Bescherming persoonlijke gegevens – GDPR of AVG

GDPR (general data protection regulation) of AVG (algemene verordening gegevensbescherming) verplicht iedereen om orde te stellen in persoonlijke gegevens, de privacy te beschermen en van transparant te zijn over wat er gebeurt bij de verwerking van data. Het dwingt ieder bedrijf, maar ook iedereen die een vrij beroep uitoefent om na te denken over de verwerking van gegevens. Naast het openbaar maken van de manier van verwerking, moet er strategisch omgegaan worden met gegevens. De nodige maatregelen moeten in acht genomen worden om de veiligheid ervan te garanderen.

Het gaat vooral over:

  • bescherming van persoonlijke gegevens;
  • maatregelen tegen diefstal of datalekken;
  • de procedures bij diefstal of datalekken;
  • de gebruikte procedures bij verwerking en de opslag van data;
  • het recht van iedereen om te weten wat er met je gegevens gebeurt;
  • het recht van iedereen om data te wissen.

Ben je bemiddelaar, zelfstandige, of oefen je een ander vrij beroep uit? Dan kan je een workshop over GDPR volgen bij Anthony Schobbens. Anthony is voorzitter van Uw Bemiddelaars, de grootste actieve vereniging van bemiddelaars met leden in gans Vlaanderen en Brussel, waarvan ik actief lid ben in de raad van bestuur.

Algemene informatie

Ik ben verantwoordelijk voor uw gegevens die in mijn bezit zijn. Gegevens die worden doorgegeven aan anderen, ofwel op vraag van cliënten, ofwel omdat de (wettelijke) procedure het vereist vallen buiten mijn verantwoordelijkheid.

De verwerking van persoonsgegevens houdt in dat alleen de gegevens die nodig zijn om jouw doel te bereiken verwerkt worden.

Register privacygegevens en verwerking ervan

In dit register staan de verwerkingsactiviteiten vermeld, welke gegevens er worden bewaard, waar, hoe, en waarom.

Categorieën

Ik heb drie categorieën van gegevens. De eerste zijn deze van cliënten. Daarnaast zijn er de gegevens van deskundigen, collega’s en andere hulpverleners. Slechts van de eerste categorie worden er gegevens verwerkt doch niet altijd.

De verwerking van de gegevens van cliënten is bijna uitsluitend als het om een bemiddeling gaat. in dat geval moet er een overeenkomst gemaakt worden. Deze overeenkomst wordt dan meestal geregistreerd of gehomologeerd.

Bij een therapeutische setting zijn er bijna nooit gegevens die verwerkt moeten worden, tenzij het om een doorverwijzing gaat.

Cliënten

Ik krijg minimaal de noodzakelijke gegevens van de cliënten om de verwerking mogelijk te maken. De verwerking bestaat meestal uit een verzoekschrift voor de rechtbank en uit EOT (echtscheiding onderlinge toestemming) of een regelingsovereenkomst die meestal gehomologeerd wordt door de rechtbank. Deze homologatie kan slechts gebeuren na ondertekening van de overeenkomst door de cliënten. In sommige gevallen kan het ook om een registratie gaan. Hiervoor geldt dezelfde regel.

De volgorde en de procedure wordt mondeling overeengekomen met de cliënten omdat deze afhankelijk is van de context. Soms is er bijvoorbeeld een notariële akte nodig, of moet er een expert ingeschakeld worden, of contacten met de bank als één van de cliënten moet lenen om bijvoorbeeld de gezinswoning in te kopen. Sommige cliënten doen dat liever zelf, anderen hebben graag dat ik die zaken voor hun regel.

Dikwijls is er gevoelige informatie aanwezig. Deze kan staan in mijn persoonlijke nota’s, zoals een blindhypothese, of zaken die invloed hebben op het bemiddelingsdossier, zoals pathologische of psychopathologische gegevens van de cliënten zelf of de kinderen. Mogelijk zijn er ook gesprekken met andere hulpverleners voor zover dit de cliënten verder kan helpen. Deze hulpverleners kunnen zijn van OCMW, CAW, CLB, psychiater, psycholoog, therapeut, welzijnswerk. Zie ook verder betreffende het beroepsgeheim met betrekking tot persoonlijke nota’s.

Deze gevoelige informatie wordt slechts verwerkt in de overeenkomst indien zij belang heeft op de overeenkomst of indien de overeenkomst in de toekomst kan wijzigen door een veranderde context. Een verwerking in de overeenkomst is uitsluitend na toestemming van alle partijen.

Indien er geen officiële overeenkomst moet worden gemaakt, zoals bij therapie of psychosociale ondersteuning zijn er alleen mijn persoonlijke nota’s zoals hiervoor aangegeven. Uiteraard is er in dat geval ook geen verwerking van de gegevens.

