Privacy

NIS2-richtlijn: tips om je als organisatie voor te bereiden op deze nieuwe regelgeving

NIS2-richtlijn: tips om je als organisatie voor te bereiden op deze nieuwe regelgeving 525 400 Ekelmans Advocaten
NIS2-richtlijn voor cyberbeveiliging
Leestijd: 4 minuten
Lesedauer: 4 Minuten
Reading time: 4 minutes

Binnenkort treedt in Nederland de NIS2-richtlijn in werking. Het is de opvolger van NIS-richtlijn en richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Organisaties die onder de NIS2-richtlijn vallen, moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen. Advocaat Anne-Mieke Dumoulin-Siemens bespreekt in deze blog wat de richtlijn inhoudt, wat dit voor jouw organisatie betekent en welke voorbereidingen je al kunt treffen.

Cyberbeveiliging verdient aandacht

Bedrijven hebben te maken met toenemende digitalisering en cyberincidenten. Op EU-niveau worden de uitdagingen op het gebied van cyberbeveiliging aangepakt met een reeks aan nieuwe regelgeving. Zo is sinds enige tijd de NIS2-richtlijn van kracht. De Network and Information Security Directive 2 (NIS2) moet de cyberbeveiliging en digitale weerbaarheid van organisaties in de EU-lidstaten verbeteren. De NIS2-richtlijn bevat minimum eisen en moet uiterlijk op 17 oktober 2024 zijn geïmplementeerd in Nederlandse wetgeving. Zodra de Nederlandse wetgeving in werking treedt, moeten de in de richtlijn aangewezen sectoren voldoen aan de verplichtingen uit de NIS2-richtlijn, zoals die dan in Nederlandse wetgeving zullen zijn neergelegd.

NIS2-richtlijn heeft een breed toepassingsbereik

De NIS2-richtlijn is van toepassing op een groot aantal sectoren, zoals de gezondheidszorg, transportbedrijven en aanbieders van energie. Maar ook supermarkten, waterbeheerbedrijven en digitale aanbieders moeten zich voorbereiden op de verplichtingen in de NIS2-richtlijn. De NIS2-richtlijn spreekt over zeer kritieke sectoren en andere kritieke sectoren. Er zijn elf zeer kritieke sectoren: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheid en ruimtevaart. Daarnaast kent de NIS2-richtlijn zeven andere kritieke sectoren: post- en koeriersdiensten, afvalstoffenbeheer, de chemische industrie, de levensmiddelen industrie, de maakindustrie, digitale aanbieders, onderzoek. Organisaties die onder één van de genoemde sectoren vallen, moeten risicobeheersmaatregelen treffen en voldoen aan rapportageverplichtingen op het gebied van cyberbeveiliging.

Hoe weet je of jouw organisatie onder de NIS2-richtlijn valt?

De organisatie moet tot één van de zeer kritieke of andere kritieke sectoren behoren. Daarnaast is de omvang van de organisatie van belang en de vraag of de organisatie een sleutelrol vervult in de samenleving. Als blijkt dat de NIS2-richtlijn van toepassing is, moet je nagaan of jouw organisatie een ‘essentiële’ of een ‘belangrijke’ organisatie is. De overheid heeft een zelfevaluatie opgesteld NIS 2 Zelfevaluatie NL (regelhulpenvoorbedrijven.nl). Via deze zelfevaluatie bepaal je of de NIS2-richtlijn van toepassing is op jouw organisatie.

Over welke maatregelen praten wij?

Organisaties moeten kort gezegd passende technische, operationele en organisatorische maatregelen nemen om de cyberbeveiliging en digitale weerbaarheid van hun organisatie te verbeteren. Organisaties moeten de cyberrisico’s in kaart brengen en het beveiligingsniveau van hun netwerk- en informatiesystemen daarop afstemmen. Zo moeten een groot bedrijf die aan grote risico’s is blootgesteld, meer maatregelen nemen dan een kleine onderneming waar de kans op een incident met grote maatschappelijke en economische impact klein is. Bij cyberbeveiligingsmaatregelen moet je denken aan incidentenbehandeling, back-up beheer, beveiliging van de toeleveringsketen, cyberhygiëne, opleiding van personeel, toegangsbeleid èn beleid om de effectiviteit van deze maatregelen te meten.

