Verwerken bijzondere persoonsgegevens

Beste Zaalberg,

Als adviseur informatiebeheer bij de gemeente Den Haag kreeg ik onlangs een vraag over het verwerken van bijzondere persoonsgegevens. Ook na overleg met mijn collega’s ben ik er nog niet uit.

Dit is de situatie:

Het Centrum voor Jeugd en Gezin (Jeugdgezondheidszorg) werkt met digitale kinddossiers. Poststukken die het CJG ontvangt, worden aldaar geopend en scanklaar gemaakt en vervolgens doorgestuurd naar de centrale gemeentelijke scanstraat. De scanstraat scant de documenten in. Daaruit ontstaan digitale bestanden (pdf’s) die door onze functioneel beheerders worden overgezet van de gemeentelijke omgeving naar de omgeving van de leverancier van de kinddossier-applicatie. De leverancier uploadt de aangeleverde bestanden naar de applicatie, zodat de vakspecialisten inhoudelijk met het digitale dossier aan de slag kunnen.

Het CJG stelt dat zowel de medewerkers van de scanstraat alsook de functioneel beheerders “toegang” hebben tot de hierbij betrokken bijzondere (medische) persoonsgegevens. Alhoewel de beheerders de bestanden zelden openen, is er m.i. inderdaad sprake van het verwerken van bijzondere persoonsgegevens in de zin van de AVG, artikel 9. Dat geldt ook voor de scanmedewerkers en voor de leverancier.

Lid 1 van AVG artikel 9 stelt dat de verwerking van bijzondere persoonsgegevens is verboden. Lid 2 somt een aantal uitzonderingen op – ik kijk met name naar lid 2h waar wordt gesproken over “noodzakelijk voor doeleinden van […] medische diagnosen […] of behandelingen dan wel het beheren van gezondheidszorgstelsels […]”. Lid 3 stelt dat er in het geval van een uitzondering door of onder de verantwoordelijkheid moet worden gewerkt van een beroepsbeoefenaar voor wie een geheimhoudingsplicht geldt.

Biedt dit nu voldoende juridische grondslag voor de werkzaamheden van de functioneel beheerders, de werknemers van de centrale scanstraat en de leverancier? En wat wordt er bedoeld met de in lid 3 genoemde beroepsbeoefenaar? Onze functioneel beheerders oefenen hun beroep uit. Of wordt hier bedoeld dat onze functioneel beheerders (en scanmedewerkers en leverancier) onder verantwoordelijkheid van een beroepsmedicus zouden moeten werken?

Dat laatste zou lastig zijn. Zo hebben we bij de gemeente ook beheerders van het centrale documentmanagementsysteem waarin bijzondere persoonsgegevens staan; en omdat beheren ook verwerken is in de zin van de AVG, zouden die dan ook onder verantwoordelijkheid van een beroepsmedicus moeten werken? Tenslotte: als adviseur moet ik soms ook toegang hebben tot bijzondere persoonsgegevens om een adviesvraag van een afdeling te kunnen beantwoorden – waaraan ontleen ik zelf het recht om die gegevens in te zien / te verwerken?

Ik hoop dat u mij van een antwoord kunt voorzien. Wellicht denk ik er te ingewikkeld over.

 

Antwoord:

De verwerking van bijzondere persoonsgegevens door of t.b.v. het CJG valt onder de vrijstelling zoals genoemd in AVG artikel 9 tweede lid onder h. In dat geval moet ook voldaan worden aan AVG artikel 9 derde lid. Een jeugdarts verbonden aan het CJG kun je zien als een voorbeeld van de in dit artikel genoemde beroepsbeoefenaar. Verwerking van de bijzondere persoonsgegevens mag door de beroepsbeoefenaar worden uitgevoerd of onder diens verantwoordelijkheid, dus door anderen worden uitgevoerd. Als de bij het CJG betrokken beroepsbeoefenaren hebben ingestemd met de door jou omschreven wijze waarop de ontvangen documenten worden verwerkt, en daar ga ik van uit, dan kun je stellen dat die verwerking plaatsvindt onder de verantwoordelijkheid van de beroepsbeoefenaren van het CJG.

Wel is het zaak te zorgen dat een aantal zaken goed is geregeld of dat er over een aantal zaken goed wordt nagedacht. Het gaat dan om: :
– Beperking van opslag van data– is het echt noodzakelijk dat deze informatie over zoveel schijven gaat (postkamer, scanstraat, applicatiebeheerder, behandelend ambtenaar)?
– Is de geheimhouding op al deze lagen goed geregeld (zowel intern met medewerkers – ook inhuur als met externe leverancier – in een verwerkersovereenkomst)?
– Data minimalisatie – zijn alle medische gegevens die binnenkomen ook echt nodig om het werkproces uit te voeren.
– Zorg dat de procedures op orde zijn richting betrokkenen – informeer van te voren (dus op het moment dat iemand bijv. een opvoedvraag stelt waarbij medische gegevens van toepassing zijn) de betrokkenen wat er met de gegevens gebeurt en zorg dat je zelf als organisatie helder hebt welke gegevens zich waar bevinden mochten er vragen of verzoeken komen vanuit betrokkenen aangaande hun rechten op het gebied van de verwerking van persoonsgegevens.
– Zorg dat de applicaties waarin de bijzondere gegevens zich bevinden goed zijn beveiligd en dat er ook organisatorisch maatregelen zijn getroffen (trainen van bewustzijn van medewerkers over de omgang met (bijzondere) persoonsgegevens.

Terug naar overzicht