Deskundigen

Er is een beperkt aantal deskundigen waar ik of de cliënten beroep op kan doen. Dat gaat over enkele notarissen of beëdigde experts waar ik al mee heb samengewerkt en waar de cliënten vrij zijn om zelf contact mee op te nemen, tenzij ze (meestal) liever hebben dat ik dat doe. Van die deskundigen heb ik de gegevens in een bestand. Er wordt hiervan geen informatie verwerkt.

Collega’s en andere hulpverleners

Van collega’s en andere hulpverleners heb ik alleen de informatie die publiek toegankelijk is op hun website. Deze informatie is vooral nodig als ik cliënten moet doorverwijzen. Hier wordt geen informatie van verwerkt.

Opslag en beveiliging

Cliënten melden zich telefonisch aan of met een formulier op mijn website. De gegevens worden niet bijgehouden op het web, doch onmiddellijk per email doorgezonden naar mijn persoonlijk email adres. Deze doorzending van gegevens bevat geen gevoelige informatie. Het is slechts een lijst met de noodzakelijke coördinaten en de reden van contact. De mailbox is een off-line mailbox op een pc die zich achter een hardware firewall bevindt, met andere woorden: er is geen kopie van deze mails op een internet server, noch zijn deze gegevens bereikbaar vanuit het internet.

Er wordt geen database bijgehouden van de gegevens. De gegevens zijn gedeeltelijk aanwezig in papieren dossiers, en gedeeltelijk op twee pc’s en meerdere externe harde schijven als back-up. Hetzelfde geldt voor gespreksverslagen en de overeenkomsten.

De papieren dossiers bevinden zich in mijn praktijk in een niet afgesloten kast. Uiteraard zijn geen cliënten toegelaten in mijn praktijk zonder mijn aanwezigheid.

De pc’s draaien met het besturingssysteem Linux en zijn daardoor niet ontvankelijk voor virussen of malware. Alle pc’s en routers zijn beveiligd met paswoorden. De mappen met gegevens op de pc’s worden niet versleuteld. Het besturingssysteem biedt voldoende beveiliging tegen diefstal of onbevoegd gebruik.

Er worden geen draagbare systemen gebruikt, zoals een smartphone, tablet of laptop om gegevens in op te slaan.

Er worden geen gegevens bijgehouden op internet, zoals in de cloud of andere gelijkaardige media.

Dataverkeer tussen mijzelf en cliënten geschiedt bij gewone onbeveiligde SMTP email, tenzij expliciet anders gevraagd door de cliënten. Documenten en mails worden niet versleuteld bij het verzenden.

Als cliënten hun mails en andere documenten laten toekomen of bewaren op een internet server zoals het geval is bij hotmail, gmail of outlook365, is dat op hun eigen verantwoordelijkheid.

Hoe lang

Alle overeenkomsten worden in principe onbeperkt bijgehouden, tenzij cliënten verzoeken om vernietiging – zie verder.

Waarvoor worden de gegevens gebruikt

De gegevens worden uitsluitend gebruikt voor het doel dat de cliënten voor ogen hebben, zoals een echtscheiding, ouderschapsovereenkomst, contactherstel, bemiddeling, therapie.

Email, telefoon, of adresgegevens worden uitsluitend gebruikt voor het beoogde doel: de bemiddeling, de therapie, of om afspraken te maken. Ze worden nooit gebruikt voor massa mailings of nieuwsbrieven. Ze worden nooit gedeeld met anderen, tenzij op vraag van de cliënten.

Gegevens in een afgehandeld dossier blijven aanwezig doch worden niet meer verwerkt. Ze kunnen eventueel geraadpleegd worden als er vragen zijn over de uitvoering van een overeenkomst.

Hoe medegedeeld

Mondeling en meestal tijdens het intakegesprek worden de verschillende mogelijkheden uitgelegd aan de cliënten. Dit kan wijzigen afhankelijk van de context – als deze wijzigt in de loop van de gesprekken.

Ontvangers

De ontvangers van de gegevens zijn uitsluitend deze die (mondeling) aangeduid worden door de cliënten. Dat kunnen experts zijn, notarissen, rechtbanken, advocaten, een collega bemiddelaar, of een andere hulpverlener.

Per uitzondering kunnen gegevens ook naar een officiële instantie gestuurd worden. Ik baseer mij hierop op de deontologie van de psycholoog waar ik onder val. Dit kan bijvoorbeeld het geval zijn als er iemand in direct gevaar verkeerd. Behalve die ene uitzondering baseer ik mij op het beroepsgeheim zoals beschreven in artikel 458 en 458bis van het strafwetboek.

