Bescherming persoonlijke gegevens – GDPR of AVG

GDPR (general data protection regulation) of AVG (algemene verordening gegevensbescherming) verplicht iedereen om orde te stellen in persoonlijke gegevens, de privacy te beschermen en van transparant te zijn over wat er gebeurt bij de verwerking van data. Het dwingt ieder bedrijf, maar ook iedereen die een vrij beroep uitoefent om na te denken over de verwerking van gegevens. Ieder bedrijf moet immers de manier van verwerking openbaar maken en strategisch omgaan met de gegevens. De nodige maatregelen moeten in acht genomen worden om de veiligheid ervan te garanderen.

Het gaat vooral over:

  • bescherming van persoonlijke gegevens;
  • maatregelen tegen diefstal of datalekken;
  • de procedures bij diefstal of datalekken;
  • de gebruikte procedures bij verwerking en de opslag van data;
  • het recht van iedereen om te weten wat er met je gegevens gebeurt;
  • het recht van iedereen om data te wissen.

Ben je bemiddelaar, zelfstandige, of oefen je een ander vrij beroep uit? Dan kan je een workshop over GDPR volgen bij Anthony Schobbens. Anthony is voorzitter van Uw Bemiddelaars, de grootste actieve vereniging van bemiddelaars met leden in gans Vlaanderen en Brussel, waarvan ik actief lid ben in de raad van bestuur.

Algemene informatie

Ik ben verantwoordelijk voor uw gegevens die in mijn bezit zijn. Gegevens die worden doorgegeven aan anderen, ofwel op vraag van cliënten, ofwel omdat de (wettelijke) procedure het vereist vallen buiten mijn verantwoordelijkheid. Ik verwerk alleen de gegevens die nodig zijn om jouw doel te bereiken.

Register privacygegevens en verwerking ervan

In dit register staan de verwerkingsactiviteiten vermeld, welke gegevens er worden bewaard, waar, hoe, en waarom.

Categorieën

Ik heb drie categorieën van gegevens. De eerste zijn deze van cliënten. Daarnaast zijn er de gegevens van deskundigen, collega’s en andere hulpverleners. Slechts van de eerste categorie verwerk ik gegevens, doch niet altijd. De verwerking gebeurt uitsluitend als het om een bemiddeling gaat. Vanuit een bemiddeling volgt er meestal een bemiddelingsovereenkomst. En een bemiddelingsovereenkomst wordt immers meestal gehomologeerd. Soms ook geregistreerd.

Verwerking bij een therapeutische setting gebeurt bijna nooit. Tenzij het gaat om een doorverwijzing.

Cliënten

Ik krijg minimaal de noodzakelijke gegevens van de cliënten om de verwerking mogelijk te maken. De verwerking bestaat meestal uit een verzoekschrift voor de rechtbank en uit EOT (echtscheiding onderlinge toestemming) of een regelingsovereenkomst die meestal gehomologeerd wordt door de rechtbank. Deze homologatie kan slechts gebeuren na ondertekening van de overeenkomst door de cliënten. In sommige gevallen kan het ook om een registratie gaan. Hiervoor geldt dezelfde regel.

De volgorde en de procedure wordt mondeling overeengekomen met de cliënten omdat deze afhankelijk is van de context. Soms is er bijvoorbeeld een notariële akte nodig, of moet er een expert ingeschakeld worden, of contacten met de bank als één van de cliënten moet lenen om bijvoorbeeld de gezinswoning in te kopen. Sommige cliënten doen dat liever zelf, anderen hebben graag dat ik die zaken voor hun regel.

Dikwijls is er gevoelige informatie aanwezig. Deze kan staan in mijn persoonlijke nota’s, zoals een blindhypothese, of zaken die invloed hebben op het bemiddelingsdossier, zoals pathologische of psychopathologische gegevens van de cliënten zelf of de kinderen. Mogelijk zijn er ook gesprekken met andere hulpverleners voor zover dit de cliënten verder kan helpen. Deze hulpverleners kunnen zijn van OCMW, CAW, CLB, psychiater, psycholoog, therapeut, welzijnswerk. Zie ook verder betreffende het beroepsgeheim met betrekking tot persoonlijke nota’s.

Deze gevoelige informatie komt uitsluitend in de overeenkomst indien zij belang heeft op de overeenkomst zelf, of indien de overeenkomst in de toekomst kan wijzigen door een veranderde context. Een verwerking in de overeenkomst gebeurt uitsluitend na toestemming van alle partijen.

Bij therapie of psychosociale ondersteuning bevat het dossier slechts mijn persoonlijke nota’s, zoals hiervoor reeds aangegeven. In dat geval is er geen officiële overeenkomst. En uiteraard is er in dat geval geen verwerking van gegevens.