Welke verplichtingen legt de NIS2-Richtlijn nog meer op?

Governance

De NIS2-richtlijn legt de verantwoordelijkheid voor de cybermaatregelen bij de bestuurders. De bestuursorganen van essentiële en belangrijke organisaties moeten de beveiligingsmaatregelen die worden getroffen goedkeuren en toezien op de uitvoering daarvan. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor inbreuken op de beveiligingsverplichtingen. Bestuurders moeten een opleiding volgen, zodat zij voldoende kennis verwerven om de cyberrisico’s te kunnen identificeren en de gevolgen daarvan te kunnen beoordelen.

Rapportageverplichtingen/Meldplicht

Essentiële en belangrijke organisaties moeten elk incident dat aanzienlijke gevolgen heeft voor de verlening van haar diensten onverwijld melden. Denk daarbij aan incidenten die een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken organisatie (kunnen) veroorzaken. Of een incident dat aanzienlijke materiële of financiële schade aan andere (rechts)personen veroorzaakt of kan veroorzaken. Een eerste melding moet binnen 24 uur worden gedaan bij de bevoegde autoriteiten, gevolgd door een update uiterlijk 48 uur na de eerste melding. Let op dat er ook moet worden gemeld als een incident aanzienlijke gevolgen kan hebben.

Welke voorbereidingen kunnen organisaties alvast treffen?

De overheid is doende de NIS2-richtlijn naar Nederlandse wetgeving te vertalen. Een wetsvoorstel is nog niet gepubliceerd. Op dit moment is alleen duidelijk aan welke minimumeisen zal moeten worden voldaan, omdat deze blijken uit de NIS2-richtlijn.

In afwachting van de inbedding in nationale wetgeving zou je alvast het volgende kunnen doen:

  • Stel aan de hand van de NIS2 Zelfevaluatie vast of jouw organisatie onder de werking van de NIS2-richtlijn valt;
  • Breng in kaart in hoeverre het bestuur aan de governance-verplichtingen voldoet;
  • Stel vast wat de kwaliteit is van de bestaande technische, operationele en organisatorische beveiligingsmaatregelen, inclusief de monitoringmechanismen;
  • Bepaal of de organisatie kan voldoen aan de rapportageverplichtingen en meldplichten.

Vragen of advies over de NIS2-richtlijn en de implementatie?

Heb je behoefte aan een nadere toelichting op de governance-verplichtingen of vragen over de rapportageverplichtingen en meldplichten, neem dan contact op met Anne-Mieke Dumoulin-Siemens.

Meer weten over cyber security?

Organisaties beschikken over veel vertrouwelijke informatie. De verwerking van (bijzondere) persoonsgegevens neemt toe. Ook is er steeds meer bedrijfsinformatie digitaal beschikbaar. Al deze data zijn goud waard. Komen gegevens bij de verkeerde mensen in handen, dan heeft dit mogelijk kostbare bedrijfs- en reputatieschade tot gevolg. De vertrouwelijke informatie binnen een organisatie levert soms lastige vragen op. Onze Cyber Security experts adviseren over de impact van cyber security op de bedrijfsvoering.

Auteur

Anne-Mieke Dumoulin-Siemens is specialist ondernemingsrecht en privacyrecht. Zij is een kundige gesprekspartner voor (internationale) commerciële ondernemingen en non-profit organisaties. Cliënten waarderen haar juridische adviezen vanwege de praktische en commerciële uitvoerbaarheid ervan.

Lancering ‘Dubbele Claim Detector (DCD)’ door het Innovatieplatform Verbond van Verzekeraars

Lancering ‘Dubbele Claim Detector (DCD)’ door het Innovatieplatform Verbond van Verzekeraars 722 550 Ekelmans Advocaten
Lancering Dubbele Claim Detector met Astrid van Noort
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes

Astrid van Noort was als spreker aanwezig bij de lancering van de ‘Dubbele Claim Detector (DCD)’ door het Innovatieplatform van het Verbond van Verzekeraars.

