AVG en het Waarschuwingsregister Zorg en Welzijn

Vanaf 25 mei 2018 is de Wet bescherming persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG). Dit heeft ook consequenties voor Stichting RegioPlus en het Waarschuwingsregister Zorg en Welzijn. Stichting RegioPlus is de ‘Verwerkingsverantwoordelijke’ voor het Waarschuwingsregister. Deelnemers van het Waarschuwingsregister zijn verantwoordelijk voor het onderliggende Interne Register. Wij informeren u via dit nieuwsbericht graag over de wijzigingen en de door de Stichting RegioPlus genomen maatregelen.

---

Privacy en AVG
​Privacy is een grondrecht. De privacyregelgeving is er daarom op gericht om individuen te beschermen. De grootste wijziging die de AVG met zich meebrengt, is de verantwoordingsplicht. Iedere organisatie of zelfstandige professional zal aan de hand van documenten moeten kunnen aantonen dat zij voldoet aan de privacybeginselen uit de AVG.

Verwerking van persoonsgegevens
De privacywetgeving geldt voor iedere verwerking van persoonsgegevens. De begrippen ‘persoonsgegevens’ en ‘verwerking’ worden zeer ruim uitgelegd door de toezichthouders, waaronder de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens. De verwerking van persoonsgegevens is iedere handeling die betrekking heeft op persoonsgegevens. Het hoeft geen actieve handeling te zijn. Het inzien, bewaren, verstrekken of uitsluitend opslaan of vernietigen van persoonsgegevens zijn allemaal verwerkingen. Een persoonsgegeven is ieder gegeven dat herleidbaar is tot een natuurlijk persoon (de betrokkene). Denk aan NAW-gegevens, e-mailadressen, contactgegevens, foto’s, camerabeelden, sportprestaties, telefoonopnames en IP-adressen.

Deelnemers aan het Waarschuwingsregister Zorg en Welzijn verwerken via het eigen Interne Register strafrechtelijke gegevens van medewerkers die een strafbaar feit hebben gepleegd richting kwetsbare cliënten. Stichting RegioPlus verwerkt deze gegevens voor het externe Waarschuwingsregister.

Verwerkingsverantwoordelijke en verwerker
De AVG en ook de overige privacywetgeving maakt een onderscheid tussen twee rollen, namelijk die van de ‘verwerkingsverantwoordelijke’ en de ‘verwerker’. De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de gegevensverwerking en zal moeten voldoen aan alle vereisten van de privacywetgeving. De verwerker is degene die persoonsgegevens verwerkt ten behoeve van een verwerkingsverantwoordelijke. Een verwerker heeft geen eigen doel voor de verwerking van de persoonsgegevens buiten het uitvoeren van de dienstverlening voor de verwerkings-verantwoordelijke.

Stichting RegioPlus heeft een ‘verwerkingsregister’ opgesteld waarin het Waarschuwingsregister als verwerkingsactiviteit is opgenomen. Stichting RegioPlus heeft geen toegang tot de Interne Registers van deelnemende organisaties en treedt dan ook niet namens deelnemers op als verwerker. U hoeft als deelnemer Stichting RegioPlus dan ook niet als zodanig te contracteren (met een verwerkersovereenkomst), en ook niet op te nemen in uw register van verwerkingen. Wel neemt u uw eigen Interne Register op in het verwerkingsregister als verwerkingsactiviteit.

Partijen die in opdracht van het Waarschuwingsregister persoonsgegevens verwerken, zijn Elements Interactive en Sentia. De ICT-leveranciers van beide registers kunnen in beginsel wel bij alle gegevens. Met de verwerkers van Stichting RegioPlus wordt een verwerkingsovereenkomst afgesloten, waarin afspraken over omvang en scope van de opdracht en meldplicht van datalekken aan de verantwoordelijke en beveiligingsmaatregelen zijn vastgelegd.

Mocht u nog vragen hebben naar aanleiding van dit nieuwsbericht, neem dan contact op met Safia El Habhoubi, landelijk projectleider van het Waarschuwingsregister via s.elhabhoubi@regioplus.nl.