EHBO en de nieuwe privacywetgeving
9 mei 2018
Vanaf 25 mei gaat de Algemene verordening gegevensbescherming (AVG) van kracht. Vanaf die tijd geldt in de hele Europese Unie (EUO) dezelfde privacywetgeving. Wat houdt deze AVG in en wat betekent dit voor eerstehulpverleners? Hoe ga je als EHBO’er om met privacy? Brenno de Winter, oud-journalist en deskundige op het gebied van informatiebeveiliging en privacybescherming legt het ons uit.
Wat houdt de AVG in?
Tot 25 mei geldt de Wet bescherming persoonsgegevens (Wbp) in Nederland. Deze wet gaat over het rechtmatig omgaan met persoonsgegevens. Vanaf 25 mei is de AVG van toepassing. Tachtig procent van deze verordening komt overeen met de Wbp. Een groot verschil is dat met de Wbp de overheid moet aantonen dat een bedrijf of organisatie wel of niet voldoet aan deze wet, terwijl met de AVG een bedrijf zelf moet kunnen aantonen dat ze voldoet aan deze verordening. Je moet grofweg kunnen uitleggen wat je voor gegevens hebt, waarom dat nodig is, wat je er mee wil, aan wie dit wordt verstrekt en hoe je ze beveiligt. De regel is hard: als dit niet goed is geregeld of er geen grondslag is dan mag je het niet verwerken.
Wanneer mag een bedrijf of organisatie persoonsgegevens vastleggen?
Een organisatie moet een grondslag hebben van iemand om de gegevens vast te leggen en een gegronde reden om dit te doen. Een EHBO-vereniging heeft bijvoorbeeld een ledenadministratie. De vereniging heeft dit nodig om te kunnen functioneren. Is er geen grondslag dan moet er expliciete toestemming zijn. Voor een vereniging is de grondslag een overeenkomst: zonder administratie kan de vereniging niet functioneren.
Organisaties moeten een register hebben waarin ze vastleggen welke persoonsgegevens ze registreren en waarom. Hoewel kleine organisaties niet altijd verplicht zijn dit op papier te zetten, raad ik dat wel aan. Maak een overzicht welke soort gegevens je nodig hebt, welk doel het dient, wat de grondslag is, hoe beveilig je de gegevens en aan wie worden die gegevens verstrekt. Belangrijk is dat je kan aantonen dat je aan de AVG voldoet.
Hoe lang mag je gegevens bewaren?
De AVG schrijft voor dat je gegevens mag bewaren zolang dit noodzakelijk is. Er moet wel een duidelijke noodzaak zijn. Stel, je organiseert een evenement, mensen betalen hiervoor en schrijven zich in voor het evenement. Je mag de gegevens van de deelnemers bewaren zolang het evenement bezig is. Je mag de gegevens niet gebruiken om ze uit te nodigen voor een nieuw evenement, tenzij ze expliciet actieve toestemming hebben gegeven om hierover geïnformeerd te mogen worden.
Kunnen we vanaf 25 mei controles verwachten?
De verwachting is dat organisaties in het eerste jaar vooral bindende aanwijzingen krijgen als ze niet voldoen aan de AVG. Daarna zullen er ook boetes opgelegd worden als er echt een potje van wordt gemaakt. De kans dat kleine organisaties op de radar komen is klein, maar het kan wel.
Mag ik als EHBO’er gegevens van een slachtoffer doorgeven aan de ambulanceverpleegkundigen?
Als je persoonlijke informatie hebt over het slachtoffer mag je dit gewoon delen met de ambulanceverpleegkundigen. De AVG is pas van toepassing als de informatie wordt verwerkt. Dat is of met een computer of op papier als het doel is ze in een database op te nemen. In de praktijk geef je mondeling deze informatie door. Dan speelt de AVG niet. Wat het ambulancepersoneel met de informatie doen is hun zaak. Daar hoef je je als EHBO’er niet druk om te maken.
Mag je als evenementenhulpverlener informatie over slachtoffers registreren?
Het komt regelmatig voor dat tijdens evenementen gegevens worden bijgehouden door EHBO’ers. Voor de EHBO’er op een evenement geldt vertrouwelijkheid. De informatie mag niet met derden gedeeld worden. Maar dat staat los van de AVG. De vraag is dan of er gegronde redenen zijn om de informatie te bewaren of te verwerken. Soms vraagt een vergunningsverlener dat wel. Het is een ingewikkelde vraag of een overheid dat mag verwachten van EHBO’ers. Het turven van bepaalde ongevallen is geen probleem, zolang het niet te herleiden is tot een specifiek persoon. Mijn advies is: houd niet meer bij dan nodig. Minimalistisch zijn, is de sleutel.
De burger lijkt zich steeds meer zorgen te maken om privacy. Tegelijkertijd geven we voortdurend onze informatie aan bedrijven, zoals Facebook en Google. Hoe kijkt u hier tegenaan?
Het grote probleem is dat bedrijven maar de helft vertellen. Mensen zijn zich niet bewust van de informatie die zij delen en wat hiermee gebeurt. Bedrijven vertellen voornamelijk welke voordelen er zijn voor de gebruiker. Ze vertellen niet over de voordelen die zij ervan hebben. Jouw profiel levert geld op voor bedrijven. Denk maar aan het recente voorbeeld met Cambridge Analytica. Het bedrijf kreeg informatie via Facebook van gebruikers. Deze informatie werd gebruikt voor de verkiezingscampagne van Trump. Je staat er als gebruiker niet bij stil dat als jij op de knop ‘vind ik leuk’ klikt, die informatie gebruikt wordt voor een campagne.
Kunnen we hier iets tegen doen?
Als individu kan je hier niet gek veel tegen doen. Dit is iets wat door de overheid geregeld moet worden, de AVG is zo’n stap. Af en toe wordt er al ingegrepen door de overheid. Nederland, maar ook Duitsland, Frankrijk en België kennen goede toezichthouders. Het lijkt me niet goed om mee te gaan met een hysterie om met z’n allen te stoppen met Facebook. Ook andere bedrijven hebben profielen over ons. In onze samenleving is dit een rol voor de overheid die hier moet ingrijpen. We hoeven ons geen zorgen te maken, maar we moeten wel alert blijven.
Dit artikel staat ook in de mei uitgave van het magazine EHBO.nl.
Meer informatie over het tijdschrift van Het Oranje Kruis vindt u hier.