Ekelmans Advocaten heeft het Verbond van Verzekeraars bij de ontwikkeling van deze Dubbele Claim Detector geadviseerd over een veilige en verantwoorde wijze van gegevensuitwisseling tussen verzekeraars binnen het kader van de AVG.

Met de Dubbele Claim Detector is een belangrijke tool ontwikkeld die verzekeraars helpt om de betaling van dubbele claims te voorkomen en mogelijke fraude te signaleren. Daarmee worden de integere bedrijfsvoering en risicobeheersing door de verzekeraar in belangrijke mate bevorderd.

Meer weten over het privacyrecht?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. U moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit uw branche. Onze Privacy Desk helpt u om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van uw klanten te waarborgen.

Auteur

Astrid van Noort is partner Verzekering & Aansprakelijkheid en strategisch AVG expert voor grote verzekeraars. Zij bedenkt praktische, werkbare en commercieel aantrekkelijke oplossingen voor ingewikkelde problemen. Daarnaast is zij gespecialiseerd in personenschade, inkomens- en ziekteverzuimverzekeringen en zorgverzekeringen. 

Vijf vragen over Dora (de Europese Verordening Digital Operational Resilience Act)

Vijf vragen over Dora (de Europese Verordening Digital Operational Resilience Act) 525 400 Ekelmans Advocaten
Blog afbeelding (500 x 400 px) (6)
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes

Dora is begin dit jaar in werking getreden en bevat uniforme eisen voor de beveiliging van netwerk- en informatiesystemen. Verzekeraars hebben twee jaar de tijd om zich voor te bereiden. Wat verandert er? En wat komt er op verzekeraars af?

Dora is begin dit jaar in werking getreden en bevat uniforme eisen voor de beveiliging van netwerk- en informatiesystemen. Verzekeraars hebben twee jaar de tijd om zich voor te bereiden. Wat verandert er? En wat komt er op verzekeraars af?

Het Verbond van Verzekeraars stelde advocaat Anne-Mieke Dumoulin-Siemens vijf vragen:

1. Wat komt er met Dora op verzekeraars en andere financiële dienstverleners af?

2. Verandert er veel voor Nederlandse verzekeraars?

3. Waarom? Zijn bestuursleden zich nu onvoldoende bewust van cyberdreiging en risico’s?

4. Even wachten met welke eisen de Europese Toezichtautoriteiten dit jaar komen, is zeker geen goed idee?

5. Wat raad jij verzekeraars aan?

Meer weten over cyber security?

Organisaties beschikken over veel vertrouwelijke informatie. De verwerking van (bijzondere) persoonsgegevens neemt toe. Ook is er steeds meer bedrijfsinformatie digitaal beschikbaar. Al deze data zijn goud waard. Komen gegevens bij de verkeerde mensen in handen, dan heeft dit mogelijk kostbare bedrijfs- en reputatieschade tot gevolg. De vertrouwelijke informatie binnen een organisatie levert soms lastige vragen op. Onze Cyber Security experts adviseren over de impact van cyber security op de bedrijfsvoering.

Auteur

Anne-Mieke Dumoulin-Siemens is specialist ondernemingsrecht en privacyrecht. Zij is een kundige gesprekspartner voor (internationale) commerciële ondernemingen en non-profit organisaties. Cliënten waarderen haar juridische adviezen vanwege de praktische en commerciële uitvoerbaarheid ervan.

De privacyaspecten van de Sanctiewet en Wwft

De privacyaspecten van de Sanctiewet en Wwft 525 400 Ekelmans Advocaten
Blog afbeelding (500 x 400 px) (7)
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes
Expertise:

Verzekeraars moeten weten met wie zij in zee gaan, maar moeten zich ook aan de privacyregels houden. Hoe borg je compliance met Wwft en Sanctiewet, terwijl je tegelijkertijd de privacy van je klanten respecteert?

