Gegevensbescherming PINO

Definities:

Protocol”: Dit document bevat de details van de academische studie zoals samengesteld door de sponsor en goedgekeurd door het ethisch comité.

Sponsor”: Academisch Centrum voor HuisartsenGeneeskunde (ACHG) van de KU Leuven.

De deelnemende site handelt als gegevensverwerker zoals gedefinieerd in artikel 4,8 van de verordening: (EU) 2016/679 (“gegevensverwerker”) voor de Sponsor wie handelt als gegevenscontroleur zoals gedefinieerd in de verordening (EU) 2016/679 (“gegevenscontroleur”).

Toepasbare wet” betekent eender welke wet toepasbaar voor gegevensbescherming of privacy, inclusief:

  • De Europese gegevensbeschermingsrichtlijn (95/46/EC) en de verordening (EU) 2016/679, beter gekend als de Algemene Verordening Gegevensbescherming (“AVG”).

  • Andere toepasbare wetten die gelijkaardig zijn aan, equivalent zijn aan of die de wetten geïdentificeerd in (i) van deze definitie implementeren.

 

Persoonsgegevens”: alle informatie gerelateerd aan een geïdentificeerd of identificeerbaar persoon (“deelnemer”), inclusief zonder beperkingen pseudo-geanonimiseerde gegevens, zoals gedefinieerd in de toepasbare wet en beschreven in het protocol;

Rechten en verplichtingen:

  1. De gegevensverwerker wordt geïnstrueerd om de persoonsgegevens gedurende de looptijd van het protocol te verwerken, uitsluitend met als doelstelling het verzorgen van de gegevensverwerkende taken zoals beschreven in het protocol.

  2. De gegevensverwerker moet verzekeren dat de geautoriseerde personen om de persoonlijke gegevens te verwerken gebonden zijn aan beroepsgeheim of aan een passende wettelijke geheimhoudingsplicht.

  3. De gegevensverwerker zal de noodzakelijke technische als organisatorische maatregelen nemen om te voorkomen dat persoonsgegevens:

    • per ongeluk of onwettig vernietigd, verloren of aangepast worden,

    • zonder toestemming openbaar of beschikbaar gemaakt worden, of

    • anderszins verwerkt in overtreding met de toepasbare wetgeving.

  4. De noodzakelijke technische en organisatorische beveiligingsmeetregelen moeten bepaald worden met aandacht voor:

    • de huidige “state of the art”,

    • de kosten voor implementatie, en

    • de aard, reikwijdte, context en doeleinde van de verwerking, evenals het risico van de waarschijnlijkheid en strengheid voor de rechten en vrijheden van natuurlijke personen.

  5. De gegevensverwerker zal op aanvraag van de gegevenscontroleur voldoende informatie voorleggen om de gegevenscontroleur te verzekeren dat de verplichtingen van de gegevensverwerker inzake gegevensbescherming nagestreefd worden, inclusief aantonen dat de noodzakelijke technische en organisatorische veiligheidsmaatregelen geïmplementeerd zijn.

  6. De gegevenscontroleur is bevoegd om, op eigen kosten, een onafhankelijke expert, redelijk aanvaardbaar voor de gegevensverwerker, aan te stellen die toegang zal hebben tot de gegevensverwerkingsfaciliteiten van de gegevensverwerker en ontvangt de nodige informatie met als enige doel het controleren of de gegevensverwerker de gemelde technische en organisatorische beveiligingsmaatregelen geïmplementeerd heeft en onderhoudt. De expert zal op vraag van de gegevensverwerker een geheimhoudingsovereenkomst ondertekenen en behandeld de ontvangen gegevens in vertrouwen, en mag enkel bevindingen, zoals beschreven onder 8) (ii) onder de gegevenscontroleur, na overleg met de gegevensverwerker,

  7. De gegevensverwerker moet de autoriteiten, of vertegenwoordigers van de autoriteiten, die volgens de wetgeving van de Europese unie of lidstaten het recht hebben om de faciliteiten van de gegevenscontroleur of de faciliteiten van de gegevenscontroleurs’ verwerkers toegang verlenen aan de fysieke faciliteiten van de gegevensverwerker tegen het juiste identificatiebewijs en mandaat, tijdens de werkuren en voorafgaande schriftelijke kennisgeving.

  8. De gegevensverwerker moet de gegevenscontroleur, zonder vertraging, schriftelijk informeren over:

    • elk verzoek om persoonsgegevens, verwerkt in het protocol, openbaar te maken door autoriteiten, tenzij uitdrukkelijk verboden volgens de wetgeving van de Europese unie of lidstaten,

    • elke bevinding van (a) een beveiligingsbreuk die leidt tot het accidenteel of onwettigvernietigen, verliezen, aanpassen, ongeautoriseerd vrijgeven van, of toegang verlenen tot persoonsgegevens, bewaard of anderszins verwerkt door de gegevensverwerker in het protocol, of (b) andere tekortkomingen van de verplichtingen van de gegevensverwerker, of

    • elk verzoek voor toegang tot de persoonsgegevens (met uitzondering van medische gegevens waar de gegevensverwerker beschouwd wordt als gegevenscontroleur) direct ontvangen van de deelnemers of van een derde partij.