Deskundigen

Er is een beperkt aantal deskundigen waar ik of de cliënten beroep op kan doen. Dat gaat over enkele notarissen of beëdigde experts waar ik al mee heb samengewerkt en waar de cliënten vrij zijn om zelf contact mee op te nemen, tenzij ze (meestal) liever hebben dat ik dat doe. Van die deskundigen heb ik de gegevens in een bestand. Hier wordt geen informatie van verwerkt.

Collega’s en andere hulpverleners

Van collega’s en andere hulpverleners heb ik alleen de informatie die publiek toegankelijk is op hun website. Deze informatie is vooral nodig als ik cliënten moet doorverwijzen. Hier wordt geen informatie van verwerkt.

Opslag en beveiliging

Cliënten melden zich telefonisch aan of met een formulier op mijn website. De gegevens zijn niet toegankelijk op het web, doch worden onmiddellijk per email doorgezonden naar mijn persoonlijk email adres. Deze doorzending van gegevens bevat geen gevoelige informatie. Het is slechts een lijst met de noodzakelijke coördinaten en de reden van contact. De mailbox is een off-line mailbox op een pc die zich achter een hardware firewall bevindt, met andere woorden: er is geen kopie van deze mails op een internet server, noch zijn deze gegevens bereikbaar vanuit het internet.

Er is geen database die de gegevens bevat. De gegevens zijn gedeeltelijk aanwezig in papieren dossiers, en gedeeltelijk op twee pc’s en meerdere externe harde schijven als back-up. Hetzelfde geldt voor gespreksverslagen en de overeenkomsten.

De papieren dossiers bevinden zich in mijn praktijk in een niet afgesloten kast. Uiteraard zijn geen cliënten toegelaten in mijn praktijk zonder mijn aanwezigheid.

De pc’s draaien met het besturingssysteem Linux en zijn daardoor niet ontvankelijk voor virussen of malware. Alle pc’s en routers zijn beveiligd met paswoorden. De mappen met gegevens op de pc’s zijn niet versleuteld. Het besturingssysteem biedt voldoende beveiliging tegen diefstal of onbevoegd gebruik.

Er zijn geen draagbare systemen in gebruik, zoals een smartphone, tablet of laptop om gegevens in op te slaan.

In de cloud of andere, mogelijk publiek of door hacking toegankelijke media worden geen gegevens opgeslagen.

Dataverkeer tussen mijzelf en cliënten geschiedt bij gewone onbeveiligde SMTP email, tenzij expliciet anders gevraagd door de cliënten. Het verzenden van documenten en mails gebeurt zonder versleuteling.

Als cliënten hun mails en andere documenten laten toekomen of bewaren op een internet server zoals het geval is bij hotmail, gmail of outlook365, is dat op hun eigen verantwoordelijkheid.

Hoe lang

Het bijhouden van de overeenkomsten is in principe onbeperkt, tenzij cliënten verzoeken om vernietiging – zie verder.

Het doel van de gegevens

Ik gebruik de gegevens uitsluitend gebruikt voor het doel dat de cliënten voor ogen hebben. Zoals een echtscheiding, ouderschapsovereenkomst, contactherstel, bemiddeling, therapie.

Email, telefoon, of adresgegevens gebruik ik uitsluitend voor het beoogde doel. Dat is voor bemiddeling, therapie, of om afspraken te maken. Nooit voor massa mailings of nieuwsbrieven, noch gedeeld met anderen, tenzij op vraag van de cliënten.

Gegevens in een afgehandeld dossier blijven aanwezig doch zonder verdere verwerking. Raadpleging ervan blijft mogelijk als er vragen zijn over de uitvoering van een overeenkomst.

Hoe medegedeeld

Mondeling en meestal tijdens het intakegesprek worden de verschillende mogelijkheden uitgelegd aan de cliënten. Dit kan wijzigen afhankelijk van de context – als deze wijzigt in de loop van de gesprekken.

Ontvangers

De ontvangers van de gegevens zijn uitsluitend deze die (mondeling) aangeduid zijn door de cliënten. Dat kunnen experts zijn, notarissen, rechtbanken, advocaten, een collega bemiddelaar, of een andere hulpverlener.

Per uitzondering kunnen gegevens ook naar een officiële instantie gestuurd worden. Ik baseer mij hierop op de deontologie van de psycholoog waar ik onder val. Dit kan bijvoorbeeld het geval zijn als er iemand in direct gevaar verkeerd. Behalve die ene uitzondering baseer ik mij op het beroepsgeheim zoals beschreven in artikel 458 en 458bis van het strafwetboek.