Advocaat Anne-Mieke Dumoulin-Siemens behandelde de vragen en dilemma’s die je daarbij tegenkomt tijdens een webinar, speciaal voor medewerkers/specialisten die zich bezighouden met privacy, Wwft, Sanctiewet en compliance.

Webinar terugkijken?

Het is mogelijk om het webinar van het Verbond van Verzekeraars terug te kijken. Voor medewerkers werkzaam bij een lid van het Verbond van Verzekeraars zijn aan deelname geen kosten verbonden. Dit webinar valt onder het lidmaatschap. Weet je niet zeker over jouw organisatie lid is van het Verbond van Verzekeraars check dan de ledenlijst.

Voor medewerkers die aangesloten zijn bij Adfiz en NVGA bedragen de deelnamekosten € 55,- (excl. BTW).
Voor overige geïnteresseerden bedragen de kosten € 75,- (excl. BTW).

Je kunt je registreren via OnlineSeminar door een e-mail te sturen waarin je akkoord gaat met de betalingsvoorwaarden. Vervolgens ontvang je de link om het webinar terug te kijken.

Meer weten over het privacyrecht?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. U moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit uw branche. Onze Privacy Desk helpt u om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van uw klanten te waarborgen.

Auteur

Anne-Mieke Dumoulin-Siemens is specialist ondernemingsrecht en privacyrecht. Zij is een kundige gesprekspartner voor (internationale) commerciële ondernemingen en non-profit organisaties. Cliënten waarderen haar juridische adviezen vanwege de praktische en commerciële uitvoerbaarheid ervan.

Update: UBO-register gaat in fasen weer van het slot – maar niet voor iedereen

Update: UBO-register gaat in fasen weer van het slot – maar niet voor iedereen 2560 1920 Ekelmans Advocaten
UBO-register
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes
Expertise:

In november 2022 berichtte ik dat de Kamer van Koophandel het UBO-register tijdelijk heeft afgesloten, omdat het Europees Hof van Justitie (EHvJ) een deel van de Europese regels over het UBO-register ongeldig heeft verklaard. Tot op de dag van vandaag wordt er geen informatie uit het UBO-register verstrekt.

Gefaseerde heropening UBO-register

De uitspraak van het EHvJ bepaalt dat het UBO-register niet meer voor elk lid van de bevolking mag worden opengesteld. De overheid werkt nu aan een gefaseerde heropening van het UBO-register. Naar aanleiding van de uitspraak is vastgesteld dat de toegang tot het UBO-register beperkt moet worden tot bevoegde autoriteiten, de Financial Intelligence Unit, instellingen die ongebruikelijke transacties moeten melden en personen en organisaties die een legitiem belang kunnen aantonen.

De toegang tot het UBO-register zal voor de bevoegde autoriteiten en de FIU zo snel mogelijk worden hersteld. Ook de instellingen met een meldplicht zullen spoedig weer informatie uit het UBO-register kunnen opvragen.

Legitiem belang

Ten aanzien van de groep personen en organisaties met een legitiem belang onderkent de overheid dat het ingewikkeld is om deze diverse groepen te identificeren. Denk aan aan de pers, bepaalde maatschappelijke organisaties, personen die transacties willen aangaan en schadeverzekeraars die een onderzoeksplicht hebben op basis van sanctieregelgeving. De overheid stelt op dit moment een lijst van indicatoren op die invulling moeten geven aan het begrip ‘legitiem belang’. Totdat duidelijk is wat ‘legitiem belang’ is en wie zo’n belang heeft, blijft het UBO-register gesloten voor personen en organisaties met een legitiem belang.

Registratieverplichting

De uitspraak van het Hof heeft geen gevolgen voor de verplichting tot registratie in het UBO-register. Uiteindelijk begunstigden moeten zich registreren, voor zover zij dat nog niet hebben gedaan. In mijn eerdere blog beantwoord ik de vraag voor wie de verplichting tot inschrijving in het UBO-register geldt. 

