In de voorbije decennia was er een ware pandemie aan datalekken in de gezondheidszorg te bemerken. Dit is problematisch gezien het feit dat zorginstellingen zeer gevoelige informatie verwerken. Het is dan ook niet verrassend dat de GDPR duidelijke nadruk legt op de bescherming van gezondheidsgegevens.
Persoonsgegevens in de zorgsector
De GDPR erkent gegevens over gezondheid als een bijzondere categorie gegevens.
Concreet erkend de GDPR drie soorten persoonsgegevens die bijzonder relevant zijn voor de zorgsector:
- Gegevens over de gezondheidstoestand van een persoon: alle gegevens die verband houden met de fysieke of mentale gezondheid van een persoon, worden beschouwd als persoonlijke en beschermde gegevens onder de GDPR. Dit omvat alle informatie met betrekking tot het type zorg dat ze hebben ontvangen.
Genetische gegevens: informatie met betrekking tot de genetische samenstelling van een persoon valt ook onder de GDPR-bescherming. Dit omvat alle laboratoriumresultaten met betrekking tot een analyse van een biologisch monster, evenals alle kenmerken die details over de fysiologie of gezondheid van de patiënt kunnen onthullen.
- Biometrische gegevens: Biometrie verwijst naar gegevens die betrekking hebben op iemands fysieke of gedragskenmerken. Dergelijke informatie wordt volgens de AVG als persoonlijk beschouwd (en moet daarom worden beschermd) omdat het kan worden gebruikt om een specifieke persoon te identificeren. Deze omvatten gezichtsafbeeldingen, vingerafdrukken en meer.
Artikel 9 van de GDPR verbiedt enige vorm van verwerking van de bovenstaande gezondheidsgegevens, tenzij aan de volgende voorwaarden werd voldaan:
– De betrokkene moet “uitdrukkelijke toestemming” hebben gegeven.
– “Verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de werkcapaciteit van de werknemer, medische diagnose, het verstrekken van gezondheids- of sociale zorg of behandeling of het beheer van gezondheids- of sociale zorgstelsels en -diensten.”
– De verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid of het waarborgen van hoge kwaliteits- en veiligheidsnormen van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen.”
De GDPR heeft vele innovatieve principes ingevoerd die het zorginstellingen gemakkelijker maken om hun gezondheidsgegevens te beschermen.
Enkele stappen die men binnen de zorgsector zal moeten nemen zijn o.a de volgende:
- Het uitvoeren van een Data Protection Impact Assessment
- Een Dpo aanstellen
- Een verwerkingsovereenkomst afsluiten en het bijhouden van een verwerkingsregister
- Het beperken en beschermen van toegang tot gegevens
- Datalekken melden binnen 72 uur
- Een privacybeleid en privacy statement opstellen
- De verantwoordingsplicht
Zorginstellingen en bedrijven die actief zijn binnen de gezondheidssector hebben robuuste gegevensbeschermingswaarborgen nodig om het vertrouwen van individuen in de regels die zijn ontworpen om hun gegevens te beschermen, te behouden.
Voor meer informatie omtrent de toepassingen van de GDPR in de gezondheidszorg, kan men steeds beroep doen op een erkende DPO.
