ISOR:Bijzondere persoonsgegevens- m.b.t. gezondheidsgegevens: verschil tussen versies

Uit NORA Online
ISOR:Bijzondere persoonsgegevens- m.b.t. gezondheidsgegevens
Naar navigatie springen Naar zoeken springen
k (1 versie: Import elementen de Privacy Baseline)
k (redactie)
(10 tussenliggende versies door 3 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{#Element:
{{#element:
|Elementtype=Norm
|ID=PRIV_U.01.04.07
|ID=PRIV_U.01.04.07
|Titel=Bijzondere persoonsgegevens, m.b.t. gezondheidsgegevens
|Titel=Bijzondere categorieën persoonsgegevens; gevoelige gegevens, noodzakelijke uitzonderingen wgs. zwaarwegend algemeen belang
|Elementtype=Norm
|Versieaanduiding=3.3
|Is subnorm=0
|Versieaanduiding=3.1
|Gebruik in Nederlandse publieke sector=In gebruik
|Gebruik in Nederlandse publieke sector=In gebruik
|Status actualiteit=Actueel
|Status actualiteit=Actueel
|Practice=CIP
|Practice=CIP
|Redactionele wijzigingsdatum=16-10-17
|Publicatiedatum=2017/10/16
|Publicatiedatum=16-10-17
|Redactionele wijzigingsdatum=2020/06/04
|Toelichting=Persoonsgegevens over gezondheid zijn persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven .
|Beveiligingsaspect=Uitvoering
Deze gegevens hebben betrekking op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. Dit omvat informatie over de natuurlijke persoon die is verzameld in het kader van de registratie voor of de verlening van gezondheidszorgdiensten als bedoeld in Richtlijn 2011/24/EU van het Europees Parlement en de Raad aan die natuurlijke persoon; een aan een natuurlijke persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van die natuurlijke persoon geldt voor gezondheidsdoeleinden; informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van genetische gegevens en biologische monsters en informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de fysiologische of biomedische staat van de betrokkene, ongeacht de bron, zoals bijvoorbeeld een arts of een andere gezondheids-werker, een ziekenhuis, een medisch hulpmiddel of een in-vitro diagnostiek.
|Stelling=De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht:
 
#Nationaalrechtelijke algemene uitzonderingen{{Noot|UAVG|Art. 23}}:
Bijzondere categorieën van persoonsgegevens, die betere bescherming vergen, mogen alleen voor gezondheidsdoeleinden worden verwerkt als dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel. Dit geldt met name bij:
##De verwerking is noodzakelijk ter voldoening aan een volkenrechtelijke verplichting;
* het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten, met inbegrip van de verwerking door de beheersautoriteiten en de centrale nationale gezondheidsinstanties van die gegevens met het oog op kwaliteitscontrole, beheersinformatie en het algemeen nationaal en lokaal toezicht op:
##De gegevens worden verwerkt door de Autoriteit persoonsgegevens of een ombudsman als bedoeld in Art. 9:17 van de Algemene wet bestuursrecht (AWB), en voor zover de verwerking noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken, onder voorwaarde dat bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; of
- het gezondheidszorgstelsel, of:
##De verwerking is noodzakelijk in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt.
- het stelsel van sociale diensten
#Uitzonderingen inzake verwerking van persoonsgegevens waaruit ras of etnische afkomst blijkt{{Noot|UAVG|Art. 25}}:
en
##Verwerking met het oog op de identificatie van de betrokkene, en slechts voor zover de verwerking voor dat doel onvermijdelijk is; of
* bij het waarborgen van de continuïteit van:
##Verwerking met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen, verband houdende met de grond ras of etnische afkomst, op te heffen of te verminderen, en slechts voor zover:
- de gezondheidszorg, of:
###De verwerking voor dat doel noodzakelijk is;
- de sociale diensten en grensoverschrijdende gezondheidszorg, of:
###De gegevens betrekking hebben op het geboorteland van de betrokkene, diens ouders of diens grootouders, dan wel op andere, bij wet vastgestelde criteria op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een bepaalde etnische of culturele minderheidsgroep behoort; en
- voor doeleinden inzake gezondheidsbeveiliging,  bewaking en -waarschuwing, of:
###De betrokkene tegen de verwerking geen schriftelijk bezwaar heeft gemaakt.  
- met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden op basis van het wettelijk recht die aan een doelstelling van algemeen belang moet voldoen, alsook:
#De verwerking van persoonsgegevens waaruit politieke opvattingen blijken voor vervulling openbare functies{{Noot|UAVG|Art. 26}}:
- voor studies van algemeen belang op het gebied van de volksgezondheid.
##de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescolleges.
Derhalve moet de Avg voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën van persoonsgegevens over de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn. Het wettelijke recht moet voorzien in specifieke en passende maatregelen voor de bescherming van de grondrechten en persoonsgegevens van natuurlijke personen.
#De verwerking van persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken voor geestelijke verzorging{{Noot|UAVG|Art. 27}}:
De lidstaten moet worden toegestaan andere voorwaarden te handhaven of in te voeren, waaronder beperkingen met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid. Wanneer deze voorwaarden van toepassing zijn op de grensoverschrijdende verwerking van deze persoonsgegevens, dan mag dit evenwel geen belemmering vormen voor het vrije verkeer van gegevens binnen de Unie.
##De verwerking geschiedt door andere instellingen dan de instellingen, bedoeld in artikel 22, tweede lid, onderdeel c, en voor zover de verwerking noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaakt.
 
