Verwerkt uw organisatie genetische, biometrische of gezondheidsgegevens? Dan heeft u sinds 5 september 2018 een bijkomende registerverplichting wanneer u verwerkingsverantwoordelijke bent van deze persoonsgegevens. Dezelfde verplichting geldt bovendien ook wanneer u strafrechtelijke gegevens verwerkt.

Hieronder geven we beknopt mee wat die verplichting juist met zich meebrengt en hoe u zich in regel kan stellen.

Op 5 september 2018 werd de nieuwe “Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens” gepubliceerd in het Belgisch Staatsblad. Het betreft de Belgische implementatiewet n.a.v. Verordening (EU) 2016/679, ook wel GDPR of AVG genaamd.

Artikel 9 van voornoemde Wet stelt het volgende:

“In uitvoering van artikel 9.4 van de Verordening neemt de verwerkingsverantwoordelijke, bij de verwerking van genetische, biometrische of gezondheidsgegevens, bovendien de volgende maatregelen :

1° hij of, in voorkomend geval, de verwerker wijst de categorieën van personen die toegang hebben tot de persoonsgegevens, aan waarbij hun hoedanigheid ten opzichte van de verwerking van de betrokken gegevens nauwkeurig wordt omschreven;

2° hij of, in voorkomend geval, de verwerker houdt de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de bevoegde toezichthoudende autoriteit;

3° hij zorgt ervoor dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen.”

Naast het (bestaande) verwerkingsregister, moet u nu ook een bijkomend register aanleggen waarin u de categorieën van personen aanwijst die toegang hebben tot de persoonsgegevens die vallen onder de noemer genetische, biometrische of gezondheidsgegevens.

Hoewel in beginsel deze verplichting wordt opgelegd aan de verwerkingsverantwoordelijke, zal vaak ook de verwerker aan deze verplichting moeten voldoen. Bijvoorbeeld op basis van de verwerkersovereenkomst die verwerkers hebben met hun verwerkingsverantwoordelijke. Dit benadrukt nogmaals het belang van de verwerkersovereenkomsten die u afsluit.

Daarnaast moet ook de confidentialiteit voldoende gegarandeerd zijn t.a.v. de personen die met deze specifieke persoonsgegevens in aanmerking komen. Dit kan op wettelijke, statutaire of contractuele basis. Zorg er dus voor dat uw arbeids- en dienstverleningsovereenkomsten een confidentialiteitsclausule bevatten die hierop is afgestemd.

Four & Five maakte een model van register voor het bijhouden van categorieën van personen die toegang hebben tot genetische, biometrische of gezondheidsgegevens. U kan dit model kosteloos opvragen via hello@fourfive.be.

 

Auteur: Nathan Schryvers