Jouw privacy

Departement Zorg (Vlaamse overheid) beheert Partneralert.be, een platform dat personen met een gediagnosticeerde seksueel overdraagbare infectie (soi) in staat stelt hun seksuele partner of partners anoniem te verwittigen. Dit dient om verdere verspreiding van infecties te voorkomen en sekspartners te stimuleren om zich tijdig te laten testen en behandelen.

Deze privacyverklaring legt uit welke persoonsgegevens via Partneralert worden verwerkt, waarom dit gebeurt, hoe lang gegevens worden bewaard, en welke rechten u heeft als betrokkene.

Partneralert is ontworpen volgens het principe van dataminimalisatie. Hierbij verwerken wij enkel strikt noodzakelijke gegevens voor de vooropgestelde doeleinden.

Departement Zorg (Vlaamse overheid)

Koning Albert II-laan 15 bus 495
1210 Brussel

Voor vragen over uw persoonsgegevens kan u de DPO hier ook bereiken via e-mail: dpo.zorg@vlaanderen.be

Persoon met soi (“patiënt”)

Wanneer een patiënt positief test op een soi, kan de arts een unieke meldingscode genereren: dat is een alfanumerieke code van vijf tekens. Partneralert verwerkt geen identificerende persoonsgegevens van de patiënt zelf. De meldingscode bevat geen informatie waarmee een patiënt kan worden geïdentificeerd maar is enkel een toegangscode die dient om vrije toegang tot het platform te beperken. Zonder dergelijke code kunnen geen berichten worden verstuurd.

De patiënt voert zelf op de website van partneralert de telefoonnummers van maximum 20 van zijn/haar seksuele partners in aan wie een waarschuwing mag gestuurd worden. Deze contactgegevens worden uitsluitend gebruikt voor het versturen van de anonieme waarschuwing en worden niet opgeslagen in de databank. De ontvanger komt aldus niet te weten wie de patiënt is, het bericht wordt vanuit de Vlaamse Overheid verstuurd. De waarschuwing bevat een link naar de informatie die de naam van de soi bevat en het advies daarvoor een arts te raadplegen.

Daarnaast worden door ons technische gegevens verwerkt, zoals het IP-adres vanwaar de melding wordt ingevoerd, en een timestamp van het moment van invoering. Deze gegevens worden niet gekoppeld aan de identiteit van de patiënt. Deze technische gegevens worden enkel verwerkt voor beveiligingsdoeleinden en om misbruik van het systeem te detecteren.

Verwerkte gegevens samengevat:
•       Meldingscode (5 tekens, willekeurig en niet herleidbaar tot een persoon)
•       Door de patiënt ingevoerde telefoonnummers van seksuele partners die een waarschuwing mogen ontvangen
•       IP-adres van waaruit de melding wordt ingevoerd
•       Timestamp van moment van invoering.

Er wordt geen koppeling gemaakt tussen de meldingscode en de identiteit van de patiënt.

Doelen:
•       Anonieme partnernotificatie ter bescherming van de volksgezondheid: De patiënt kan tot 20 partners verwittigen via SMS. Dit is essentieel om partners te informeren en verdere verspreiding van soi te beperken.
•       Bevorderen van tijdige diagnose en behandeling: Door gecontacteerde partners te informeren over mogelijke blootstelling, worden zij gestimuleerd om zich te laten testen en bij positieve diagnose snel te starten met behandeling. Bij sommige soi wordt zelfs een behandeling gestart, zelfs zonder positieve test.
•       Veiligheid en fraudepreventie (IP- adres en timestamp): Het systeem registreert bepaalde technische gegevens om misbruik van het platform te voorkomen en om technische problemen te kunnen opsporen.

Rechtsgrond:
•       Taak van algemeen belang (art. 6, eerste paragraaf, e GDPR)
•       Volksgezondheid als uitzondering op het verbod van verwerking van gezondheidsgegevens (art. 9, tweede paragraaf, i GDPR)).

Bewaartermijnen:
•       Meldingscode: max. 10 dagen
•       Telefoonnummers van ingevoerde partnercontacten worden onmiddellijk verwijderd na verzending
•       IP-adres en timestamp worden bewaard in beveiligde logs voor maximaal 10 dagen en uitsluitend voor beveiligingsdoeleinden.

Arts of zorgverlener

Geregistreerde artsen en verpleegkundigen bij het RIZIV zijn de enigen die een meldingscode kunnen genereren. Aanmelden kan met behulp van een eID kaartlezer, Smart-ID of Itsme.

Welke gegevens worden hierbij verwerkt?
•       Een unieke technische identificatiecode van de arts of verpleegkundige (ref_uuid)
•       Authenticatie via eHealth IAM
•       IP-adres en timestamp tijdens het aanmaken van een meldingscode.

Doelen:
•       Veilige en gecontroleerde aanmaak van meldingscodes: Het platform moet kunnen verifiëren dat alleen erkende zorgverleners meldingscodes kunnen aanmaken om misbruik te voorkomen.
•       IP-adres en timestamp worden bewaard in beveiligde logs en uitsluitend voor beveiligingsdoeleinden.

Rechtsgrond:
•       Taak van algemeen belang (art. 6, eerste paragraaf, e GDPR)
•       Volksgezondheid als uitzondering op het verbod van verwerking van gezondheidsgegevens (art. 9, tweede paragraaf, i GDPR)).

Bewaartermijn:
•       Informatie inzake meldingscode inclusief identificatiecode arts: max 10 dagen
•       IP-adressen en timestamps: max 10 dagen. 

