Inhoudelijke kennis
Data specialisten
Eenvoudige en nuchtere aanpak
Informatiemanagement
Asset 1
Menu
close
Contact

Hoe deel je informatie tussen partijen zonder de AVG te overtreden?

Home » Hoe deel je informatie tussen partijen zonder de AVG te overtreden?

Het delen van informatie tussen partijen in het sociaal-domein is essentieel voor effectieve dienstverlening, maar de AVG stelt hier strikte voorwaarden aan. Je kunt gegevens delen zonder de AVG te overtreden door gebruik te maken van de juiste wettelijke grondslagen, het implementeren van beveiligingsmaatregelen, het opstellen van verwerkersovereenkomsten waar nodig, en het toepassen van technieken zoals pseudonimisering of anonimisering. Door deze maatregelen systematisch toe te passen, kun je waardevolle gegevensuitwisseling faciliteren terwijl je tegelijkertijd voldoet aan alle privacyregels.

Wat is de AVG en welke impact heeft het op informatie delen?

De Algemene Verordening Gegevensbescherming (AVG) is de Europese privacywetgeving die sinds mei 2018 van kracht is en regels stelt voor de verwerking van persoonsgegevens. Deze verordening heeft een grote impact op hoe organisaties in het sociaal domein informatie kunnen delen.

De AVG bepaalt dat elke verwerking van persoonsgegevens, waaronder het delen ervan met andere organisaties, moet voldoen aan principes zoals doelbinding, minimale gegevensverwerking, en opslagbeperking. Dit betekent dat je niet zomaar alle beschikbare informatie mag delen, maar alleen wat noodzakelijk is voor een specifiek, vooraf bepaald doel.

Voor organisaties in het sociaal domein is de impact merkbaar bij samenwerkingen tussen gemeenten, zorgaanbieders en maatschappelijke organisaties. Je moet voor elke gegevensuitwisseling kunnen aantonen dat deze rechtmatig, transparant en veilig gebeurt. De wetgeving vereist een proactieve aanpak, waarbij je vooraf nadenkt over de privacyaspecten van informatie-uitwisseling en niet achteraf.

Welke wettelijke grondslagen kun je gebruiken voor het delen van informatie?

Voor het rechtmatig delen van informatie biedt de AVG zes wettelijke grondslagen waarvan er minstens één van toepassing moet zijn. In het sociaal domein zijn deze het meest relevant:

  • Toestemming: De betrokkene heeft uitdrukkelijk toestemming gegeven voor de specifieke verwerking. Deze toestemming moet vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn.
  • Uitvoering van een overeenkomst: De gegevensverwerking is noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is, zoals een zorgovereenkomst.
  • Wettelijke verplichting: Je moet gegevens verwerken om te voldoen aan een wettelijke plicht, bijvoorbeeld rapportageverplichtingen aan toezichthouders.
  • Vitaal belang: In noodsituaties mag je gegevens delen als dit noodzakelijk is om iemands leven of gezondheid te beschermen.
  • Taak van algemeen belang: Voor overheden en organisaties met een publieke taak, zoals gemeenten die sociale voorzieningen uitvoeren.
  • Gerechtvaardigd belang: Als de verwerking noodzakelijk is voor jouw legitieme belangen, mits deze niet worden overschaduwd door de belangen of rechten van de betrokkene.

Bij elke grondslag moet je het proportionaliteits- en subsidiariteitsbeginsel toepassen: deel niet meer gegevens dan nodig en kies altijd de minst ingrijpende methode.

Hoe zorg je voor een veilige overdracht van persoonsgegevens?

Een veilige overdracht van persoonsgegevens is cruciaal om aan de AVG te voldoen. Hiervoor zijn verschillende technische en organisatorische maatregelen beschikbaar:

  • Versleuteling (encryptie): Zorg dat gegevens tijdens transport en opslag versleuteld zijn, zodat ze bij onderschepping niet leesbaar zijn voor onbevoegden.
  • Beveiligde communicatiekanalen: Gebruik beveiligde verbindingen (HTTPS, SFTP, VPN) voor digitale overdracht van gegevens.
  • Gegevensminimalisatie: Deel alleen de specifieke gegevens die noodzakelijk zijn voor het doel, niet het volledige dossier.
  • Toegangsbeperking: Beperk wie toegang heeft tot de gedeelde informatie tot alleen degenen die deze echt nodig hebben.
  • Loggen en monitoren: Houd bij wie wanneer toegang heeft gehad tot welke gegevens om misbruik te kunnen detecteren.