##Hierbij worden geen persoonsgegevens aan derden verstrekt zonder toestemming van de betrokkene.
Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om bijzondere categorieën van persoonsgegevens zonder toestemming van de betrokkene te verwerken. Die verwerking moet worden onderworpen aan passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. In dit verband dient "volksgezondheid" overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheids¬toestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheids¬zorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe te leiden dat persoonsgegevens door derden zoals werkgevers of verzekerings¬maatschappijen en banken voor andere doeleinden worden verwerkt.
#De verwerking van genetische gegevens{{Noot|UAVG|Art. 28}}:
##De verwerking vindt plaats met betrekking tot de betrokkene bij wie de desbetreffende gegevens zijn verkregen.
##Hierbij is het verbod om genetische gegevens te verwerken uitsluitend niet van toepassing, indien:
###De betrokkene uitdrukkelijke toestemming heeft gegeven; en
###Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Deze toestemming is niet vereist, indien het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning vergt.
#De verwerking van biometrische gegevens{{Noot|UAVG|Art. 29}}:
##de verwerking vindt plaats ten behoeve van de unieke identificatie van een persoon, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Voor al deze verwerkingen is bepaald dat de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.
|Conformiteitsindicator=rechtvaardiging bijzondere categorieën persoonsgegevens
|Invalshoek=Onbekend
|Toelichting=<br>''Toelichting''<br>
*Genetische gegevens moeten worden gedefinieerd als persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die blijken uit een analyse van een biologisch monster van de persoon in kwestie, met name een chromosoomanalyse, een analyse van desoxyribonucleïnezuur (DNA) of van ribonucleïnezuur (RNA) of uit een analyse van andere elementen waarmee soortgelijke informatie kan worden verkregen{{Noot|AVG|overweging 34}}.
*Biometrische gegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens{{Noot|AVG|Art. 4 lid 14}}.
*Foto's worden niet systematisch beschouwd als verwerking van bijzondere categorieën persoonsgegevens, aangezien foto's alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken{{Noot|AVG|overweging 51}}.
|Heeft bron=de Privacy Baseline
|Heeft bron=de Privacy Baseline
|Beveiligingsaspect=Uitvoering
|Realiseert=ISOR:Doelbinding gegevensverwerking
|Stelling=Er vindt geen verwerking van persoonsgegevens plaats van gegevens over gezondheid, tenzij:
|Kent element met zelfde titel=Nee
* voldaan is aan /04.0, of:
|Is subnorm=Nee
* dit noodzakelijk is met het oog op redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijden-de gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen. In die situatie worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding hiertoe zijn verplicht. Indien de verwerkingsverantwoordelijke gegevens persoonlijk verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudings¬plicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die krachtens het eerste lid bevoegd zijn tot verwerking daarvan.
|Conformiteitsindicator=geautomatiseerde besluitvorming
|Heeft ouder=ISOR:Doelbinding gegevensverwerking
|Heeft ouder=ISOR:Doelbinding gegevensverwerking
|Realiseert=ISOR:Doelbinding gegevensverwerking
}}
}}

