Bescherming persoonlijke gegevens – GDPR of AVG

GDPR (general data protection regulation) of AVG (algemene verordening gegevensbescherming) verplicht iedereen om orde te stellen in persoonlijke gegevens, de privacy te beschermen en van transparant te zijn over wat er gebeurt bij de verwerking van data. Het dwingt ieder bedrijf, maar ook iedereen die een vrij beroep uitoefent om na te denken over de verwerking van gegevens. Ieder bedrijf moet immers de manier van verwerking openbaar maken en strategisch omgaan met de gegevens. De nodige maatregelen moeten in acht genomen worden om de veiligheid ervan te garanderen.

Het gaat vooral over:

  • bescherming van persoonlijke gegevens;
  • maatregelen tegen diefstal of datalekken;
  • de procedures bij diefstal of datalekken;
  • de gebruikte procedures bij verwerking en de opslag van data;
  • het recht van iedereen om te weten wat er met je gegevens gebeurt;
  • het recht van iedereen om data te wissen.

Ben je bemiddelaar, zelfstandige, of oefen je een ander vrij beroep uit? Dan kan je een workshop over GDPR volgen bij Anthony Schobbens. Anthony is voorzitter van Uw Bemiddelaars, de grootste actieve vereniging van bemiddelaars met leden in gans Vlaanderen en Brussel, waarvan ik actief lid ben in de raad van bestuur.

Algemene informatie

Ik ben verantwoordelijk voor uw gegevens die in mijn bezit zijn. Gegevens die worden doorgegeven aan anderen, ofwel op vraag van cliënten, ofwel omdat de (wettelijke) procedure het vereist vallen buiten mijn verantwoordelijkheid. Ik verwerk alleen de gegevens die nodig zijn om jouw doel te bereiken.

Register privacygegevens en verwerking ervan

Categorieën

Ik heb vier categorieën van gegevens:

  • De eerste zijn deze van cliënten.
  • Daarnaast zijn er de gegevens van deskundigen.
  • Verder zijn er de officiële instanties.
  • Tenslotte collega’s en andere hulpverleners.

Slechts van de eerste categorie verwerk ik gegevens, doch uitsluitend voor het beoogde doel. Na een bemiddeling volgt er meestal een overeenkomst. En een overeenkomst wordt immers meestal gehomologeerd of geregistreerd

Cliënten

De gegevens worden verwerkt in de:

  • boekhouding;
  • facturatie;
  • verzoekschriften voor de rechtbank;
  • regelingsovereenkomst voor homologatie of registratie.

Afhankelijk van de context moeten sommige gegevens doorgegeven worden aan externe personen, zoals een notaris, expert-schatter, advocaat, bank, of een andere hulpverlener. Slechts de noodzakelijke informatie wordt doorgegeven. Dit is uiteraard steeds met de volledige toestemming van de cliënten en gebeurt slechts om het beoogde doel van de cliënten na te streven.

Gevoelige informatie

Dikwijls is er gevoelige informatie aanwezig. Deze kan staan in mijn persoonlijke nota’s, en kan gaan over:

  • hypothesen of blindhypothesen;
  • zaken die invloed hebben op het dossier zoals:
    • pathologische of psychopathologische gegevens,
    • gesprekken met andere hulpverleners of organisaties zoals:
      • OCMW,
      • CAW,
      • CLB,
      • psychiater,
      • arts,
      • psycholoog,
      • therapeut,
      • welzijnswerker.

Gesprekken met andere hulpverleners worden slechts gedaan met volledige toestemming van de cliënten, en uitsluitend gebruikt voor de hulpvraag van de cliënten.

Zie ook verder betreffende het beroepsgeheim met betrekking tot persoonlijke nota’s.

Deskundigen

Er is een beperkt aantal deskundigen waar ik of de cliënten beroep op kan doen. Dat gaat over notarissen of beëdigde experts waar ik al mee heb samengewerkt en waar de cliënten vrij zijn om zelf contact mee op te nemen, tenzij ze liever hebben dat ik dat doe. Van die deskundigen heb ik de gegevens in een bestand. Hier wordt geen informatie van verwerkt.

