Ga naar de inhoud

Gedragsregels over de vertrouwelijkheid van de FG

De leden van de Werkgroep Ethiek van de Opleiding FG van Duthler Academy hebben in samenwerking met Duthler Associates eind 2018 de Gedragsregels voor de Functionaris voor Gegevensbescherming (FG) gepubliceerd. Hiermee werd het voortouw genomen om voor de beroepsgroep gedragsregels op te stellen om de FG te ondersteunen in diens dagelijkse praktijk. Een praktijk waarin de FG regelmatig met dilemma’s wordt geconfronteerd.

Kernwaarde vertrouwelijkheid In deze blog beschrijven we de gedragsregels die gebaseerd zijn op de kernwaarde “vertrouwelijkheid”.

Kernwaarde vertrouwelijkheid

Een beschrijving van en toelichting op de kernwaarde vertrouwelijkheid voor de FG:

De FG eerbiedigt het vertrouwelijke karakter van informatie die hij in het kader van zijn toezichthoudende en adviserende taken heeft verkregen. Hij maakt deze informatie niet zonder specifieke machtiging daartoe aan een derde bekend, tenzij wettelijk of beroepshalve een recht of plicht daartoe bestaat.

Betrokkenen, medewerkers en bestuursleden dienen in vertrouwelijkheid informatie aan de FG te kunnen verstrekken. De FG dient met deze informatie intern onderzoek te kunnen verrichten en controles te kunnen uitoefenen. Een uitzondering kan bijvoorbeeld op grond van een wettelijke of beroepshalve plicht worden gemaakt indien de AP verzoekt om inzage te geven in gegevens.

Gedragsregels

Op basis van deze kernwaarde zijn de volgende gedragsregels beschreven:

  1. De FG die de beschikking krijgt over gegevens of inlichtingen waarvan hij het vertrouwelijke karakter kent of redelijkerwijs moet vermoeden, is verplicht tot geheimhouding van die gegevens tenzij hij bij of krachtens wettelijk voorschrift tot het verstrekken van de inlichtingen verplicht of bevoegd is. De FG heeft bijzondere wettelijke bevoegdheden waarbij de FG toegang heeft tot een groot aantal (vertrouwelijke) gegevens. De FG draagt zorg voor een zorgvuldige omgang met alle verkregen informatie, al dan niet persoonsgegevens en betracht geheimhouding waar nodig. De FG is verplicht tot geheimhouding van informatie die hij verkrijgt bij de uitoefening van zijn taak. De FG dient in vertrouwen informatie in ontvangst te kunnen nemen.
  2. De FG treft redelijkerwijs te nemen maatregelen om ervoor te zorgen dat degenen die onder zijn verantwoordelijkheid werken de geheimhoudingsplicht naleven zoals die voor hem geldt De FG dient ervoor zorg te dragen en maatregelen te treffen dat degene die voor of namens hem of haar een taak uitoefent en onder zijn gezag staat dezelfde geheimhouding betracht als de FG zelf betracht.
  3. De FG dient in vertrouwen informatie in ontvangst te kunnen nemen en beschermt het belang van degene die hem in vertrouwen mededelingen doet. Deze regel is niet absoluut. Er dient door de FG een belangenafweging te worden gemaakt omtrent het belang van de betrokkene dat beschermd dient te worden en waarbij meegewogen wordt of redelijkerwijs het belang van de organisatie of betrokkenen wordt geschaad op gelijke wijze als de klokkenluidersregeling.

Dilemma

Zoals gezegd lopen FG’s in hun dagelijkse praktijk tegen dilemma’s aan. Uit discussies met FG’s blijkt dat er nog veel onduidelijk is omtrent wat er van een redelijk handelend en vakbekwaam FG mag worden verwacht.

Hieronder is een casus geschetst van een dilemma voor een FG.

U bent FG bij een academisch ziekenhuis. Een collega vraagt u om over een specifieke zaak vertrouwelijk van gedachten te wisselen. Zij geeft aan dat ze al langere tijd het vermoeden heeft dat er onzorgvuldig met patiëntendossiers wordt omgegaan en dat medische gegevens van patiënten door onbevoegden kunnen worden ingezien. Het bewijs is geleverd, nu zij zelf in het ziekenhuis onderzoeken heeft moeten ondergaan. Collega’s hebben haar, wel goedbedoeld, hierop aangesproken: “Wat fijn dat het goed is afgelopen!” Behalve dat uw collega blij is dat ze haar hart heeft kunnen luchten, hoopt ze ook dat u als FG een einde kunt maken aan deze onrechtmatige verwerking van gegevens.

Wat zou u als FG doen in deze situatie, gelet op de taken die u zijn toebedeeld door de Algemene verordening gegevensbescherming?