Naast deze technische maatregelen is het belangrijk om medewerkers te trainen in het veilig hanteren van persoonsgegevens. Een datalek kan immers ook ontstaan door menselijke fouten, zoals het versturen van een e-mail naar de verkeerde ontvanger.

Wanneer is een verwerkersovereenkomst nodig bij het delen van gegevens?

Een verwerkersovereenkomst is verplicht wanneer een externe partij in jouw opdracht persoonsgegevens verwerkt. Dit document legt de verantwoordelijkheden vast en biedt juridische bescherming voor alle betrokken partijen.

Je hebt een verwerkersovereenkomst nodig in situaties zoals:

  • Wanneer je een externe organisatie inschakelt voor data-analyse of onderzoek
  • Bij het gebruik van cloud-diensten voor opslag van persoonsgegevens
  • Als je een IT-leverancier toegang geeft tot systemen met persoonsgegevens voor onderhoud
  • Bij uitbesteding van bepaalde werkzaamheden waarbij persoonsgegevens worden verwerkt

In de verwerkersovereenkomst leg je minimaal vast: het doel van de verwerking, de soorten gegevens, de rechten en plichten van beide partijen, de beveiligingsmaatregelen, procedures bij datalekken, en afspraken over het inschakelen van subverwerkers. Als beide partijen zelf bepalen wat ze met de gegevens doen (gezamenlijke verwerkingsverantwoordelijken), volstaat een verwerkersovereenkomst niet en moet je andere afspraken maken.

Hoe kun je gegevens anonimiseren of pseudonimiseren voor gebruik?

Het anonimiseren of pseudonimiseren van gegevens kan een effectieve manier zijn om informatie te delen met minder privacyrisico's. Hoewel deze termen soms door elkaar worden gebruikt, zijn het verschillende technieken:

Anonimisering houdt in dat persoonsgegevens zodanig worden bewerkt dat ze niet meer te herleiden zijn tot een individu. Volledig geanonimiseerde gegevens vallen niet meer onder de AVG, wat betekent dat je ze vrijer kunt delen. Bij anonimisering verwijder je alle direct identificerende gegevens (zoals naam en BSN) en zorg je dat ook indirecte identificatie via combinatie van gegevens niet mogelijk is.

Pseudonimisering vervangt identificerende gegevens door kunstmatige identificatoren of pseudoniemen. De originele gegevens worden apart bewaard met een sleutel die de koppeling mogelijk maakt. Pseudonimisering valt nog steeds onder de AVG, maar wordt gezien als een belangrijke beveiligingsmaatregel die de risico's voor betrokkenen vermindert.

Voor beleidsonderzoek in het sociaal domein kan pseudonimisering bijzonder waardevol zijn. Het stelt je in staat om patronen te analyseren zonder direct met identificeerbare persoonsgegevens te werken, terwijl de mogelijkheid behouden blijft om gegevens te koppelen wanneer dat nodig is.

Wat zijn de belangrijkste AVG-compliant methodes voor informatie-uitwisseling?

Om informatie te delen zonder de AVG te overtreden, kun je verschillende methodieken combineren. De meest praktische aanpak bestaat uit deze stappen:

  1. Doelbepaling: Definieer het precieze doel van de informatie-uitwisseling en documenteer dit
  2. Grondslagbepaling: Bepaal welke wettelijke grondslag van toepassing is
  3. Gegevensminimalisatie: Selecteer alleen de gegevens die echt nodig zijn
  4. Beveiligingskeuze: Kies de juiste beveiligingsmaatregelen voor de gevoeligheid van de gegevens
  5. Contractuele vastlegging: Leg afspraken vast in een verwerkersovereenkomst of andere passende overeenkomst
  6. Transparantie: Informeer betrokkenen over de gegevensuitwisseling

Bij KWIZ begrijpen we de complexiteit van gegevensuitwisseling in het sociaal domein. Onze aanpak combineert juridische kennis met praktische oplossingen, zoals onze pseudonimiseringstool die gegevensuitwisseling mogelijk maakt zonder de privacy te compromitteren. Door deze methodieken toe te passen, kunnen organisaties informatie delen op een manier die zowel effectief als AVG-compliant is.

Aanmelden voor de nieuwsbrief?

Blijf op de hoogte omtrent de laatste ontwikkelingen en diensten van KWIZ

Contact

Stavangerweg 23-5
9723 JC Groningen

Telefoon (050) 525 24 73
contact@kwiz.nl

23.136-Keurmerk-ISO-27001
Sociale media
crossarrow-right