Bescherming persoonsgegevens

[AnjaWarring]

Ik heb een uitgebreide vraag over bescherming persoonsgegevens.

 

Wij zijn een concept aan het uitwerken met commercieel doeleind (bij restaurants) waarbij we een bewijs nodig hebben dat de klant een bepaalde operatie (maagverkleining) heeft ondergaan. Bij de huisarts ligt het ontslag papier van de klant in dossier.

Wij willen dit alleen inzien dat de klant daadwerkelijk is geopereerd, hoeft niet opgeslagen te worden.

 

Mogen wij aan de klant de voorwaarde stellen dat zij met toestemming een kopie van dit ontslag papier aan ons doen toekomen?

 

Of moeten wij zelf een formulier maken met alleen een ja/nee vraag die de klant bij de huisarts laat ondertekenen?

 

Al contact gehad met de autoriteit persoonsgegevens, maar zij kunnen ons niet een eenduidig antwoord geven. Waar zou ik dit eventueel verder kunnen onderzoeken?

[Hans van den Bergh]

Welkom op HL.

 

Wellicht uitgebreid bedoeld, maar de vraag is mij nog niet helder door de beperkte informatie ???

 

Waarom zou een restaurant inzage / kennis moeten hebben in / van medische gegevens van een klant voor commerciële doeleinden?

 

In welke hoedanigheid stel je deze vraag?

 

[Ward van der Put]

Inzage in een patiëntdossier is ingrijpend en vereist een verregaande bevoegdheid; kun je niet volstaan met een verklaring van de huisarts of behandelend arts?

Wij willen dit alleen inzien dat de klant daadwerkelijk is geopereerd, hoeft niet opgeslagen te worden.

Indirect bewaar je dan uiteindelijk toch medische persoonsgegevens, zelfs al is dat maar een "voldoet aan de voorwaarde": je registreert daarmee immers dat een klant een bepaalde medische toestand heeft.

 

[AnjaWarring]

We hebben een concept voor een exclusieve klantenkaart voor mensen die een maagverkleining hebben ondergaan. Om deze kaart uit te geven aan de juiste mensen, dienen we te weten of ze daadwerkelijk een verkleining hebben.

 

Wanneer de mensen met toestemmming hun ontslagpapier via de huisarts afgeven aan ons, mag dit of moeten wij dan nog voldoen aan bepaalde eisen i.v.m. persoonsgegevens.

Wij willen geen inzage van het gehele dossier, alleen een bewijs van de verkleining.

 

Op welke manier kunnen wij dit voor elkaar krijgen?

[Hans van den Bergh]

Op welke manier kunnen wij dit voor elkaar krijgen?

 

Duidelijker nu, dank je. Heb je al eens bij artsen, andere, medische zorgverleners of - verzekeraars geïnformeerd hoe je heel zorgvuldig met zoiets om kan gaan?

[AnjaWarring]

Ja zeker!

Zij sturen mij door naar autoriteit persoonsgegevens, maar uit dat gesprek is niets duidelijk geworden wat ik concreet mag of moet doen.

Ik kreeg de algemene regels te horen en niet specifiek in mijn geval of wat ik moest aanpassen.

[Ward van der Put]

Je moet het opsplitsen in twee deelproblemen: (a) je hebt een medische verklaring nodig, bijvoorbeeld van de huisarts, en (b) je bewaart medische persoonsgegevens, omdat alleen al uit het feit dat iemand kaarthouder is, rechtstreeks kan worden afgeleid dat deze een specifieke medische toestand heeft.

 

Voor onder andere abonnementen en klanten/debiteuren is de verwerking van persoonsgegevens weliswaar vrijgesteld, maar ik vermoed dat dit voor deze verwerking te kort door de bocht is. Ik zou de vraag daarom toch schriftelijk voorleggen aan de Autoriteit Persoonsgegevens.

[Hans van den Bergh]

Zo'n pas zou dus, als ik het goed begrijp, duidelijk maken dat iemand met een maagverkleining iets moet kunnen tonen in een restaurant zodat daar rekening mee kan worden gehouden? Dan zou je haast denken dat het net zoiets is als een voorziening voor mindervaliden o.i.d. is, zou je meer te weten kunnen komen bij instanties die voorzien in medische hulpmiddelen?

 

[JohnUpwards]

Om deze kaart uit te geven aan de juiste mensen, dienen we te weten of ze daadwerkelijk een verkleining hebben.

En wat is het probleem om je klant simpelweg op zn ogen te geloven ?

 

[Ron van der Kolk]

En wat is het probleem om je klant simpelweg op zn ogen te geloven ?