Meer weten over het privacyrecht?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. U moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit uw branche. Onze Privacy Desk helpt u om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van uw klanten te waarborgen.

Auteur

Anne-Mieke Dumoulin-Siemens is specialist ondernemingsrecht en privacyrecht. Zij is een kundige gesprekspartner voor (internationale) commerciële ondernemingen en non-profit organisaties. Cliënten waarderen haar juridische adviezen vanwege de praktische en commerciële uitvoerbaarheid ervan.

UBO-register tijdelijk afgesloten voor het publiek, de registratieverplichting geldt nog steeds

UBO-register tijdelijk afgesloten voor het publiek, de registratieverplichting geldt nog steeds 2560 1920 Ekelmans Advocaten
UBO-register
Leestijd: 3 minuten
Lesedauer: 3 Minuten
Reading time: 3 minutes
Expertise:

Het is niet acceptabel dat willekeurige leden van de bevolking (financiële) informatie over een UBO kunnen opvragen. Dat heeft het Europese Hof van Justitie bepaald. Het UBO-register is daarom tijdelijk afgesloten voor het publiek. Wat houdt deze uitspraak in? En wat zijn gevolgen voor het UBO-register en de registratieverplichting?

Anti-witwasrichtlijn ter voorkoming van financieel-economische criminaliteit

Het UBO-register en de verplichting om te registeren is gebaseerd op de Europese vierde en vijfde anti-witwasrichtlijn. Deze richtlijn heeft als doel om financieel-economische criminaliteit tegen gaan. Hierbij kan je denken aan corruptie, witwassen, belastingontduiking, fraude en financiering van terrorisme.

Ondernemingen moeten hun uiteindelijk begunstigden registeren in dit UBO-register. Een deel van deze informatie (naam, geboortemaand en jaar, nationaliteit, woonstaat, aard en omvang van het economisch belang in de onderneming) was tot voor kort voor iedereen toegankelijk. Iedereen kon tegen een geringe vergoeding een uittreksel uit het UBO-register opvragen.

“De bepaling in de antiwitwasrichtlijn dat informatie over een UBO in alle gevallen voor elk lid van de bevolking toegankelijk moet zijn, is ongeldig”

Uitspraak Europees Hof over openbaarheid van het UBO-register

Het Europees Hof van Justitie (Hof) heeft in zijn uitspraak van 22 november 2022 een deel van de Europese regels over het UBO-register ongeldig verklaard. Volgens het Hof vormt de toegang voor het grote publiek tot informatie over een UBO een ernstige inmenging in de grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens. Het is niet acceptabel dat willekeurige leden van de bevolking (financiële) informatie over een UBO kunnen krijgen zonder dat zij daar een belang bij hebben dat verband houdt met het doel van de richtlijn. Namelijk voorkoming van witwassen en financiering van terrorisme. UBO’s lopen vooral ook risico, omdat de gegevens uit het UBO-register na verstrekking zonder belemmering kunnen worden opgeslagen en verspreid. De bepaling in de antiwitwasrichtlijn dat informatie over een UBO in alle gevallen voor elk lid van de bevolking toegankelijk moet zijn, is ongeldig, aldus het Hof.

Welke gevolgen heeft dit voor het Nederlandse UBO-register en registratieverplichting?

De Kamer van Koophandel heeft, op verzoek van minister Kaag, het UBO-register tijdelijk afgesloten voor het publiek. Dit betekent dat tijdelijk geen informatie uit het UBO-register kan worden opgevraagd. In de komende dagen zal worden bezien welke informatieverstrekkingen nog wel mogelijk zijn. De uitspraak van het Hof heeft geen gevolgen voor de verplichting tot registratie in het UBO-register. Uiteindelijk begunstigden moeten zich registreren, voor zover zij dat nog niet hebben gedaan. In mijn eerdere blog beantwoord ik de vraag voor wie de verplichting tot inschrijving in het UBO-register geldt.

Meer weten over het privacyrecht?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. U moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit uw branche. Onze Privacy Desk helpt u om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van uw klanten te waarborgen.

