Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Toestemming volgens de Avg

“De Avg stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.”

Het sluitstuk van het stappenplan is volgens de AP de mogelijkheid om gegevens te verwerken op grond van toestemming. Is er geen andere grondslag voor de verwerking van gegevens (zoals bijvoorbeeld voor de uitvoering van een overeenkomst) dan heeft een organisatie de mogelijkheid om toestemming van de betrokkene te vragen en op grond hiervan gegevens te verwerken mits voldaan aan de overige voorwaarden van een verwerking (doelmatigheid, rechtmatigheid, toereikend, transparant etc.).

Verwerkt de organisatie gegevens van de betrokkene met toestemming dan zal de organisatie ervoor moeten zorgen dat de toestemming voldoet aan de definitie van de Avg. De toestemming moet vrij, specifiek, geïnformeerd zijn en door de betrokkene worden gegeven middels een actieve handeling.

Om te kunnen voldoen aan de aanvullende eis die wordt gesteld, namelijk het kunnen aantonen dat toestemming is gegeven, zal de zorginstelling een toestemmingsregister moeten aanleggen. Alleen zo kan vastgesteld worden hoe, wanneer en waarvoor de betrokkene toestemming heeft gegeven. Het toestemmingsregister vormt zo een onderdeel van de verantwoordingsplicht van de zorginstellingen.

Bovendien zal de instelling bij verwerking van gegevens op grond van toestemming ervoor moeten zorgen dat er ook een mechanisme is om de toestemming eenvoudig te kunnen intrekken. Alle mutaties die de betrokkene doorgeeft zullen in het register moeten worden vastgelegd. Alleen zo kan de organisatie voldoen aan de verantwoordingsplicht.

Ontwikkelingen ten aanzien van toestemming in de zorg

Naast de Avg is sinds 1 juli 2017 de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) van kracht. Vanaf 1 juli 2020 zorgt deze wet voor een aanzienlijke verandering als het gaat om toestemming in de zorg. Iedere patiënt kan dan online regelen of en welke medische gegevens door zorgverleners beschikbaar gesteld mogen worden aan andere zorgverleners. Hier is de specifieke toestemming van de patiënt voor nodig. Dus vanaf 1 juli 2020 zit de patiënt wat betreft het beheer van zijn eigen medische gegevens daadwerkelijk aan het ‘stuur’.

Daarnaast moet duidelijk zien wie inzage heeft gehad in het dossier van de patiënt. De toegang tot medische dossiers (log-in) zal ook vastgelegd moeten worden. Dit betekent dat er twee registers moeten komen te weten voor de toestemming als voor de log-in om aan te kunnen tonen wie toegang heeft gehad tot medische gegevens.