Een VZW actief in de verpleegkundige zorg weigert te reageren op de verzoeken van zorgzoekende tot inzage en gegevenswissing binnen de maand in het kader van de gezondheidszorg. Bovendien gebruikte te gedelegeerd bestuurder van de VZW de verwerkte gegevens voor verkiezingsdoeleinden.
Context
Gegevens die werden verwerkt in het kader van gezondheidszorg werden aangewend voor regionale verkiezingen
Rechtsgrond
Artikel 12.3 GDPR: “De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.”
Artikel 15 GDPR: “De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens (…)”
Artikel 17 GDPR: “De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is: a) de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt; b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking; c) de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2; d) de persoonsgegevens zijn onrechtmatig verwerkt; e) de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust; f) de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.”
Feiten
In deze zaak genoot de zorgzoekende diensten van gespecialiseerde verpleegkundige zorg van de VZW. Plotseling kreeg deze zorgzoekende een brief in de bus van de gedelegeerd bestuurder van de VZW waarbij zij er attent wordt op gemaakt dat zij voor de regionale verkiezingen van mei 2019 op een kieslijst stond.
Naar aanleiding hiervan verzocht zorgzoekende via haar raadsman tot inzage van haar gegevens en om vervolgens deze gegevens te laten wissen. Aangezien de VZW – die als verwerkingsverantwoordelijke werd gekwalificeerd – niet binnen de termijn van 1 maand gevolg heeft gegeven aan het verzoek, werd door de Geschillenkamer besloten tot inbreuk op artikel 12.3 in combinatie met artikel 15 van de GDPR.
Artikel 12.3 GDPR bepaalt namelijk dat de verwerkingsverantwoordelijke de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van, in casu het verzoek tot inzage krachtens artikel 15 GDPR en het verzoek tot gegevenswissing overeenkomstig artikel 17 GDPR, op de hoogte moet brengen van haar beslissing. Het is de verwerkingsverantwoordelijke hierbij niet verplicht om een positief gevolg te geven aan dit verzoek, maar zij moet minstens wel binnen de maand reageren op de verzoeken van de zorgzoekende.
Bovendien is de VZW actief in de gezondheidszorg en is het zeer waarschijnlijk dat de verwerkingsverantwoordelijke bijzondere categorieën gegevens, zoals bedoeld in artikel 9 van de GDPR heeft verwerkt. In casu ging het hier over gezondheidsgegevens. Zorgzoekende had omwille van ernstige gezondheidsproblemen immers gebruikt gemaakt van de diensten van de VZW. Verpleegkundigen zijn dan ook verschillende keren bij haar thuis geweest om verschillende soorten zorg te verlenen.
Wanneer bijzondere categorieën gegevens worden verwerkt, dient men steeds extra voorzichtig te zijn. Het verwerken van gezondheidsgegevens kan immers een aanzienlijk risico inhouden voor de rechten en vrijheden van betrokkenen. Het stilzwijgen van de verwekingsverantwoordelijke (de VZW) is in die context des te zorgwekkender en is het voor de zorgzoekende dan ook zeer belangrijk dat zij de rechtmatige verwerking van deze gegevens kan controleren door gebruik te maken van het recht op toegang en inzage.
Uitspraak
De Geschillenkamer beveelt de VZW om vooreerst binnen 20 werkdagen na kennisgeving van deze beslissing te voldoen aan het verzoek om toegang en het verzoek tot gegevenswissing.
In de tweede plaats legt de Geschillenkamer een administratieve geldboete op van € 2.000,00.
Onze mening
Het is zeer belangrijk om steeds tijdig en gemotiveerd gevolg te geven aan verzoeken van betrokkenen, zoals het recht op toegang en verwijdering. Dit wil niet zeggen dat men als verwerkingsverantwoordelijke steeds akkoord moet gaan met dergelijke verzoeken, maar men moet wel minstens steeds op gemotiveerde wijze reageren waarom men een verzoek al dan niet inwilligt. Het uitblijven van enige reactie binnen de maand na ontvangst van het verzoek, levert automatisch een inbreuk op.
Bovendien gaat het in deze zaak over gezondheidsgegevens. Zij verdienen een extra bescherming gezien de gevoeligheid van deze gegevens. Hoe gevoeliger de gegevens, hoe dwingender de verzoeken om de rechten uit de GDPR uit te oefenen.
Hier is zelfs nog meer aan de hand nu er blijkbaar sprake is van onrechtmatige verwerking door de gedelegeerd bestuurde
Definitief?
Ja
Integrale beslissing