Versie van 19 jun 2020 11:33

Logo ISOR normen (een hangslot met de tekst ISOR norm)
ID: PRIV_U.01.04.07
Norm
Versie: 3.3
Status: Actueel
Publicatiedatum: 16-10-2017
Redactionele wijzigingsdatum: 17-2-2022
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de U van Uitvoering
Uitvoering
Invalshoek:
alt=Onbekend link = IFGS Structuur

Onbekend

Bovenliggende principe
Meer in normenkader èn aspect
Alle normen
Alle normenkaders
ISOR (Information Security Object Repository)

Stelling

De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht:

  1. Nationaalrechtelijke algemene uitzonderingenUAVG Art. 23:
    1. De verwerking is noodzakelijk ter voldoening aan een volkenrechtelijke verplichting;
    2. De gegevens worden verwerkt door de Autoriteit persoonsgegevens of een ombudsman als bedoeld in Art. 9:17 van de Algemene wet bestuursrecht (AWB), en voor zover de verwerking noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken, onder voorwaarde dat bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; of
    3. De verwerking is noodzakelijk in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt.
  2. Uitzonderingen inzake verwerking van persoonsgegevens waaruit ras of etnische afkomst blijktUAVG Art. 25:
    1. Verwerking met het oog op de identificatie van de betrokkene, en slechts voor zover de verwerking voor dat doel onvermijdelijk is; of
    2. Verwerking met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen, verband houdende met de grond ras of etnische afkomst, op te heffen of te verminderen, en slechts voor zover:
      1. De verwerking voor dat doel noodzakelijk is;
      2. De gegevens betrekking hebben op het geboorteland van de betrokkene, diens ouders of diens grootouders, dan wel op andere, bij wet vastgestelde criteria op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een bepaalde etnische of culturele minderheidsgroep behoort; en
      3. De betrokkene tegen de verwerking geen schriftelijk bezwaar heeft gemaakt.
  3. De verwerking van persoonsgegevens waaruit politieke opvattingen blijken voor vervulling openbare functiesUAVG Art. 26:
    1. de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescolleges.
  4. De verwerking van persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken voor geestelijke verzorgingUAVG Art. 27:
    1. De verwerking geschiedt door andere instellingen dan de instellingen, bedoeld in artikel 22, tweede lid, onderdeel c, en voor zover de verwerking noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaakt.
    2. Hierbij worden geen persoonsgegevens aan derden verstrekt zonder toestemming van de betrokkene.
  5. De verwerking van genetische gegevensUAVG Art. 28:
    1. De verwerking vindt plaats met betrekking tot de betrokkene bij wie de desbetreffende gegevens zijn verkregen.
    2. Hierbij is het verbod om genetische gegevens te verwerken uitsluitend niet van toepassing, indien:
      1. De betrokkene uitdrukkelijke toestemming heeft gegeven; en
      2. Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Deze toestemming is niet vereist, indien het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning vergt.
  6. De verwerking van biometrische gegevensUAVG Art. 29:
    1. de verwerking vindt plaats ten behoeve van de unieke identificatie van een persoon, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Voor al deze verwerkingen is bepaald dat de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.


Toelichting

  • Genetische gegevens moeten worden gedefinieerd als persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die blijken uit een analyse van een biologisch monster van de persoon in kwestie, met name een chromosoomanalyse, een analyse van desoxyribonucleïnezuur (DNA) of van ribonucleïnezuur (RNA) of uit een analyse van andere elementen waarmee soortgelijke informatie kan worden verkregenAVG overweging 34.
  • Biometrische gegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevensAVG Art. 4 lid 14.
  • Foto's worden niet systematisch beschouwd als verwerking van bijzondere categorieën persoonsgegevens, aangezien foto's alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk makenAVG overweging 51.

Bovenliggende principe(s)

Deze norm realiseert het principe Doelbinding gegevensverwerking via de conformiteitsindicator rechtvaardiging bijzondere categorieën persoonsgegevens.

Grondslag


Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Bijzondere_persoonsgegevens-_m.b.t._gezondheidsgegevens&oldid=43256"