PIV Heidesessie RvA 2017 Verwerking van (bijzondere) persoonsgegevens bij letselschades mr. ir. Jørgen Simons dinsdag 12 december 2017.

Presentatie over: "PIV Heidesessie RvA 2017 Verwerking van (bijzondere) persoonsgegevens bij letselschades mr. ir. Jørgen Simons dinsdag 12 december 2017."— Transcript van de presentatie:

1 PIV Heidesessie RvA 2017 Verwerking van (bijzondere) persoonsgegevens bij letselschades
mr. ir. Jørgen Simons dinsdag 12 december 2017

2 Programma Basisprincipes verwerking persoonsgegevens
Meldplicht datalekken, boetes en boetebeleid AVG – wat verandert er verder nog? Advies 1 Advies 2 Gedragscode? Actielijst

3 Belangrijkste bepalingen
Basisprincipes Belangrijkste bepalingen Doel verzameling PGs Welbepaald Uitdrukkelijk omschreven Gerechtvaardigd Grondslag verwerking PGs Wettelijke plicht Bescherming vitaal belang Publiekrechtelijke taak Ondubbelzinnige toestemming Uitvoering OVK Gerechtvaardigd belang Doelbinding verdere verwerking Voor zover niet onverenigbaar met doel verzameling Aard gegevens Verwantschap met doel verzameling Gevolgen voor betrokkene Verwachtingspatroon betrokkene Passende waarborgen Beperkingen verwerking PGs Toereikend Ter zake dienend Niet bovenmatig Niet langer bewaren dan nodig. Van belang: continue toetsing + altijd geheel bekijken in onderlinge samenhang toereikend zijn = voldoende om het doel te bereiken; te weinig is NIET voldoende  voorbeeld: winkelregister met klanten die zaak verlaten zonder te betalen ter zake dienend zijn = relevant voor het te bereiken doel niet bovenmatig zijn = niet meer dan noodzakelijk om doel te bereiken

4 Spelregels bijzondere persoonsgegevens
Artikel 16 Wbp Verwerking van bepaalde gegevens is verboden, zoals PGs met betrekking tot: Levensovertuiging of godsdienst Politieke gezindheid of lidmaatschap vakbond Ras, etniciteit Seksuele leven Strafrechtelijke gegevens BSN/BIG Gezondheid

5 Wbp met betrekking tot bijzondere persoonsgegevens
Artikel 21: specifieke uitzonderingen op verbod Lid 1 Verbod verwerking gezondheidsgegevens niet van toepassing voor (onder meer): verzekeraars (als bedoeld in artikel 1:1 van de Wet op het financieel toezicht en financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet), voor zover dat noodzakelijk is voor: 1°. de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt; of 2°. de uitvoering van de overeenkomst van verzekering; Lid 2 Gezondheidsgegevens worden in deze gevallen alleen verwerkt door personen die uit hoofde van ambt, beroep, wettelijk voorschrift dan wel overeenkomst tot geheimhouding zijn verplicht.

6 Verwerking van persoonsgegevens
Samenvattend: Voor verwerking van alle persoonsgegevens is altijd een wettelijke grondslag vereist. Voor de verwerking van bijzondere persoonsgegevens moet bovendien altijd een uitzondering van toepassing zijn op het verbod om dat soort gegevens te verwerken. De Betrokkene moet in principe altijd worden geïnformeerd over de verwerking van zijn of haar persoonsgegevens.

7 Proportionaliteit Subsidiariteit
LET WEL: bij iedere afweging altijd onderstaande principes in acht nemen! Proportionaliteit Subsidiariteit Is de privacy-inbreuk proportioneel in relatie tot het gediende doel? Is er een minder ingrijpende manier om het doel te bereiken?