Auteur

Anne-Mieke Dumoulin-Siemens is specialist ondernemingsrecht en privacyrecht. Zij is een kundige gesprekspartner voor (internationale) commerciële ondernemingen en non-profit organisaties. Cliënten waarderen haar juridische adviezen vanwege de praktische en commerciële uitvoerbaarheid ervan.

Heeft een betrokkene recht op inzage in het door of namens de verzekeraar gevormd schadedossier?

Heeft een betrokkene recht op inzage in het door of namens de verzekeraar gevormd schadedossier? 1512 1006 Ekelmans Advocaten
Schadedossier inzagerecht
Leestijd: 5 minuten
Lesedauer: 5 Minuten
Reading time: 5 minutes

De realiteit van onze datagedreven samenleving is dat wij niet precies weten welke gegevens er over ons worden verwerkt. Wij hebben het recht om persoonsgegevens in te zien die over ons zijn verzameld , zodat wij ons van het gebruik daarvan kunnen vergewissen en kunnen nagaan of onze persoonsgegevens rechtmatig worden gebruikt. Het inzagerecht lijkt een algemeen en breed geformuleerd recht. Betekent dit dat een betrokkene recht op inzage heeft in het (gehele) schadedossier dat de verzekeraar heeft opgesteld? In dit blog geef ik antwoord op deze vraag.

Bron: VAST 2022 / B-0034, Anne-Mieke Dumoulin-Siemens, e-ISSN 2667-307X, M.A.D.Lex

Definitie persoonsgegevens en reikwijdte inzagerecht

Het inzagerecht van artikel 15 Algemene Verordening Gegevensbescherming (AVG) heeft alleen betrekking op persoonsgegevens. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 lid 1 AVG). De hiervoor geformuleerde vraag lijkt daarmee te kunnen worden beantwoord: de betrokkene heeft recht op inzage in de persoonsgegevens die de verzekeraar van hem in het schadedossier heeft opgenomen. Echter, dit antwoord moet op basis van jurisprudentie worden genuanceerd.

De reikwijdte van het begrip persoonsgegevens bepaalt welke gegevens de verzekeraar op grond van het inzagerecht aan de betrokkene moet verstrekken. Volgens het Europees Hof van Justitie (HvJ EU) moet het begrip persoonsgegevens ruim worden uitgelegd. Zo oordeelde het HvJ EU dat feitelijke of waarderende uitlatingen over eigenschappen, opvattingen of gedragingen van een persoon, persoonsgegevens zijn. In de Nowak-zaak (ECLI:EU:C:2017:994) ging het om een analyse door een examinator van het examen van een examenkandidaat.

De rechtspraak in Nederland heeft het inzagerecht met betrekking tot het schadedossier op basis van de definitie van persoonsgegevens nader ingevuld en verduidelijkt. Een schadedossier bestaat uit verschillende documenten. Zo kan het interne notities, telefoonnotities en correspondentie tussen de verzekeraar en diens advocaat bevatten, maar ook medische adviezen. Hierna geef ik aan of, en zo ja in hoeverre, deze documenten persoonsgegevens zijn en dus onder de reikwijdte van het inzagerecht vallen. Ik wijs er daarbij kort op dat het in beginsel volstaat om een overzicht van de persoonsgegevens aan de betrokkene te verstrekken. De betrokkene kan op basis van de huidige rechtspraak niet het recht aan de AVG ontlenen een kopie te verkrijgen van de documenten waarin de persoonsgegevens staan.

Welke documenten uit het schadedossier vallen onder het inzagerecht?