  9. Dergelijke meldingen van de gegevensverwerker aan de gegevenscontroleur met betrekking tot een beveiligingsbreuk zoals hierboven gemeld in 8) (ii)(a) zal minstens de volgende informatie omvatten:

    • De aard van de beveiligingsbreuk, benoemen van de categorie en (bij benadering) het aantal deelnemers betroken bij deze breuk, en benoemen van de categorie en (bij benadering) het aantal persoonlijke gegevensregisters getroffen (datasets);

    • De waarschijnlijke gevolgen van de beveiligingsbreuk op de persoonsgegevens;

    • Een voorstel met te nemen maatregelen om de beveiligingsbreuk van persoonsgegevens te behandelen, inclusief (waar mogelijk) maatregelen om de mogelijke negatieve effecten van de beveiligingsbreuk te reduceren.

  10. De gegevensverwerker zal elke beveiligingsbreuk voor persoonsgegevens documenteren (en zal dergelijke documentatie beschikbaar stellen voor de gegevenscontroleur), inclusief de feiten gerelateerd aan de breuk op de persoonsgegevens, de effecten en de geschikte te ondernemen maatregelen. Na consulteren met de gegevenscontroleur, de gegevensverwerker zal de nodige maatregelen ondernemen om de mogelijke negatieve gevolgen van de persoonsgegevensbreuken te beperken (tenzij consultatie niet kan wachten wegens de aard van de persoonsgegevensbreuk).

  11. De gegevensverwerker moet redelijk snel de gegevenscontroleur assisteren (met het behandelen van (a) reacties op alle inbreuken op de beveiliging zoals eerder beschreven in 8) (ii) en (b) elke aanvraag van de deelnemers onder hoofdstuk III van de GDPR, inclusief de aanvragen voor toegang, rechtzetting, blokkering of verwijdering. De gegevensverwerker moet ook de gegevenscontroleur redelijk bijstaan door het implementeren van geschikte technische en organisatorische maatregelen voor het vervullen van de verplichtingen van de gegevenscontroleur voor het verwerken van dergelijke verzoeken. De gegevensverwerker moet de gegevenscontroleur redelijkerwijs assisteren met het voldoen aan de andere verplichtingen die de gegevenscontroleur overeenkomstig de wetgeving van de Europese Unie of de lidstaten dient te hebben, indien de hulp van de gegevensverwerker wordt geïmpliceerd, en waar de assistentie van de gegevensverwerker noodzakelijk is voor de gegevenscontroleur om te voldoen aan zijn/haar verplichtingen. Dit includeert, maar niet gelimiteerd tot, het verzoek om de gegevenscontroleur te voorzien van alle nodige informatie over een incident zoals beschreven onder 8) (ii), en alle nodige informatie voor een impactanalyse in overeenstemming met Artikel 35 en Artikel 36 van de AVG wetgeving.

 

Medeverwerker

  1. Gegevensverwerker mag enkel beroep doen op een medeverwerker, met voorgaande specifieke of algemene geschreven toestemming van de gegevenscontroleur. De gegevensverwerker onderneemt de nodige handelingen om de gegevenscontroleur te informeren over alle voorgenomen veranderingen met betrekking tot de toevoeging of vervanging van een medeverwerker door het voorzien van redelijkerwijze voorgaand schrijven aan de gegevenscontroleur. De gegevenscontroleur redelijkerwijs en in volledige en naar behoren onderbouwde wijze het aanstellen van een medeverwerker weigeren. De gegevensverwerker moet de gegevenscontroleur schriftelijk informeren over de stopzetting van het gebruik van een medeverwerker.

  2. Voor de aanstelling van de medeverwerker zal er een geschreven overeenkomst gemaakt worden tussen de gegevensverwerker en de medeverwerker, waar op zijn minst dezelfde gegevensbeschermingsmodaliteiten zoals beschreven in deze gegevensbeschermingsnota opgelegd worden aan de medeverwerker, inclusief verplichtingen om de toepasbare technische en organisatorische maatregelen en om te garanderen dat de overdracht van persoonsgegevens gedaan wordt in dergelijke wijze dat de verwerking de vereisten respecteert zoals beschreven in de toepasbare wetgeving.

  3. De gegevenscontroleur heeft het recht om een kopie te ontvangen van de relevante bepalingen van de gegevensverwerkers’ overeenkomst met de medeverwerker gerelateerd aan de gegevensverwerkingsverplichtingen. De gegevensverwerker blijft volledig aanspreekbaar ten opzichte van de gegevenscontroleur voor het nakomen van de verplichtingen van de medeverwerker zoals beschreven in deze nota.

© 2019 door het Academisch Centrum voor Huisartsengeneeskunde - KU Leuven