8 Programma Basisprincipes verwerking persoonsgegevens
Meldplicht datalekken, boetes en boetebeleid AVG – wat verandert er verder nog? Advies 1 Advies 2 Gedragscode? Actielijst

9 Wet van 4 juni 2015 (ter aanpassing van o.a. de Wbp)
Verplichte melding datalekken Nieuwe boetebevoegdheden College Bescherming Persoonsgegevens Onder meer toevoeging artikel 34a Wbp Boetes mogelijk bij schending groot aantal verplichtingen uit de Wbp Meldplicht bij inbreuk op beveiliging die leidt tot aanzienlijke kans op ernstige nadelige gevolgen of die ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens Boetes sterk verhoogd (tot € of max. 10% van de jaaromzet) Maar: niet iedere overtreding beboetbaar vaak eerst bindende aanwijzing vereist primaat bij Openbaar Ministerie (“via una beginsel”) In werking sinds 1 januari 2016

10 Meldplicht datalekken
BOETES bij overtreding (66 Wbp) Voor overtredingen 34a Wbp: bestuurlijke boete van ten hoogste het bedrag van de geldboete van de zesde categorie 23 lid 4 WvSr  per 1/1/2016: € AP hanteert hierbij de volgende bandbreedtes: € €  nalaten (onverwijld) melding te doen en/of nalaten bijhouden overzicht € 0 - €  inhoud melding niet volgens voorschriften Boete wordt echter niet opgelegd dan nadat eerst een bindende aanwijzing is gegeven, eventueel met een termijn waarbinnen de aanwijzing moet zijn opgevolgd

11 Meldplicht datalekken
Beleidsregels Boetebeleidsregels Autoriteit Persoonsgegevens De meldplicht datalekken in de Wet bescherming Persoonsgegevens (Wbp); Beleidsregels voor toepassing van artikel 34a van de Wbp (AP, 8 december

12 Programma Basisprincipes verwerking persoonsgegevens
Meldplicht datalekken, boetes en boetebeleid AVG – wat verandert er verder nog? Advies 1 Advies 2 Gedragscode? Actielijst

13 Algemene Verordening Gegevensbescherming

14 (Inter)nationaal privacyrecht
AVG van toepassing met ingang van 25 mei 2018 X X Nationale privacy wet- en regelgeving NL: Wet Bescherming Persoonsgegevens (Wbp) X Richtlijn Gegevensbescherming 95/46/EC EU Algemene Verordening Gegevensbescherming EU/2016/679 NL: Uitvoeringswet AVG Nationale privacy wet- en regelgeving Doorgifte gegevens toegestaan indien: Passend beschermingsniveau Vergunning Wettelijke uitzondering Buiten de EU EU-US-Privacy Shield (12 juli 2016)

15 AVG  belangrijkste aandachtspunten
Versterking rechten individu Toestemming voor verwerking PG’s expliciet en vrijwillig Recht om vergeten te worden Gemakkelijke toegang tot eigen gegevens + recht op ‘dataportabiliteit’ Betere uitoefening van rechten Versterken onafhankelijkheid en bevoegdheid nationale toezichthouders Boetes tot € 20 miljoen of max. 4% van de wereldwijde omzet Verbeteren rechtsmiddelen bij schending regels Vergroten databeveiliging Gebruik van privacy-vriendelijke standaardinstellingen en technologieën Gebruik van privacy-certificaten Algemene verplichting tot melden van datalekken Vergroten verantwoordelijk-heid verwerkers Verantwoording over en registreren van gegevensverwerkingsactiviteiten Verplichte functionaris voor grote of risicovolle gegevensverwerkingen Verplichting tot uitvoeren Privacy Impact Assessment bij risicovolle verwerkingen Geschiktheid recht voor interne digitale markt Rechtstreeks werkende Verordening in plaats van nationaal te implanteren Richtlijn ‘One-stop-shop’ systeem  toezichthouder in lidstaat van hoofdkantoor is leidend Upgraden Artikel 29 Werkgroep naar onafhankelijke European Data Protection Board

