Privacyverklaring Bron- en contactonderzoek

Deze privacyverklaring is bedoeld voor de gebruikers van het BCO-portaal, de webapplicatie voor bron- en contactonderzoek naar het coronavirus van de GGD. Het BCO-portaal is de digitale werkomgeving voor medewerkers bron- en contactonderzoek. In het portaal leggen de medewerkers informatie vast uit dit onderzoek. De medewerkers kunnen zowel via interne als externe partijen door de GGD’en zijn ingezet, bijvoorbeeld via de landelijke capaciteit.

Op de gegevensverwerking in het BCO-portaal is de Algemene verordening gegevensbescherming (afgekort: AVG) van toepassing. In deze privacyverklaring staat op welke manier we in het BCO-portaal persoonsgegevens van gebruikers verwerken en op welke manier het gebruik van de gegevens in het BCO-portaal voldoet aan de eisen van de AVG.

Als het nodig is passen we deze privacyverklaring aan. Dat doen we bijvoorbeeld als we iets in het portaal veranderen dat te maken heeft met de bescherming van de persoonlijke gegevens van de gebruikers van het portaal. De privacyverklaring staat op de profielpagina van de gebruiker.

(Laatste update: 24 juni 2021)

Over het BCO-portaal

Het BCO-portaal is de digitale werkomgeving voor bron- en contactonderzoek van de GGD. Het BCO-portaal vormt samen met de GGD Contact-app de technische basis voor de uitvoering van het bron- en contactonderzoek naar het coronavirus. In het BCO-portaal worden persoonsgegevens verwerkt van mensen die positief zijn getest op corona en van mensen waarmee zij in een bepaalde periode in contact zijn geweest. Deze gegevens worden verzameld tijdens het telefoongesprek met de medewerker en mogelijk ook gedeeld via de GGD Contact-app.

Logging en monitoring

In het BCO-portaal wordt informatie verwerkt van mensen die positief zijn getest op corona en van mensen waarmee zij in een bepaalde periode in contact zijn geweest. Deze informatie wordt tijdens het bron- en contactonderzoek door medewerkers geïnventariseerd. De informatie die wordt verwerkt is privacygevoelig, omdat het gezondheidsgegevens van mensen zijn. We vinden het belangrijk om aan te tonen dat de GGD’en zorgvuldig en veilig met dit soort gegevens omgaan. We willen daarom voldoen aan de eisen van de NEN-normeringen voor informatiebeveiliging in de zorg. Logging en monitoring is verplicht vanuit de norm voor gegevensverwerking in de zorg (NEN 7510, NEN 7512 en NEN 7513). Zo kunnen we persoonlijke gegevens nog beter beschermen.

Verwerkte (persoons)gegevens van gebruikers

In het BCO-portaal registeren we automatisch bepaalde gegevens en activiteiten van de medewerkers bron- en contactonderzoek. We registeren wie een dossier heeft ingezien of gewijzigd en op welk tijdstip. Verder loggen we wie op welk tijdstip in het systeem heeft ingelogd en als het mogelijk is ook de locatie en het unieke nummer van de apparatuur die voor het inloggen werd gebruikt. Het doel is om privacygevoelige gegevens te beschermen.

Verantwoordelijkheid

Het BCO-portaal is ontwikkeld door het ministerie van Volksgezondheid, Welzijn en Sport (afgekort: VWS) in samenwerking met de GGD’en, vertegenwoordigd door GGD GHOR Nederland.

De minister van VWS is verwerkingsverantwoordelijk voor persoonsgegevens die worden verwerkt tijdens de ontwikkeling en het testen van het BCO-portaal. Vanaf het moment dat het portaal in gebruik wordt genomen zijn de GGD’en van de betreffende regio’s verwerkingsverantwoordelijk.

Doel

Het doel van het BCO-portaal is om het bron- en contactonderzoek makkelijker, beter en sneller te kunnen uitvoeren. Bron- en contactonderzoek helpt om verspreiding van het coronavirus te beperken en dit is een wettelijke taak van de GGD’en.

Grondslag

GGD’en hebben een gerechtvaardigd belang om passende technische en organisatorische maatregelen te nemen bij het verwerken van persoonsgegevens.

Hiervoor gelden:

  • AVG
  • Wet publieke gezondheid
  • NEN-normering

Doorgifte van gegevens aan derde partijen

De volgende externe partijen ontvangen gegevens uit het BCO-portaal.

  • Intermax: hostingpartij. Intermax ontvangt persoonsgegevens om het BCO-portaal te kunnen hosten en is daarom verwerker.

Gegevens met betrekking tot logging worden doorgegeven aan:

  • RIVM: voor evaluatie van de bijdrage van het BCO-portaal aan het bron- en contactonderzoek
  • Ministerie van VWS: draagt zorg voor het uitvoeren van logging en monitoring

We geven geen persoonsgegevens door aan landen buiten de Europese Unie of Europese Economische Ruimte, ook niet via onze partners.

Bewaartermijnen gegevens logging

De loggegevens uit logging worden bewaard tot maximaal 5 jaar na de datum waarop de logging is aangemaakt. Deze gegevens worden na afloop van deze termijn verwijderd.

Rechten van betrokkenen

Vragen over de verwerking van persoonsgegevens, logging en monitoring van het systeem kunnen gebruikers stellen aan de Functionaris voor Gegevensbescherming van de GGD waarvoor ze werken. Zie hiervoor de website van de betreffende GGD.

Gebruikers kunnen klachten over de verwerking van persoonsgegevens melden bij de Autoriteit Persoonsgegevens. Kijk voor meer informatie hierover op de website van de Autoriteit Persoonsgegevens.

Voor vragen over de verwerking van persoonsgegevens tijdens de ontwikkeling van het BCO-portaal kunnen gebruikers contact opnemen met de Functionaris voor Gegevensbescherming van het ministerie van Volksgezondheid, Welzijn en Sport. Meer informatie hierover staat op de website van het ministerie van VWS.

Beveiliging

De minister van VWS, GGD GHOR Nederland en de GGD’en nemen de bescherming van uw gegevens zeer serieus. We nemen passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. De vastlegging van gegevens van gebruikers is daar onderdeel van. Alleen mensen die daarvoor toestemming hebben mogen de logging- en monitoringsgegevens bekijken.