GDPR en doclr

Je bent hier:
< Terug

Doclr is een online agenda die focust op huisartsen. Omdat niet alleen huisartsen een voordeel halen uit het gebruik van een online agenda is de implementatie van GDPR in een breder kader geanalyseerd. Daarom wordt in dit document de termen ondernemer (dokter) gebruikt en klant (patiënt). Wat volgt is een korte omschrijving van GDPR aspecten die gerespecteerd moeten worden en hoe Doclr hiermee omgaat.

De basis gedachte van Doclr is dat de ondernemer eigenaar is van de data. Doclr is een facilitator voor de ondernemer om afspraken vast te leggen. Doclr zal ervoor zorgen dat de ondernemer de rechten van de klant kan respecteren. Daarnaast zal Doclr ook de rechten van de ondernemer kunnen respecteren, als klant van Doclr.

Voorafgaand aan het uitoefenen van een recht dient de ondernemer of klant zijn identiteit te bevestigen om identiteitsfraude te voorkomen. Pas hierna kan het recht uitgeoefend worden.

Hieronder volgt een opsomming van de GDPR-voorwaarden en hoe Doclr hieraan zal voldoen. Sommige acties kunnen op twee manieren uitgevoerd worden. In de tekst hieronder wordt telkens vermeld welke van beide opties mogelijk is.

  • Manueel: Als een klant of ondernemer wenst een recht uit te oefenen, neem je hiervoor contact op via [email protected]
  • Beschikbaar in applicatie: er zal een functionaliteit (een knop in de agenda) voorzien worden om dit recht uit te oefenen

Data retention

Het recht om data slechts een beperkte periode op te slaan wordt dagdagelijks uitgeoefend. Data die ouder is dan 5 jaar wordt dagelijks gewist uit onze productie systemen.

Right to erasure

Het recht om vergeten te worden is een recht dat zowel ondernemer als klant kunnen uitoefenen. Beide rechten worden manueel uitgevoerd door Doclr. Wij lanceren daarvoor manueel een script dat de relevante data van een klant of een ondernemer zal wissen uit onze productie systemen.

Right to object

Ondernemers en klanten hebben het recht zich te verzetten tegen de verwerking van hun gegevens. Een overzicht is beschikbaar op basis van hun ‘right to be informed’. Op dit moment heeft Doclr volgende procesdoelen:

  • Operationeel gebruik van de agenda waartegen men zich niet kan verzetten. Dit is namelijk de kernactiviteit van de agenda.
  • Analyseren van het gebruik van de functionaliteiten op anonieme basis. Aangezien dit volledig anoniem gebeurt respecteren we hiermee ook de privacy van zowel klanten als ondernemers.
  • Voor intern marketing gebruik houdt Doclr van de ondernemers (Doclr klanten of prospecten) beperkte data gedurende een beperkte tijd bij. Dit om de verkoop van ons product te kunnen opvolgen. Dit valt binnen de richtlijnen van de GDPR.

Right to rectification

Het recht om uw gegevens te corrigeren/aan te passen is niet relevant voor klanten in onze online agenda. Doclr voorziet momenteel geen aanmeld-functie en doet niet aan centraal beheer van klanten. Ondernemers worden wel centraal beheerd en hebben toegang tot hun gegevens. Die kunnen ze ten alle tijde aanpassen.

Right to be informed

Zowel ondernemers als hun klanten hebben het recht een overzicht te vragen welke data over hen bijgehouden worden en met welke doeleinden, zonder de effectieve data op te vragen. Doclr heeft voor beide partijen een overzicht beschikbaar. Dit zal op termijn via de applicatie beschikbaar gemaakt worden.

Right of access

Het recht om toegang te krijgen tot de data die voor de aanvrager in kwestie beschikbaar zijn. Ondernemers hebben via de applicatie al toegang tot hun eigen data. Klanten kunnen dit op aanvraag verkrijgen en op termijn zal dit beschikbaar zijn via de applicatie.

Right to data portability

Ondernemers en klanten hebben het recht om een export te vragen van hun data om bv. op te laden in een andere online agenda. Merk op dat ‘Right to access’ alleen toegang vereist zonder dat deze opgeladen kunnen worden in een ander systeem. Doclr voorziet een script om op aanvraag de persoonsdata manueel aan te leveren. Op termijn zal dit beschikbaar zijn via de applicatie.

Personal data register

Doclr zal een overzicht te bewaren van alle data verwerkingsactiviteiten zodat dit bij controle door privacy commissie ter beschikking gesteld kan worden.

3rd party compliance

Doclr zal de contracten met externe leveranciers nalezen en verzekert zo de ondernemer en hun klanten dat ook die 3de partijen de GDPR rechten respecteren.

Privacy governance

Doclr heeft intern richtlijnen uitgeschreven hoe de verschillende aspecten van GDPR moeten blijven gerespecteerd worden in de toekomst. Bij verdere ontwikkeling van de applicatie wordt tijdens werkvoorbereiding alle GDPR aspecten geëvalueerd alsook de nodige security aspecten. Dit dekt onder andere het volgende:

  • Documentatie beschikbaar hebben over hoe Doclr omgaat met privacy
  • Privacy by design en als een standaard
  • Data privacy impact analyses

Daarnaast zal Doclr in het kader van verlies van informatie nog twee extra maatregelen nemen:

  • Encryptie van de gegevens op agendagroep-niveau. Elke agendagroep heeft een unieke sleutel. Ze bepalen zelf of Doclr en/of andere gebruikers toegang krijgen tot de informatie.

Pseudo anonimisatie: om verbeteringen aan te brengen aan de applicaties wordt het gebruik van de functionaliteiten geanalyseerd. Dit gebeurt in een aparte omgeving op geanonimiseerde data.

Gewijzigd op februari 10, 2018