  1. Interne notities en Telefoonnotities
    Notities die uitsluitend de persoonlijke gedachten of (beleids)opvattingen van medewerkers van de verzekeraar of van derden bevatten en die uitsluitend bedoeld zijn voor intern overleg, beraad of besluitvorming, zijn geen persoonsgegevens en vallen niet onder het inzagerecht. Wanneer een notitie echter (ook) persoonsgegevens bevat, moet men deze persoonsgegevens bij een inzageverzoek aan de betrokkene verstrekken. Dat kan bijvoorbeeld door een kopie van de notitie te verstrekken waarin de persoonlijke gedachten en interne aantekeningen zwart gemaakt zijn (HvJ EU 17 juli 2014 (IND), ECLI:EU:C:2014:2081 r.o 58) of door een overzicht van de persoonsgegevens te verschaffen. Let wel, het volstaat niet om een notitie als titel ‘interne notitie’ mee te geven. Daarmee valt de notitie niet automatisch buiten het bereik van het inzagerecht. Het gaat om de inhoud van de notitie. Mijn advies aan de verzekeraar is om aandacht te besteden aan wat hij vastlegt in een interne notitie. Overwegingen die de betrokkene betreffen, kwalificeren in beginsel als een persoonsgegeven en moet de verzekeraar bij een inzageverzoek verstrekken.
  2. Stukken relatie verzekeraar en advocaat
    De betrokkene heeft geen recht op inzage in de correspondentie tussen de verzekeraar en zijn advocaat. Dat valt onder de bescherming van de vertrouwelijke relatie tussen beiden.
  3. Medisch advies
    Het is de vraag of medisch advies een persoonsgegeven is. De kans bestaat dat de Hoge Raad zijn standpunt hierover gaat wijzigen. In het Waterlandziekenhuis-arrest (ECLI:NL:HR:2018:365) oordeelde de Hoge Raad eerder nog dat een medisch advies geen persoonsgegeven betreft.

Is een analyse van persoonsgegevens (gezondheidsgegevens) zelf ook een persoonsgegeven?

Een medisch adviseur beoordeelt in opdracht van de verzekeraar het medisch dossier van een patiënt en geeft daarover een oordeel. In letselschadedossiers gebruikt de verzekeraar de analyse van de medisch adviseur bij de beslissing of een uitkering kan worden gedaan. In geval van een beroepsaansprakelijkheidsdossier onderzoekt de medisch adviseur of de behandeling van de desbetreffende patiënt door de behandelend arts volgens de regels plaatsvond. In beide voorbeelden baseert de medisch adviseur zijn analyse op de gezondheidsgegevens van de patiënt zonder deze zelf aan een (lichamelijk) onderzoek te onderwerpen. De vraag hierbij is of een analyse van persoonsgegevens (gezondheidsgegevens) zelf ook een persoonsgegeven is.

De algemene opvatting in de rechtspraak is dat een dergelijke medische analyse geen persoonsgegeven is en dus niet onder het inzagerecht valt (Waterlandziekenhuis-arrest (ECLI:NL:HR:2018:365). De medische analyse – zo is de redenering – verzamelt geen nieuwe persoonsgegevens van de patiënt, omdat die niet berust op een onderzoek waaraan de patiënt werd onderworpen. Ook is het medisch advies niet opgesteld in het kader van de behandeling van de patiënt en is het niet noodzakelijk voor een goede medische hulpverlening aan de patiënt. De patiënt in kwestie heeft dus op grond van artikel 15 AVG wel recht op inzage in zijn medisch dossier, maar niet op inzage in het medisch advies.

Cassatie in het belang der wet tegen een beslissing van het Centraal Tuchtcollege voor de Gezondheidszorg

Recent heeft advocaat-generaal T. Hartlief (hierna: Hartlief) een oordeel van het Centraal Tuchtcollege voor de Gezondheidszorg in een beroepsaansprakelijkheidskwestie aangegrepen om cassatie in het belang van de wet in te stellen bij de Hoge Raad. Hartlief verzoekt de Hoge Raad de vraag te beantwoorden of een betrokkene doorgaans recht zal hebben op inzage in een medisch advies waaraan zijn medische gegevens ten grondslag liggen. Hij is zelf van mening – zo schrijft hij in zijn conclusie aan de Hoge Raad (ECLI:NL:PHR:2022:762) – dat een medisch advies wel een persoonsgegeven is. Daarom is het volgens Hartlief verdedigbaar dat artikel 15 AVG in beginsel wel een recht op inzage in een medisch advies schept. Als de analyse van een examinator over het examen van een examenkandidaat een persoonsgegeven is (zie de Nowak-zaak waaraan ik hiervoor refereer), waarom zou de analyse van een medisch adviseur dat dan niet zijn, zo vraagt Hartlief zich af.