Officiële instanties

Van de officiële instanties zoals rechtbanken worden geen gegevens verwerkt. Uiteraard heb ik de gegevens in een bestand, maar verder ook rechtstreekse toegang tot directe lijnen of e-mail adressen van sommige rechters en griffiers. Deze informatie blijft strikt vertrouwelijk.

Collega’s en andere hulpverleners

Van collega’s en andere hulpverleners heb ik alleen de informatie die publiek toegankelijk is op hun website. Deze informatie is vooral nodig als ik cliënten moet doorverwijzen. Hier wordt geen informatie van verwerkt.

Opslag en beveiliging

Cliënten melden zich telefonisch aan of met een formulier op mijn website. De gegevens zijn niet toegankelijk op het web, doch worden onmiddellijk per email doorgezonden naar mijn persoonlijk email adres. Deze doorzending van gegevens bevat geen gevoelige informatie. Het is slechts een lijst met de noodzakelijke coördinaten en de reden van contact. De mailbox is een off-line mailbox op een pc die zich achter een hardware firewall bevindt, met andere woorden: er is geen kopie van deze mails op een internet server, noch zijn deze gegevens bereikbaar vanuit het internet.

Er is geen database die de gegevens bevat. De gegevens zijn gedeeltelijk aanwezig in papieren dossiers, en gedeeltelijk op twee pc’s en meerdere externe harde schijven als back-up. Hetzelfde geldt voor gespreksverslagen en de overeenkomsten.

De papieren dossiers bevinden zich in mijn praktijk in een niet afgesloten kast. Uiteraard zijn geen cliënten toegelaten in mijn praktijk zonder mijn aanwezigheid.

De pc’s draaien met het besturingssysteem Linux en zijn daardoor niet ontvankelijk voor virussen of malware. Alle pc’s en routers zijn beveiligd met paswoorden. De mappen met gegevens op de pc’s zijn niet versleuteld. Het besturingssysteem biedt voldoende beveiliging tegen diefstal of onbevoegd gebruik.

Er zijn geen draagbare systemen in gebruik, zoals een smartphone, tablet of laptop om gegevens in op te slaan.

In de cloud of andere, mogelijk publiek of door hacking toegankelijke media worden geen gegevens opgeslagen.

Dataverkeer tussen mijzelf en cliënten geschiedt bij gewone onbeveiligde SMTP email, tenzij expliciet anders gevraagd door de cliënten. Het verzenden van documenten en mails gebeurt zonder versleuteling.

Als cliënten hun mails en andere documenten laten toekomen of bewaren op een internet server zoals het geval is bij hotmail, gmail of outlook365, is dat op hun eigen verantwoordelijkheid.

Hoe lang

Het bijhouden van de overeenkomsten is in principe onbeperkt, tenzij cliënten verzoeken om vernietiging – zie verder.

Ontvangers

De ontvangers van de gegevens zijn uitsluitend deze die (mondeling) aangeduid zijn door de cliënten. Dat kunnen experts zijn, notarissen, rechtbanken, advocaten, een collega bemiddelaar, of een andere hulpverlener.

Uitzonderingen hierop kunnen slechts als er iemand in direct gevaar verkeerd, of een deurwaarder, rechtbank of advocaat bij wanbetaling.

Een uitzondering kan zijn als er iemand in direct gevaar verkeerd (deontologie van de psycholoog).

Verder moet ik mij houden aan het beroepsgeheim zoals beschreven in artikel 458 en 458bis van het strafwetboek.

Verzoeken van cliënten

Neer te leggen stukken zijn steeds ter inzage tot op de dag van de neerlegging of registratie wanneer vooraf getekend door de cliënten. Doorheen de gesprekken worden de reeds gemaakte overeenkomsten opgenomen in de regelingsovereenkomst. Deze overeenkomst wordt steeds na iedere update gegeven aan de cliënten. Ze kan op eenvoudig verzoek ook gepost of gemaild worden.

Vertrouwenspersonen van cliënten kunnen inzage hebben, doch uitsluitend na mondelinge toestemming van alle partijen.