Gecontacteerde partner

Wanneer een partner een waarschuwing ontvangt per SMS, wordt enkel het telefoonnummer verwerkt voor verzending, samen met een eenmalige OneTimeCode die de url bevat die toegang geeft tot een informatieve pagina betreffende de mogelijke soi. Partneralert slaat deze contactgegevens niet op in de centrale databank.

Wanneer de partner de link opent, wordt enkel een timestamp en het IP-adres geregistreerd. Deze gegevens zijn noodzakelijk om de eenmalige toegang mogelijk te maken en misbruik te voorkomen.

Verwerkte gegevens samengevat:
•       Telefoonnummer (enkel tijdens verzending)
•       Een OneTimeCode gekoppeld aan een unieke melding
•       IP-adres en timestamp wanneer de partner de link opent

Doelen:
•       Het kunnen ontvangen van een gezondheidswaarschuwing
•       Eenmalige toegang tot een beveiligd informatiescherm: De partner wordt via de OneTimeCode naar een pagina geleid met uitleg over de soi
•       IP-adres en timestamp worden bewaard in beveiligde logs voor maximaal 10 dagen en uitsluitend voor beveiligingsdoeleinden.

Rechtsgrond:
•       Taak van algemeen belang (art. 6, eerste paragraaf, e GDPR)
•       Volksgezondheid als uitzondering op het verbod van verwerking van gezondheidsgegevens (art. 9, tweede paragraaf, i GDPR)).

Bewaartermijn:
•       OneTimeCodes max. 10 dagen (dat betekent ook dat wanneer de ontvanger de link niet binnen de tien dagen aanklikt deze niet meer doorlinkt naar de informatieve pagina over de soi)
•       IP-adres en timestamp in beveiligde logs max. 10 dagen
•       Telefoonnummer: onmiddellijk verwijderd.

Partneralert hanteert strikte bewaartermijnen:
•       Meldingscodes: maximaal 10 dagen
•       OneTimeCodes: maximaal 10 dagen
•       System logs met IP-adressen en timestamps: maximaal 10 dagen
•       Contactgegevens van partners: onmiddellijk verwijderd na verzending
•       Identiteit van de patiënt: niet bijgehouden

Partneralert deelt gegevens uitsluitend met dienstverleners die noodzakelijk zijn voor de werking:
•       Telecomoperator Orange (voor SMS). Orange verzendt de waarschuwing vanaf een algemeen nummer van de Vlaamse Overheid en maskeert nummers voor beheerders
•       eHealth IAM: enkel voor artsen- en verpleegkundigenauthenticatie
•       Azure hosting: We geven uw contactgegevens niet rechtstreeks door aan landen buiten de Europese Economische Ruimte (“EER’) of aan internationale organisaties. Dat zijn landen of organisaties die gevestigd zijn buiten het grondgebied van de Europese Economische Ruimte (Europese Unie + IJsland, Noorwegen en Liechtenstein). We maken wel gebruik van Europese en niet-Europese cloudserviceproviders. In dat geval nemen we alle mogelijke maatregelen om ervoor te zorgen dat uw gegevens worden beschermd zoals bepaald in de Europese, federale en Vlaamse regelgeving. De cloudserviceprovider is opgenomen op de lijst van Amerikaanse ondernemingen die zich hebben aangesloten bij het Data Privacy Framework. De data zelf worden opgeslagen op servers gelegen in West-Europa.

Wij onthouden ons van het bekendmaken of verkopen van uw contactgegevens aan derden en het openbaar maken van uw contactgegevens.

Partneralert implementeert:
•       Meldingscode
•       TLS encryptie
•       IP- en tijdslogging uitsluitend voor beveiliging
•       One-time toegangscodes
•       Strikte rol- en toegangscodes
•       Dataminimalisatie
•       Automatische verwijdering na 10 dagen

Deze privacyverklaring is op u van toepassing voor uw persoonsgegevens (contactgegevens) die we verzamelen en verwerken via de website www.partneralert.be. Het bevat belangrijke informatie over hoe en voor welke doeleinden wij persoonsgegevens verzamelen en verwerken, en verduidelijkt welke rechten u als betrokkene kunt uitoefenen.
Wij zetten ons in om uw (persoons-) gegevens met de grootst mogelijke zorgvuldigheid te beschermen en alleen op een eerlijke en rechtmatige manier te verwerken in overeenstemming met de bepalingen van de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG), met inbegrip van alle huidige nationale of internationale wet- of regelgeving ter uitvoering of toekomstige wet- of regelgeving ter vervanging van de AVG.

Patiënt: er kan naar verduidelijking over de verwerking worden gevraagd, doch dat staat reeds in deze privacyverklaring

Arts: professionele gebruiker

Verpleegkundige: professionele gebruiker

Gecontacteerde partner: er kan naar verduidelijking over de verwerking worden gevraagd, doch dat staat reeds in deze privacyverklaring

Als u van mening bent dat wij uw rechten inzake gegevensbescherming schenden, hebt u het recht om een klacht in te dienen bij de:

•       Gegevensbeschermingsautoriteit via https://www.gegevensbeschermingsautoriteit.be/ (dit is een externe link)
•       Vlaamse toezichtcommissie via https://overheid.vlaanderen.be/klachtenprocedure-vtc

Functionaris voor Gegevensbescherming – Departement Zorg
dpo.zorg@vlaanderen.be

Verder kunnen klachten worden ingediend bij de Gegevensbeschermingsautoriteit.
De Gegevensbeschermingsautoriteit is telefonisch bereikbaar van 09u00 tot 12u00. U kunt ook een e-mail sturen naar contact@apd-gba.be om een telefonische afspraak te maken.

Gegevensbeschermingsautoriteit
Drukpersstraat 35, 1000 Brussel
+32 (0)2 274 48 00