Toch zal het beroep van een betrokkene op inzage in een medisch advies volgens Hartlief niet kunnen slagen. Het inzagerecht is immers geen absoluut recht, maar kan worden beperkt door de rechten en vrijheden van anderen (artikel 15 lid 4 jo. 23 AVG), in dit geval het recht van het ziekenhuis op grond van artikel 6 EVRM op verdediging en ongestoorde standpuntbepaling. Een ziekenhuis of een aansprakelijkheidsverzekeraar moet een medisch adviseur om advies kunnen vragen zonder het risico te lopen dat de medische analyse aan de patiënt/wederpartij moet worden openbaard.

Uitspraak van de Hoge Raad volgt

Als de Hoge Raad de conclusie van Hartlief volgt, heeft dit (verstrekkende) gevolgen voor de reikwijdte van het inzagerecht. Als het medisch advies een persoonsgegeven is, valt het onder het inzagerecht. De verzekeraar kan een inzageverzoek niet meer afdoen met een korte en algemeen geformuleerde verwijzing naar het feit dat een medisch advies geen persoonsgegeven is. De verzekeraar zal moeten onderbouwen waarom zijn recht op ongestoorde gedachtewisseling in het specifieke geval zwaarder weegt dan het recht van de betrokkene op inzage in het medisch advies. Het arrest van de Hoge Raad wordt verwacht op 31 maart 2023. Dan weten wij meer.

Meer weten over het privacyrecht?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. U moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit uw branche. Onze Privacy Desk helpt u om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van uw klanten te waarborgen.

Auteur

Anne-Mieke Dumoulin-Siemens is specialist ondernemingsrecht en privacyrecht. Zij is een kundige gesprekspartner voor (internationale) commerciële ondernemingen en non-profit organisaties. Cliënten waarderen haar juridische adviezen vanwege de praktische en commerciële uitvoerbaarheid ervan.

Privacy

Privacy 1200 792 Ekelmans Advocaten
Ekelmans Advocaten cliënt lounge

Complexe wetgeving

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. U moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit uw branche.

Verder zijn bij de ontwikkeling van nieuwe producten of diensten soms creatieve oplossingen nodig om compliant te zijn aan de privacywetgeving. De Privacy Desk van Ekelmans Advocaten helpt u om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van uw klanten te waarborgen.

Daarnaast adviseren wij u als werkgever over een goede omgang met gegevens van uw personeel en bij vragen als bijvoorbeeld screening of controle van uw (aspirant-)werknemers.

Onze opdrachtgevers zijn o.a. financiële instellingen, medische zorgverleners, (zorg)verzekeraars, fastfoodketens en brancheorganisaties. Door ons lidmaatschap van twee internationale netwerken van advocatenkantoren (Legalink en ILG) kunnen wij bij grensoverschrijdende kwesties snel schakelen en u ook in het buitenland aan experts koppelen. Naast het leveren van concrete bijstand kunnen wij voor u ook (in-house) presentaties op maat verzorgen over diverse privacyvraagstukken.

Creatieve oplossingen

Heeft u een vraag of wilt u meer weten?

Neem dan gerust contact met ons op. Wij helpen u graag. Als u het contactformulier invult, dan bellen wij u terug. U kunt natuurlijk ook rechtstreeks contact opnemen met één van onze specialisten.

Privacy Desk

Team van specialisten

Onze advocaten werken met u samen binnen compacte teams van specialisten. Zij kennen uw praktijk en beschikken over de expertise om snel en to the point met u mee te denken en te adviseren.

Gerelateerde onderwerpen

We gebruiken cookies om ervoor te zorgen dat onze website zo soepel mogelijk draait. Als je doorgaat met het gebruiken van de website, gaan we ervan uit dat je ermee instemt.