16 Nieuwe rechten Betrokkenen
Recht op ‘bevriezing’ verwerking, als dat in belang van Betrokkene is Verantwoordelijke heeft gegevens bijvoorbeeld niet meer nodig, maar Betrokkene nog wel (b.v. ter onderbouwing van een claim) Recht op overdraagbaarheid gegevens (dataportabiliteit) in machine-leesbaar format, indien: de gegevens geautomatiseerd worden verwerkt (geen papieren bestanden), aan de Verantwoordelijke zijn verstrekt door Betrokkene (ruime uitleg), en op basis van toestemming of in het kader van een overeenkomst worden verwerkt. Bij bevriezing ook verplicht andere controllers te informeren net zoals bij recht op verwijdering/vergetelheid Overdraagbaarheid gegevens kan voor NOS wellicht relevant worden bijv als het gaat om playlists van muziek of tvdiensten. Lijkt niet snel aan de orde

17 Verantwoordings- en registratieplicht
Verwerking persoonsgegevens moet voldoen aan aantal eisen (5 lid 1 AVG) Doelbeperking Opslag-beperking Nauwkeurigheid Rechtmatigheid, eerlijkheid en transparantie Gegevens-minimalisering De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (5 lid 2 AVG)  verantwoordingsplicht Passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd (24 AVG)

18 Verantwoordings- en registratieplicht
Bijhouden register van verwerkingsactiviteiten  registratieplicht (30 AVG) Namen en contactgegevens van onder meer Verantwoordelijke Verwerkingsdoeleinden Beschrijving categorieën: van Betrokkenen / van Persoonsgegevens Categorieën van ontvangers Eventuele doorgiften aan derde land(en) of internationale organisaties Termijnen waarbinnen gegevens worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen

19 Programma Basisprincipes verwerking persoonsgegevens
Meldplicht datalekken, boetes en boetebeleid AVG – wat verandert er verder nog? Advies 1 – aantal vragen verzekeraars m.b.t. verwerking PG’s Advies 2 Gedragscode? Actielijst

20 MP of KNMG Richtlijn omgaan met medische gegevens?
Advies 1 MP of KNMG Richtlijn omgaan met medische gegevens? KNMG Richtlijn met name bedoeld voor gezondheidszorg Ziet vooral op de vraag hoe artsen omgaan met verstrekking aan derden MAA met name gebonden aan GAV-code en MP Geen toetsing MP aan KNMG Richtlijn

21 Welke definitie ‘medische gegevens’ is leidend?
Advies 1 Welke definitie ‘medische gegevens’ is leidend? Gegevens betreffende de gezondheid (gezondheidsgegevens) Begrip moet ruim worden uitgelegd; het bevat alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen. Voorbeeld: enkel het gegeven dat iemand ziek is kwalificeert al als een persoonsgegeven betreffende iemands gezondheid. Daaronder vallen ook: Biometrische ID-gegevens Genetische gegevens

22 Welke GZ-gegevens mogen in Technisch Dossier? Voorwaarden?
Advies 1 Welke GZ-gegevens mogen in Technisch Dossier? Voorwaarden? Geen medisch beoordelingstraject (Licht Letsel) Technisch dossier Verantwoordelijkheid behandelaar Basisinformatie over letsel, maar slechts voor zover noodzakelijk ter bepaling wel/niet medisch traject en ter afhandeling licht letsel Géén medische adviezen of medische stukken Medisch dossier? Spontane informatieverschaffing door slachtoffer of BB? - Telefonische intake? - Toch medische stukken ontvangen per post of ?