Verzoeken van cliënten

Neer te leggen stukken zijn steeds ter inzage tot op de dag van de neerlegging of registratie wanneer vooraf getekend door de cliënten. Doorheen de gesprekken worden de reeds gemaakte overeenkomsten opgenomen in de regelingsovereenkomst. Deze overeenkomst wordt steeds na iedere update gegeven aan de cliënten. Ze kan op eenvoudig verzoek ook gepost of gemaild worden.

Vertrouwenspersonen van cliënten kunnen inzage hebben, doch uitsluitend na mondelinge toestemming van alle partijen.

Voor minderjarigen gelden dezelfde regels. Ouders van minderjarigen krijgen slechts toegang tot gegevens als de minderjarige daarin toestemt. Indien de minderjarige niet toestemt en het is wenselijk dat de ouders op de hoogte wordt gebracht, zal dit in de sessies besproken worden. Als de minderjarige nog niet wilsbekwaam is, doch in zekere mate wel een mening kan vormen en daarover kan communiceren wordt die beslissing eveneens genomen in samenspraak met de minderjarige.

Als een officiële instantie zoals politie of rechtbank inzage vraagt, blijft het beroepsgeheim gelden. Inzage kan slechts bij een ernstig misdrijf of indien een persoon in direct gevaar verkeerd voor zichzelf of voor anderen.

Persoonlijke nota’s zijn niet ter inzage van cliënten noch door een instantie. Enerzijds worden ze verwerkt in de interne gespreksverslagen. Ze kunnen gaan over:

  • subjectieve indrukken;
  • waarnemingen;
  • werk- of blindhypotheses;
  • denkpistes;
  • vermoedens;
  • geheugensteuntjes;
  • persoonlijke kanttekening;
  • aandachtspunten;
  • overwegingen;
  • intuïtief aanvoelen.

Anderzijds hoeven ze niet noodzakelijk te gaan over de kwaliteit noch de continuïteit van de zorg of dienstverlening. Mogelijk bevat een dossier slechts persoonlijke nota’s. Persoonlijke nota’s worden niet apart bewaard.

Meerdere partijen

Dikwijls zijn er gegevens van meerdere partijen in hetzelfde dossier. Resultaten van persoonlijke gesprekken met één partij zijn niet ter inzage door een andere partij. Dit geldt evenzo met stukken die mij al dan niet in vertrouwen bezorgd zijn. In dat geval geldt het beroepsgeheim tussen de verschillende partijen.

Als het wenselijk is dat er transparant wordt gewerkt zal dit met die ene persoon of partij besproken worden, doch hij moet mondeling zijn toestemming hiervoor geven. Zonder expliciete toestemming zijn gegevens nooit ter inzage van iemand anders. Dit geldt ook voor gesprekken of gegevens van minderjarigen.

Vernietiging dossiers

Een overeenkomst die geregistreerd of gehomologeerd is, kan slechts nietig worden door een nieuwe overeenkomst die terug geregistreerd of gehomologeerd wordt. Een onderhandse overeenkomst wordt vervangen door een nieuwe onderhandse overeenkomst. Het kan dus niet zomaar vernietigd worden. Hier zijn de normale erelonen en administratiekosten van kracht.

Op verzoek van een partij zullen andere gegevens vernietigd worden indien dit technisch of fysisch mogelijk is. Een document waar gegevens in staan van verschillende partijen kan immers niet ‘half’ vernietigd worden.

Bij vernietiging worden papieren dossiers versnipperd of verbrand en de folder met gegevens op de pc’s wordt gewist. Folders op backup drives worden niet gewist. Deze procedure is kosteloos.

Vernietiging kan niet als de wet mij verplicht van bepaalde gegevens bij te houden of er een bepaalde procedure mee uit te voeren.

Datalekken en diefstal

Bij diefstal van papieren dossiers, computers, externe opslag, of bij een digitaal datalek wordt door de plaatselijke politiedienst proces verbaal opgesteld. De privacycommissie en mogelijk getroffen personen wordt hiervan binnen de drie dagen per email van op de hoogte gesteld, samen met een analyse van de impact.

Als er een digitaal datalek ontdekt wordt, zal het intern netwerk fysisch losgekoppeld worden van het internet. Slechts nadat het lek verholpen is zal er terug een fysische verbinding gelegd worden. Niet alleen zal het lek gedicht worden, doch ook de nodige maatregelen worden genomen om dit in de toekomst te voorkomen.

Verwerkers en overdracht van gegevens

Ikzelf ben verantwoordelijk voor de privacy en beveiliging van alle gegevens in mijn bezit.

Andere verwerkers, zoals een notaris, expert, rechtbank, een andere hulpverlener, krijgen slechts de gegevens die voor hun verwerking nodig zijn en slechts na mondelinge toestemming van de cliënten. Zij zijn vanaf dat ogenblik verantwoordelijk voor de privacy en beveiliging van alle gegevens die zij in hun bezit hebben.