Verzoeken van cliënten

Stukken die neergelegd worden zijn steeds ter inzage tot op de dag van de neerlegging of registratie wanneer ze vooraf getekend worden door de cliënten. Doorheen de gesprekken worden de reeds gemaakte overeenkomsten opgenomen in de regelingsovereenkomst. Deze overeenkomst wordt steeds na iedere update gegeven aan de cliënten. Ze kan op eenvoudig verzoek ook gepost of gemaild worden.

Vertrouwenspersonen van cliënten kunnen inzage hebben, doch uitsluitend na mondelinge toestemming van alle partijen.

Voor minderjarigen gelden dezelfde regels. Ouders van minderjarigen krijgen slechts toegang tot gegevens als de minderjarige daarin toestemt. Indien de minderjarige niet toestemt en het is wenselijk dat de ouders op de hoogte wordt gebracht, zal dit in de sessies besproken worden. Als de minderjarige nog niet wilsbekwaam is, doch in zekere mate wel een mening kan vormen en daarover kan communiceren wordt die beslissing eveneens genomen in samenspraak met de minderjarige.

Als er inzage wordt gevraagd door een officiële instantie zoals politie of rechtbank, blijft het beroepsgeheim gelden. Inzage kan slechts bij een ernstig misdrijf of indien een persoon in direct gevaar verkeerd voor zichzelf of voor anderen.

Persoonlijke nota’s zijn niet ter inzage van cliënten noch door een instantie. Enerzijds worden ze verwerkt in de interne gespreksverslagen. Ze kunnen gaan over:

  • subjectieve indrukken;
  • waarnemingen;
  • werk- of blindhypotheses;
  • denkpistes;
  • vermoedens;
  • geheugensteuntjes;
  • persoonlijke kanttekening;
  • aandachtspunten;
  • overwegingen;
  • intuïtief aanvoelen.

Anderzijds hoeven ze niet noodzakelijk te gaan over de kwaliteit noch de continuïteit van de zorg of dienstverlening. Mogelijk bevat een dossier slechts persoonlijke nota’s. Persoonlijke nota’s worden niet apart bewaard.

Meerdere partijen

Dikwijls zijn er gegevens van meerdere partijen in hetzelfde dossier. Resultaten van persoonlijke gesprekken met één partij zijn niet ter inzage door een andere partij. Dit geldt evenzo met stukken die mij al dan niet in vertrouwen bezorgd zijn. In dat geval geldt het beroepsgeheim tussen de verschillende partijen.

Als het wenselijk is dat er transparant wordt gewerkt zal dit met die ene persoon of partij besproken worden, doch hij moet mondeling zijn toestemming hiervoor geven. Zonder expliciete toestemming zijn gegevens nooit ter inzage van iemand anders.

Vernietiging dossiers

Een overeenkomst die geregistreerd of gehomologeerd is, kan slechts nietig worden door een nieuwe overeenkomst die terug geregistreerd of gehomologeerd wordt. Een onderhandse overeenkomst wordt vervangen door een nieuwe onderhandse overeenkomst. Het kan dus niet zomaar vernietigd worden. Hier zijn de normale erelonen en administratiekosten van kracht.

Op verzoek van een partij zullen andere gegevens vernietigd worden indien dit technisch of fysisch mogelijk is. Een document waar gegevens in staan van verschillende partijen kan immers niet ‘half’ vernietigd worden.

Bij vernietiging worden papieren dossiers versnipperd of verbrand en de folder met gegevens op de pc’s wordt gewist. Folders op backup drives worden niet gewist. Deze procedure is kosteloos.

Vernietiging kan niet als de wet mij verplicht van bepaalde gegevens bij te houden of er een bepaalde procedure mee uit te voeren.

Datalekken en diefstal

Bij diefstal van papieren dossiers, computers, externe opslag, of bij een digitaal datalek wordt door de plaatselijke politiedienst proces verbaal opgesteld. De privacycommissie en mogelijk getroffen personen wordt hiervan binnen de drie dagen per email van op de hoogte gesteld, samen met een analyse van de impact.

Als er een digitaal datalek ontdekt wordt, zal het intern netwerk fysisch losgekoppeld worden van het internet. Slechts nadat het lek verholpen is zal er terug een fysische verbinding gelegd worden. Niet alleen zal het lek gedicht worden, doch ook de nodige maatregelen worden genomen om dit in de toekomst te voorkomen.

Verwerkers en overdracht van gegevens

Ikzelf ben verantwoordelijk voor de privacy en beveiliging van alle gegevens in mijn bezit.

Andere verwerkers, zoals een notaris, expert, rechtbank, een andere hulpverlener, krijgen slechts de gegevens die voor hun verwerking nodig zijn en slechts na mondelinge toestemming van de cliënten. Zij zijn vanaf dat ogenblik verantwoordelijk voor de privacy en beveiliging van alle gegevens die zij in hun bezit hebben.