Voor minderjarigen gelden dezelfde regels. Ouders van minderjarigen krijgen slechts toegang tot gegevens als de minderjarige daarin toestemt. Indien de minderjarige niet toestemt en het is wenselijk dat de ouders op de hoogte wordt gebracht, zal dit in de sessies besproken worden. Als de minderjarige nog niet wilsbekwaam is, doch in zekere mate wel een mening kan vormen en daarover kan communiceren wordt die beslissing eveneens genomen in samenspraak met de minderjarige.

Als een officiële instantie zoals politie of rechtbank inzage vraagt, blijft het beroepsgeheim gelden. Inzage kan slechts bij een ernstig misdrijf of indien een persoon in direct gevaar verkeerd voor zichzelf of voor anderen.

Persoonlijke nota’s zijn niet ter inzage van cliënten noch door een instantie. Enerzijds worden ze verwerkt in de interne gespreksverslagen. Ze kunnen gaan over:

  • subjectieve indrukken;
  • waarnemingen;
  • werk- of blindhypotheses;
  • denkpistes;
  • vermoedens;
  • geheugensteuntjes;
  • persoonlijke kanttekening;
  • aandachtspunten;
  • overwegingen;
  • intuïtief aanvoelen.

Anderzijds hoeven ze niet noodzakelijk te gaan over de kwaliteit noch de continuïteit van de zorg of dienstverlening. Mogelijk bevat een dossier slechts persoonlijke nota’s. Persoonlijke nota’s worden niet apart bewaard.

Meerdere partijen

Dikwijls zijn er gegevens van meerdere partijen in hetzelfde dossier. Resultaten van persoonlijke gesprekken met één partij zijn niet ter inzage door een andere partij. Dit geldt evenzo met stukken die mij al dan niet in vertrouwen bezorgd zijn. In dat geval geldt het beroepsgeheim tussen de verschillende partijen.

Als het wenselijk is dat er transparant wordt gewerkt zal dit met die ene persoon of partij besproken worden, doch hij moet mondeling zijn toestemming hiervoor geven. Zonder expliciete toestemming zijn gegevens nooit ter inzage van iemand anders. Dit geldt ook voor gesprekken of gegevens van minderjarigen.

Vernietiging dossiers

Een overeenkomst die geregistreerd of gehomologeerd is, kan slechts nietig worden door een nieuwe overeenkomst die terug geregistreerd of gehomologeerd wordt. Een onderhandse overeenkomst wordt vervangen door een nieuwe onderhandse overeenkomst. Het kan dus niet zomaar vernietigd worden. Hier zijn de normale erelonen en administratiekosten van kracht.

Op verzoek van een partij zullen andere gegevens vernietigd worden indien dit technisch of fysisch mogelijk is. Een document waar gegevens in staan van verschillende partijen kan immers niet ‘half’ vernietigd worden.

Bij vernietiging worden papieren dossiers versnipperd of verbrand en de folder met gegevens op de pc’s wordt gewist. Folders op backup drives worden niet gewist. Deze procedure is kosteloos.

Vernietiging kan niet als de wet mij verplicht van bepaalde gegevens bij te houden of er een bepaalde procedure mee uit te voeren.

Datalekken en diefstal

Bij diefstal van papieren dossiers, computers, externe opslag, of bij een digitaal datalek wordt door de plaatselijke politiedienst proces verbaal opgesteld. De privacycommissie en mogelijk getroffen personen wordt hiervan binnen de drie dagen per email van op de hoogte gesteld, samen met een analyse van de impact.

Als er een digitaal datalek ontdekt wordt, zal het intern netwerk fysisch losgekoppeld worden van het internet. Slechts nadat het lek verholpen is zal er terug een fysische verbinding gelegd worden. Niet alleen zal het lek gedicht worden, doch ook de nodige maatregelen worden genomen om dit in de toekomst te voorkomen.

Verwerkers en overdracht van gegevens

Ikzelf ben verantwoordelijk voor de privacy en beveiliging van alle gegevens in mijn bezit.

Andere verwerkers, zoals een notaris, expert, rechtbank, een andere hulpverlener, krijgen slechts de gegevens die voor hun verwerking nodig zijn en slechts na mondelinge toestemming van de cliënten. Zij zijn vanaf dat ogenblik verantwoordelijk voor de privacy en beveiliging van alle gegevens die zij in hun bezit hebben.