Wbp (Wet Bescherming Persoonsgegevens)


Doel:

  • bescherming van de rechten van de consument voor wat betreft privacy ten opzichte van derden. 

Reikwijdte van de wet:

  • Iedereen die gegevens bewaart van anderen valt onder deze wet.

Voor behandelaars geldt:

Geheimhouding:
De behandelaar dient alles wat hij met de patiënt bespreekt vertrouwelijk te behandelen (beroepsgeheim).
Alleen eventuele andere behandelaars mogen op de hoogte zijn van de gegevens.
Voor informatieverstrekking aan derden (dus ook andere behandelaars) dient de patiënt toestemming te geven.

Uitzonderingen op het beroepsgeheim zijn:

  • als er toestemming is van de patiënt,  
  • als een andere wet  het expliciet voorschrijft, 
  • als er sprake is van een noodsituatie.

Privacy van de ruimte:
De behandelingen dienen te worden gegeven zonder dat derden dit kunnen zien of horen.

 

Privacy van de behandeling:

Tijdens de behandeling dient de privacy van de patiënt zoveel mogelijk gerespecteerd te worden

 

Beveiliging:

De gegevens moeten beveiligd worden tegen inzage door derden.

De behandelaar moet passende technische en organisatorische maatregelen nemen om het verlies van gegevens of onrechtmatige verwerkingen tegen te gaan. Bijvoorbeeld door wachtwoordbeveiliging op de computer, toegangsbeveiliging of het gebruik van firewalls bij koppeling van het systeem met het internet.

Ook dient de behandelaar onnodige verzameling en verder gebruik van persoonsgegevens van persoonsgegevens tegen te gaan, bijvoorbeeld door de gegevens te ontdoen van naam en andere identificerende kenmerken.

De behandelaar dient tevens maatregelen te nemen tegen onjuist gebruik van de gegevens binnen zijn organisatie.

 

Informatieplicht: 

De behandelaar dient de patiënt te informeren over het verzamelen van zijn naam, adres, het doel van het verzamelen en eventuele nadere bijzonderheden die inzicht geven in het gebruik van de gegevens.

Verwerking: 

De gegevens dienen op een behoorlijke en zorgvuldige manier en in overeenstemming met de Wbp en toepasselijke andere wetten verwerkt te worden.

Inzagerecht:

De behandelaar dient een verzoek tot inzage of informatieverstrekking over het gebruik van de gegevens binnen 4 weken honoreren. Hij mag hiervoor een vergoeding van ten hoogste €4,50 vragen.

Recht op verbetering, aanvulling, verwijdering of afscherming (correctierecht): verbetering, aanvulling, verwijdering of afscherming van de gegevens door de patiënt  zijn mogelijk als de gegevens door de behandelaar feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van verwerking. De behandelaar dient binnen 4 weken te reageren op een dergelijk verzoek van de patiënt. Een weigering moet hij motiveren. In geval van inwilliging dient de behandelaar eventuele andere organisaties aan wie de betreffende gegevens zijn verstrekt, zo snel mogelijk op de hoogte te stellen.

 

Toegestane doeleinden:

Gegevens mogen alleen verwerkt worden voor de doeleinden waarvoor ze oorspronkelijk verzameld worden.

 

Meldingsplicht:

In principe dienen gegevensverwerkingen gemeld te worden aan het College Bescherming Persoonsgegevens (de vroegere Registratiekamer). Het gaat daarbij om de openbaarmaking van het doel van de gegevensverwerking en de belangrijkste kenmerken ervan. Deze verplichting geldt voor gegevens die op wat voor wijze dan ook in een computer verwerkt worden, niet voor handgeschreven administraties.

Vrijstellingen van deze meldingsplicht zijn geregeld in het Vrijstellingsbesluit. Artikel 16 van het besluit stelt beroepsbeoefenaren onder de wet BIG vrij. Uit de toelichting bij het besluit blijkt dat alleen beroepsbeoefenaren volgens artikel 3 en 34 van de wet BIG (zie BIG, Beroepen Individuele Gezondheidszorg, 1993) hier onder verstaan worden.
Dat zou betekenen dat alternatieve behandelaars niet zijn vrijgesteld.

 

Echter, de strekking van het vrijstellingsbesluit is om die gegevensverwerkingen vrij te stellen die veel voorkomen en waarvan het bestaan algemeen bekend mag worden verondersteld. Daarvan neemt het Besluit aan dat de inbreuk op de privacy onwaarschijnlijk is. Als voorbeeld staat in de toelichting een patiëntenadministratie, die bovendien gekoppeld is aan de geneeskundige behandelovereenkomst (zie WGBO, Wet op de Geneeskundige Behandel Overeenkomst, 1995.)

        

Bovendien is er ook een vrijstelling voor gegevens over het verrichten van diensten in artikel 13. Daarbij kan het ook gaan om het verwerken van gegevens over iemands gezondheid. Deze gegevens worden door de betrokkene zelf aangeleverd, althans hij geeft voor de verwerking ervan zijn uitdrukkelijke toestemming, en ze maken onderdeel uit van de overeenkomst die hij met de betreffende dienstverlener heeft. Dit is dus vergelijkbaar met de regeling voor de in de wet BIG genoemde beroepen.

 

De voorzichtige conclusie is dan ook dat alternatieve behandelaars zijn vrijgesteld van melding zolang ze binnen de grenzen blijven van artikel 13.

Let op:  Vrijstelling van melding stelt NIET vrij van de andere verplichtingen die voortvloeien uit de Wbp.

Het is de verantwoordelijke zelf die in eerste instantie beoordeelt of voor zijn verwerking een vrijstelling geldt. Bij twijfel dient u deskundig advies in te winnen, bijvoorbeeld bij het CBP (zie www.cbpweb.nl)

 

Wbp en Kinderopvang, School, Werk, e.d. 
Naast de medisch behandelaar is zoals aangegeven de Wbp geldig voor iedereen die persoonsgegevens verwerkt. Zo ook het NAN (zie de inleidende tekst bij de webwinkel), maar ook kinderopvang, scholen en iedere andere organisatie of personen die de zorg van personen met kans op anafylaxie beheren. Specifiek: de Noodactieplannen die het NAN uitgeeft en die besteld (kunnen) worden door (ouders van) patiënten  met als doel om deze informatie over te dragen aan het personeel(slid) van de kinderopvang of school of andere organisatie. Door de ingevulde gegevens op het plan moet de organisatie voldoen aan de vereisten van de Wbp en moet dus de vrijwillige en ondubbelzinnige toestemming krijgen van degene die het plan overdraagt, daarnaast moet de organisatie (kinderopvang, school, werkgever, e.d.) aangeven wat het doel is van het gebruik van het plan en op welke grondslag dit gebeurt.
Wanneer aan deze voorwaarden is voldaan dan kunnen de persoonsgegevens gebruikt worden.

Uiteraard moet er zorgvuldig omgegaan worden met het met persoonsgegevens ingevulde Noodactieplan bij Anafylaxie.
Dit betekent dat het beschikbaar is voor degenen die verantwoordelijk is/zijn voor de zorg van de persoon op het actieplan. Het plan moet dus niet openbaar zichtbaar zijn voor iedereen die toevallig aanwezig is in de ruimte(n) waar het plan aanwezig is.