Je kan de cliënt om een bewijs vragen. Je kan de cliënt ook vragen om iets door de huisarts te laten ondertekenen, maar huisartsen doen dat liever niet en geven de cliënt liever een afschrift van (een deel van) het dossier. Je kan de klant ook zelf de vraag stellen. Maakt allemaal niet uit, want zodra de klant wil antwoorden of bewijs wil overleggen, moet je je ogen sluiten, je vingers in je oren doen en heel hard "la, la, la" zingen.

 

Zulke gegevens mag je namelijk niet aannemen, laat staan opslaan of gebruiken. Medische gegevens zijn bijzondere persoonsgegevens en die mogen jullie niet verwerken, tenzij je in de wet een grondslag vindt om dat te doen. De commerciële reden die je aandraagt is daarvoor niet voldoende. Als je alsnog je bedrijfsmodel ombuigt om een grondslag te creëren, dan krijg je te maken met een enorme hoeveelheid wet- en regelgeving over het verwerken en beschermen van deze gegevens.

 

Voor onder andere abonnementen en klanten/debiteuren is de verwerking van persoonsgegevens weliswaar vrijgesteld, maar ik vermoed dat dit voor deze verwerking te kort door de bocht is.

Dat is zeker kort door de bocht, want die "vrijstellingen" kennen strikte voorwaarden. Bij abonnementen mogen beslist geen bijzondere persoonsgegevens worden geregistreerd, dat staat er al bij:

Deze gegevens mogen geen zogenoemde bijzondere gegevens zijn in de zin van hoofdstuk 2 paragraaf 2 Wbp (onder meer gegevens over iemands godsdienst of gezondheid).

 

Bij afnemers en leveranciers ligt dat wat genuanceerder; er is een uitzondering voor:

gegevens die betrekking hebben op iemands gezondheid (als bedoeld in artikel 16 Wbp) voor het uitvoeren van een dienstverleningsovereenkomst;

Van art. 16 wbp kom je vervolgens bij art. 21 Wbp voor de uitzonderingen op "het verbod om persoonsgegevens betreffende iemands gezondheid te verwerken". Aan de daar genoemde voorbeelden voldoet het bedrijf van TS mijns inziens niet. Het gaat immers niet om een hulpverlener, instelling of voorziening voor gezondheidszorg, verzekeraar, school, reclasseringsinstelling, minister, bestuursorgaan, pensioenfonds, werkgever of instelling voor re-integratie.

 

Op welke manier kunnen wij dit voor elkaar krijgen?

Misschien kun je eromheen werken: de pasjes uitdelen aan artsen die de pasjes aan cliënten kunnen verstrekken. De restaurants mogen wel korting geven, maar niet registreren welk pasjes waar wordt gebruikt en de eter moet anoniem blijven. Er is dan geen registratie van pashouders en hun gegevens wat waarschijnlijk een probleem omzeilt, maar juist dat zal waarschijnlijk een groot deel van de basis onder het bedrijfsplan wegslaan; juist die gegevens leveren wat op bij loyalty programma's.

 

[AnjaWarring]

Dank jullie wel voor de info.

 

Ik ga er zeker mee aan de slag en verder contact opnemen met autoriteit persoonsgegevens.

Alle op- en aanmerkingen hoor ik graag!

[Branko Collin]

In de restaurantwereld hebben ze er tegenwoordig blijkbaar last van dat zoveel klanten liegen over allergieën. Het kost veel moeite om de keuken en de maaltijd allergeenvrij te krijgen, maar koks doen dat graag, omdat ze liever niet klanten zien opzwellen of flauwvallen. Maar veel moeite doen voor leugenaars gaat gewoon ten koste van je bottom line.

 

Je zou eens kijken naar hoe restaurants met die problematiek omgaan en kijken of dat toe te passen is op jouw probleem.

 

Twee oplossingen die ik tegenkwam:

 

- Gespecialiseerde restaurants die alleen maar maaltijden volgens jouw dieet bereiden. Voorbeelden: vegetarische restaurants, koshere restaurants. Dit levert geen probleem met privacywetgeving op, omdat ook vleeseters vegetarisch mogen eten. Het simpele feit dat iemand jouw restaurant binnenloopt, levert daarmee geen gevoelige informatie op.

 

- Van tevoren laten reserveren betekent dat je echt wat hebt. Dat is de ervaring met de valse-allergieën-plaag: mensen die liegen, melden pas in het restaurant dat ze een allergie hebben. Mensen die echt een allergie hebben, nemen geen risico's en kijken van tevoren hoe een restaurant met hun allergie omgaat.