23 Grondslag verwerken gezondheidsgegevens
indien geen medisch beoordelingstraject (Licht Letsel)? Beroep op uitzondering wegens noodzaak tot verwerking gezondheidsgegevens ter uitvoering verzekeringsovereenkomst Uitzondering lijkt geschreven met het oog op first party verzekeringen, maar mogelijk ook geldig voor third party verzekeringen. Letter van de wet biedt ruimte voor dergelijk uitleg: art. 21 Wbp noemt niet het vereiste van ‘overeenkomst met betrokkene’, zoals in art. 8 sub b Wbp wel wordt genoemd PG: ‘er kunnen zich bij uitvoering verzekerings-OVK diverse situaties voordoen waarbij verzekeraars gezondheidsgegevens verwerken’  voorkeur van wetgever om deze gevallen onder algemene norm onder te brengen (voor zover zulks met het ook op dat doel noodzakelijk is)

24 Advies 1 PG: vervolg “Onder omstandigheden kan de uitvoering van de overeenkomst meebrengen dat verzekeraars gezondheidsgegevens van derden — dat wil zeggen anderen dan de verzekerde — dienen te verwerken. Een dergelijke verwerking kan zijn rechtvaardiging vinden in het algemene, in het verzekeringsrecht geldende beginsel dat een verzekerde verplicht is al het mogelijke te doen om schade te voorkomen of te verminderen. Dit beginsel is neergelegd in artikel 283 van het Wetboek van Koophandel. Op grond van dit beginsel is de verzekerde onder omstandigheden gehouden gegevens over een derde aan de verzekeraar te verstrekken die ertoe kunnen bijdragen om een door of namens die derde ingediende claim op adequate wijze te kunnen afhandelen. Wel geldt uiteraard ook hier dat niet meer gegevens worden verwerkt dan noodzakelijk is voor de uitvoering van de overeenkomst. Voorts is de verzekeraar in dit geval niet bevoegd om de betreffende gegevens langs andere weg te verkrijgen dan via de verzekerde op wie de schadebeperkingsplicht rust.”

25 Relatief kleine inbreuk op persoonlijke levenssfeer
Grondslag verwerken gezondheidsgegevens indien geen medisch beoordelingstraject (Licht Letsel)? Beroep op uitzondering wegens noodzaak tot verwerking gezondheidsgegevens ter uitvoering verzekeringsovereenkomst Bovendien Relatief kleine inbreuk op persoonlijke levenssfeer Pragmatische afhandeling licht letsel ook in belang slachtoffer Houdbaar standpunt? Ik denk van wel!

26 2. Uitdrukkelijke toestemming
Grondslag verwerken gezondheidsgegevens indien geen medisch beoordelingstraject (Licht Letsel)? 2. Uitdrukkelijke toestemming Door slachtoffer getekende Gerichte Medische Machtiging of Medische volmacht Dan wel: andere vorm van uitdrukkelijke toestemming

27 2. Uitdrukkelijke toestemming
Grondslag verwerken gezondheidsgegevens indien geen medisch beoordelingstraject (Licht Letsel)? 2. Uitdrukkelijke toestemming Pragmatische oplossing Standaard belscript bij eerste telefonische contact 1e vinkje plaatsen in technisch dossier na mondelinge bevestiging dat verstrekte informatie duidelijk is 2e vinkje plaatsen in technisch dossier na mondelinge bevestiging dat toestemming wordt verleend voor verwerking Eventueel gesprek opnemen Eventueel vragen toets in te drukken ter bevestiging (i) ontvangen voldoende informatie en (ii) verlenen toestemming tot verwerken gezondheidsgegevens

28 Welke GZ-gegevens mogen in Technisch Dossier? Voorwaarden?
Advies 1 Welke GZ-gegevens mogen in Technisch Dossier? Voorwaarden? Wel medisch beoordelingstraject Technisch dossier Verantwoordelijkheid behandelaar Basisinformatie over letsel (voor zover noodzakelijk) Medische adviezen Soms achterliggende medische stukken Medische expertise? Medisch dossier Verantwoordelijkheid MAA Getekende Gerichte Medische Machtiging / Medische Volmacht Alle relevante medische stukken Medische adviezen Medische expertise

