Verwerkingsverantwoordelijken die genetische, biometrische of gezondheidsgegevens verwerken hebben sinds 5 september 2018 de plicht om een bijkomend register bij te houden. Diezelfde verplichting geldt ook voor organisaties die strafrechtelijke gegevens verwerken.
1. Belgische implementatiewet
De Algemene Verordening Gegevensbescherming laat voor lidstaten de mogelijkheid om specifieke onderwerpen zelf verder te reguleren via implementatie wetgeving. België maakte hiervan gebruik, en op 5 september 2018 werd de nieuwe “Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens” (hierna de “Wet”) gepubliceerd in het Belgisch Staatsblad.
2. Bijkomende registerverplichting
Artikel 9 van de Wet stelt het volgende:
In uitvoering van artikel 9.4 van de Verordening neemt de verwerkingsverantwoordelijke, bij de verwerking van genetische, biometrische of gezondheidsgegevens, bovendien de volgende maatregelen :
1° hij of, in voorkomend geval, de verwerker wijst de categorieën van personen die toegang hebben tot de persoonsgegevens, aan waarbij hun hoedanigheid ten opzichte van de verwerking van de betrokken gegevens nauwkeurig wordt omschreven;
2° hij of, in voorkomend geval, de verwerker houdt de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de bevoegde toezichthoudende autoriteit;
3° hij zorgt ervoor dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen.
Naast het (bestaande) verwerkingsregister, moeten organisaties nu dus ook een bijkomend register bijhouden waarin de categorieën van personen worden aangewezen die toegang hebben tot de persoonsgegevens die vallen onder de noemer genetische, biometrische of gezondheidsgegevens.
Hoewel in beginsel deze verplichting wordt opgelegd aan de verwerkingsverantwoordelijke, zal vaak ook de verwerker hieraan moeten voldoen. Via verwerkersovereenkomsten worden ze nl. vaak doorgezet aan elke (sub)verwerker in de keten.
Zo zullen software leveranciers die zelf geen gezondheidsgegevens verwerken, ook impact voelen van deze wetgeving wanneer ze bijvoorbeeld software verdelen aan klanten die op hun beurt zelf wel gezondheidsgegevens verwerken (bv. HR software, software voor de medische sector, …).
Op basis van de wettelijke vereisten, hebben wij een template register opgemaakt dat u vrijblijvend kan opvragen via hello@solit.legal.
3. Confidentialiteit
Ook de confidentialiteit moet voldoende gegarandeerd zijn t.a.v. de personen die met deze gevoelige persoonsgegevens in aanmerking komen. Hoewel een confidentialiteitsclausule één van de basisbepalingen is in de meeste overeenkomsten, ontbreekt een geschikte geheimhoudingsplicht in de praktijk nog te vaak. Confidentialiteit kan geregeld worden op wettelijke, statutaire of contractuele basis. Zorg er dus voor dat uw arbeids- en dienstverleningsovereenkomsten steeds een confidentialiteitsclausule bevatten die is afgestemd op de Belgische implementatie wet.
Datum: 01/12/2019