsgegevens van deze ouderen te mogen verwerken.

De AVG kent in het algemeen zes mogelijke grondslagen. Ik noem er vier die mijns inziens op je app van toepassing zouden kunnen zijn; deze zijn het onderzoeken waard.

De meest bekende grondslag is toestemming. Maar toestemming kan altijd worden ingetrokken, dus dat is wat mij betreft de laatste die je moet willen gebruiken. Een andere mogelijke grondslag is een wettelijke grondslag. Het is dan noodzakelijk om gegevens te verwerken omdat je dit wettelijk verplicht bent. Wanneer de persoonsgegevens nodig zijn voor het uitvoeren van een contract, waarbij je doelgroep - de ouderen - partij is, dan kun je ‘de uitvoering van een overeenkomst’ aanvoeren als grondslag. De laatste die ik in deze context wil belichten is de ‘grondslag gerechtvaardigd belang’. Deze kun je aanvoeren als je een belang hebt dat maatschappelijk enorm zwaar weegt en je dit belang alleen kunt behartigen door persoonsgegevens te verwerken. Deze grondslag moet je heel goed beargumenteren aangezien je hiermee aangeeft dat jouw belang zwaarder weegt dan dat van de betrokkene.

Gerechtvaardigd doel

De AVG staat bekend als de wet waarbij niets mag, maar dat is absoluut niet waar. Je mag juist heel veel, zolang je laat zien dat je er goed over hebt nagedacht en het uit kunt leggen. Gegevens mogen op basis van een bepaalde grondslag verwerkt worden, maar alleen voor een bepaald, gerechtvaardigd doel. Zowel grondslag als doelen moeten worden opgenomen in je privacyverklaring. Grondslag en ‘doelbinding’ zijn de basis: als je dat niet hebt, mag je geen gegevens verwerken. Meer hierover vind je op de site van de Autoriteit Persoonsgegevens.

Continu proces

Voldoen aan de privacywetgeving is verder helaas geen kwestie van een vinkje zetten en er nooit meer naar omkijken. Het is een continu proces, bestaande uit verschillende aspecten en activiteiten. Je moet constant nagaan of je nog voldoet aan de privacywetgeving. Bij alle persoonsgegevens die je verwerkt moet je bedenken: heb ik deze informatie nodig, en waarom? Wie heeft er toegang toe, hoelang heb ik de informatie nodig, waar wordt het opgeslagen en kan de app ook werken met minder privacygevoelige informatie? Ga altijd zorgvuldig om met gegevens van mensen, zodat er geen informatie op straat komt te liggen."

Karoline van Moors, projectleider bij de AVG-Helpdesk voor Zorg, Welzijn en Sport

Hulp nodig bij de AVG?

Over de privacywetgeving valt heel veel te vertellen. Zoveel, dat we dit niet allemaal in dit artikel kunnen vatten. Hieronder vind je handige links voor meer informatie:

  • Wil je meer weten over de privacywetgeving, dan vind je veel informatie op de website van de AVG-Helpdesk voor Zorg, Welzijn en Sport.
  • Alles over AVG en het MKB vind je op de website van Rijksoverheid.
  • Op de site van de Autoriteit Persoonsgegevens (AP) vind je algemene informatie en worden vragen beantwoord. Met de campagnewebsite hulpbijprivacy.nl richt de AP zich specifiek tot ondernemers en vind je naast antwoord op veel gestelde vragen ook een stappenplan AVG.
  • Heb je heel specifieke, juridische vragen, dan kun je een specialist inschakelen. Denk aan een consultant of jurist. Er zijn veel commerciële bedrijven die je hiermee kunnen helpen. De specialist kijkt naar jouw bedrijfsmodel, checkt bijvoorbeeld de (informatie)verwerkingsovereenkomst, kan een Privacy Impact Assessment voor je uitvoeren en geeft je vervolgens gericht advies.