29 Voldoende maatregelen treffen om een en ander te waarborgen.
Advies 1 Toegangsrechten Technisch Dossier? Ook technisch dossier bevat zoals gezegd gezondheidsgegevens van het slachtoffer: Medewerkers van buiten de afdeling Personenschade hebben daarmee in principe niets te maken. Voor zover het ter uitvoering van hun taak niet noodzakelijk is dat zij over onderdelen van die gegevens (kunnen) beschikken, dienen zij die toegang dan ook niet te hebben. Behoudens vooraf eventueel verkregen uitdrukkelijke toestemming, is er in dat geval immers geen sprake van een uitzondering op het verbod tot verwerking van gezondheidsgegevens. Voldoende maatregelen treffen om een en ander te waarborgen.

30 VRAGEN (Naar aanleiding van advies 1)
Mag schaderegelaar vragen stellen over gezondheidstoestand vóór ongeval? Zo ja, welke restricties gelden dan? Feitelijke vragen stellen? Hoe te handelen bij niet-objectiveerbaar letsel? - Intakegesprekken door MAA? - Gezondheidsverklaring Personenschade? Richtlijn over wat schaderegelaars wel/niet mogen vragen? Machtigingsformulier met meerdere artsen; mag dat, of nadrukkelijk per arts machtiging? Gebruik als medium? Veilig midden creëren?

31 Programma Basisprincipes verwerking persoonsgegevens
Meldplicht datalekken, boetes en boetebeleid AVG – wat verandert er verder nog? Advies 1 Advies 2 – toegang van derden bij controles en audits Gedragscode? Actielijst

32 Grondslag verwerking alle persoonsgegevens?
Advies 2 Grondslag verwerking alle persoonsgegevens? (anders dan o.g.v. toestemming) Belangenafweging maken tussen: ENERZIJDS: gerechtvaardigd belang verantwoordelijke of derde Reguliere bedrijfsactiviteiten (b.v. direct marketing, marktonderzoek; MvT) Wettige activiteiten zoals het dagelijks beheer van ondernemingen (Richtlijn) Bijvoorbeeld (AVG): - relevante en passende verhouding tussen betrokkene en verantwoordelijke; - betrokkene is klant; - betrokkene is in dienst van verantwoordelijke (AVG)

33 Grondslag verwerking alle persoonsgegevens?
Advies 2 Grondslag verwerking alle persoonsgegevens? (anders dan o.g.v. toestemming) Belangenafweging maken tussen: ANDERZIJDS: belangen, rechten en vrijheden betrokkene Gevoeligheid gegevens (MvT) Getroffen maatregelen ter beperking inbreuk (MvT; zie volgende slide) Overige beoordelingscriteria doelbinding (Wbp) Verwachtingspatroon betrokkene (AVG) NB: benadeelden hebben zelf ook belang bij goede bedrijfsvoering op financiën en kwaliteit van dienstverlening.

34 Grondslag verwerking alle persoonsgegevens?
Advies 2 Grondslag verwerking alle persoonsgegevens? (anders dan o.g.v. toestemming) Passende waarborgen: Systeembeveiliging en toegangsbeperking Gegevensminimalisering: herhaling/bewaren/etc. Beperking inzage hoeveelheid informatie door derden - alleen inzage, geen kopie - alleen technische dossiers, geen medische dossiers - niet meer dossiers dan nodig Geaggregeerde rapportages Geheimhoudingsverplichting (contractueel of anders) Informeren benadeelde Bieden duidelijke opt-out Bij medisch beoordelingstraject: opnemen op Gerichte Medische Machtiging of Medische Volmacht

35 Grondslag verwerking alle persoonsgegevens?
Advies 2 Grondslag verwerking alle persoonsgegevens? (anders dan o.g.v. toestemming) Belangenafweging naar mijn oordeel WEL: zelf geïnitieerde financiële controles, kwaliteitsaudits, etc. NIET/MINDER: audits door zakelijke klanten, inzage dossiers met klant, etc.

36 Ontheffing verwerking bijzondere persoonsgegevens?
Advies 2 Ontheffing verwerking bijzondere persoonsgegevens? (anders dan o.g.v. toestemming) Indien verwerking plaatsvindt door verzekeraar en voor zover noodzakelijk voor de uitvoering van de overeenkomst van verzekering Drie hobbels te nemen: Geldt dit ook voor third party verzekering? Uitvoering verwerking door verzekeraar Noodzaak verwerking voor uitvoering verzekeringsovereenkomst

37 Eerste hobbel: ook voor third party verzekering?
Advies 2 Eerste hobbel: ook voor third party verzekering? ZIE HIERVÓÓR (bij gerechtvaardigd belang)

38 Tweede hobbel: uitvoering OVK door verzekeraar?
Advies 2 Tweede hobbel: uitvoering OVK door verzekeraar? Mijns inziens wordt bedoeld: door of in opdracht van verzekeraar, waarbij de verzekeraar optreedt als verantwoordelijke voor de gegevensverwerking. DUS in geval van interne of externe financiële controle of kwaliteitsaudit in opdracht van verzekeraar: Verzekeraar als verantwoordelijke voor gegevensverwerking Interne audit/controle: verzekeraar is verantwoordelijke en tevens verwerker Externe audit/controle: contoleur of auditor is bewerker (verwerker) MAAR in geval van b.v. audit door grote zakelijke klant of inzage dossiers met klant bij verzekeraar: Verzekeraar waarschijnlijk niet te kwalificeren als verantwoordelijke Geen uitvoering DOOR verzekeraar

39 Derde hobbel: noodzaak verwerking voor uitvoering OVK?
Advies 2 Derde hobbel: noodzaak verwerking voor uitvoering OVK? Ruimte voor functionele uitleg noodzakelijkheidscriterium = hoe groter de inbreuk op de privacy, hoe strikter de uitleg Parallel met zorginstellingen: ‘beheer van de instelling’ Geringe inbreuk, zeker bij voldoende passende waarborgen Tevens in belang van benadeelden

40 Ontheffing verwerking bijzondere persoonsgegevens?
Advies 2 Ontheffing verwerking bijzondere persoonsgegevens? (anders dan o.g.v. toestemming) Indien verwerking plaatsvindt door verzekeraar en voor zover noodzakelijk voor de uitvoering van de overeenkomst van verzekering? Naar mijn oordeel met goede argumenten te verdedigen bij: WEL: zelf geïnitieerde financiële controles, kwaliteitsaudits, etc. NIET/MINDER: audits door zakelijke klanten, inzage dossiers met klant, etc. NB: geen 100% zekerheid dat redenering gevolgd zal worden door AP

41 VRAGEN Naar aanleiding van advies 2
Inzage dossiers door derden - Gerechtvaardigd belang? Moet benadeelde dan tevens tekenen voor akkoord inzage? - Uitvoering OVK? B.v. audit door Agent/Klant? interne audit? accountmanager + klant? Mogen GZ-gegevens ontvangen van WG (bij letsel) worden gebruikt bij discussie met benadeelde? Of bij discussie met zorgverzekeraar? Passage SRK: Ten slotte wijs ik erop dat gegevens van cliënt o.g.v. Wbp niet zonder toestemming van cliënt mogen worden verstrekt aan derden. Indien u een bureau wilt inschakelen of de gegevens anderszins wilt verwerken zoals bedoeld in de Wbp, verzoek ik u daarover overleg te plegen. Wat daarmee te doen?

42 Programma Basisprincipes verwerking persoonsgegevens
Meldplicht datalekken, boetes en boetebeleid AVG – wat verandert er verder nog? Advies 1 Advies 2 Gedragscode? Actielijst

43 Gedragscode Verwerking PGs bij Financiële Instellingen (GVPFI)
Gedragscodes: wat te doen? Verbijzondering regels Wbp naar branche-specifieke bepalingen Goedkeuringsverklaring AP verlopen sinds mei 2015 Verbond: nieuwe code voor verzekeraar ‘only’ MAAR: geen aparte paragraaf letselschade Zelf op website specifieke regels aanpassen NU OPSCHAKELEN, ANDERS IS HET TE LAAT! Gedragscode Verwerking PGs bij Financiële Instellingen (GVPFI) Ziet alleen op situatie waarin geen Medisch Beoordelingstraject In principe wordt alleen een Technisch Dossier aangelegd Medische stukken terugsturen of doorsturen aan MAA Verbijzonderen als aparte gedragscode en aanpassen op AVG? DLR Richtlijn Licht Letsel Mede gebaseerd op Wbp en GVPFI; ziet specifiek op letselschades Vooral betrekking op situatie waarin Medisch Beoordelingstraject In principe altijd toestemming vragen (DLR machtigingen) Aanpassen op AVG, inclusief licht letsel, en goedkeuring AP vragen? Medische Paragraaf bij GBL

44 Programma Basisprincipes verwerking persoonsgegevens
Meldplicht datalekken, boetes en boetebeleid AVG – wat verandert er verder nog? Advies 1 Advies 2 Gedragscode? Actielijst

45 Vastleggen beleid m.b.t. verwerking persoonsgegevens
ACTIELIJST Algemeen Vastleggen beleid m.b.t. verwerking persoonsgegevens Registreren verwerkingen persoonsgegevens Verifiëren/realiseren passende waarborgen Indien WEL medisch beoordelingstraject gestart: MP als uitgangspunt nemen. Indien GEEN medisch beoordelingstraject: altijd noodzaak bepalen t.b.v. het te bereiken doel: (i) bepalen of er wel of geen medisch traject moet plaatsvinden en (ii) afhandeling licht letsel schade. Ruime uitleg begrip ‘gezondheidsgegevens’. Korte termijn: OPSCHAKELEN bij Gedragscode Verbond! Langere termijn: - Richtlijn Licht Letsel herzien/uitbreiden en voorleggen aan AP? - MP herzien/uitbreiden en voorleggen aan AP?

46 Inhoud technisch dossier
ACTIELIJST Inhoud technisch dossier Risicoafweging verwerking alle persoonsgegevens o.g.v. grondslag ‘gerechtvaardigd belang’. Risicoafweging verwerking gezondheidsgegevens o.g.v. ontheffingsgrond ‘uitvoering verzekeringsovereenkomst’. Besluit nemen: wel of niet op basis van toestemming werken? Indien beroep op toestemming: - belscript bij eerste contact + folder - (i) vinkje bij uitleg + (ii) vinkje bij akkoord (eventueel toetsensysteem) - gesprek eventueel opnemen - schriftelijke bevestiging met duidelijke opt-out - aanpassen Gerichte Medische Machtiging + Medische Volmacht bij MP Sowieso: aanpassen informatie GMM + MV bij Medische Paragraaf

47 Bij financiële controles, kwaliteitsaudits, etc.
ACTIELIJST Bij financiële controles, kwaliteitsaudits, etc. Risicoafweging verwerking alle persoonsgegevens bij grondslag ‘gerechtvaardigd belang’. Risicoafweging bij ontheffing verwerking gezondheidsgegevens o.g.v. ‘uitvoering verzekerings-overeenkomst’  3 hobbels: - wel/niet van toepassing op third party verzekering? - wel/niet gegevensverwerking door verzekeraar? - wel/niet noodzakelijk ter uitvoering verzekeringsovereenkomst? Besluit nemen: wel/niet op basis van toestemming werken? Eventueel: ontheffing vragen o.g.v. art. 23 lid 1 sub f Wbp voor bijzondere gevallen?

48