Zorgaanbieders moeten zich houden aan de Algemene verordening gegevensbescherming (‘AVG’), hoe groot of klein de organisatie ook is. Het is inmiddels alweer enige tijd geleden dat de AVG in werking is getreden. De meeste zorgaanbieders hebben dan ook al het een en ander ingeregeld voor de AVG, maar in praktijk blijken er altijd nog knelpunten te zijn. Wij maken aan de hand van deze knelpunten de balans op, en geven u vijf tips over privacy in de zorg.
1. Update privacy documenten
Zorgaanbieders zijn op grond van de AVG verplicht over een aantal privacy documenten (zoals een privacy verklaring, privacy beleid en verwerkingsregister) te beschikken. Zie ons eerdere artikel over deze privacy documenten. Het is van belang voor zorgaanbieders om na te gaan of de desbetreffende privacy documenten er zijn, en of daarin staat wat – op grond van de AVG – verplicht is. Als de privacy documenten er al zijn is het, nu de AVG toch alweer even geleden in werking is getreden, goed om te bekijken of de privacy documenten nog actueel zijn. Er is een grote kans dat er inmiddels nieuwe verwerkingen plaatsvinden (of dat er juist verwerkingen zijn weggevallen), waardoor de privacy documenten aangepast moeten worden.
2. Veilig verzenden
Ga na of persoonsgegevens veilig gedeeld worden: zowel binnen als buiten de organisatie. Zorgaanbieders sturen vaak allerlei gegevens naar bijvoorbeeld de zorgverzekeraar, de patiënt en andere zorgverleners. Het gaat in de zorg vaak om gezondheidsgegevens, welke extra beschermd moeten worden omdat het bijzondere persoonsgegevens zijn. Zo geldt op grond van de AVG de verplichting om passende beveiligingsmaatregelen te treffen, wat met name van belang is in de zorg. Onderdeel van de verplichtingen op grond van de AVG is ook dat gegevens op een veilige manier uitgewisseld worden. Dit is nader ingevuld door diverse NEN-normen (zoals de NEN 7510, NEN 7512 en NEN 7513) die verplicht zijn voor zorgaanbieders. Het is in de zorg belangrijk om te kiezen voor veilige e-mail en apps.
3. Data protection impact assessment (DPIA)
Zorgaanbieders moeten in de meeste gevallen een risicoanalyse doen op (voorgenomen) verwerkingen binnen de organisatie, om te kijken of wel voorzichtig genoeg wordt omgegaan met de persoonsgegevens van cliënten (in de zorg veelal gezondheidsgegevens) en of er nog aanvullende maatregelen genomen moeten worden.
De Data protection impact assessment (‘DPIA’) is zo’n analyse. Zorg ervoor dat regelmatig wordt getoetst of een DPIA nodig is. Zo is voor sommige soorten verwerkingen een DPIA verplichting voordat daarmee wordt begonnen. Zeker in de zorg is het belangrijk dat dit goed geborgd is. Daarnaast is het verstandig elke 3 jaar de DPIA opnieuw te doen. Risico’s kunnen namelijk veranderen.
4. Datalek afhandelen
Een datalek zit in een klein hoekje. De meeste datalekken zijn te wijten aan gedrag. Daarnaast komen er relatief veel datalekken voor in de zorg. Het is dus van belang dat zorgaanbieders aandacht besteden aan (het voorkomen van) een datalek. Mocht zich toch een datalek voordoen, handel dit dan altijd zo professioneel mogelijk af. Zo moet het datalek opgenomen worden in het datalekregister. Daarnaast moet het datalek in principe altijd gemeld worden aan de Autoriteit Persoonsgegevens (binnen 72 uur nadat kennis is genomen aan het datalek) en soms bij ook de betrokkene(n). Zeker als het een datalek betreft met gezondheidsgegevens. Let er op dat het te laat melden van een datalek niet zonder risico is. Het te laat melden van een datalek kan resulteren in een hoge boete.
5. Verwerkers
Indien er een derde partij wordt ingeschakeld die voor de organisatie persoonsgegevens verwerkt, dan is dat waarschijnlijk een verwerker. In praktijk kan het nog lastig te zijn om vast te stellen wanneer sprake is van een verwerker en wanneer sprake is van een verwerkingsverantwoordelijke. Zeker in de zorg waarbij meerdere partijen samenwerken kan dit diffuus zijn. Een verwerker handelt alleen in opdracht van de organisatie, en heeft verder geen zeggenschap over de persoonsgegevens. De primaire opdracht moet gericht zijn op het verwerken van persoonsgegevens: het verwerken van persoonsgegevens moet dus geen uitvloeisel zijn van een andere opdracht. Dit zijn aspecten, aan de hand waarvan bepaald kan worden of sprake is van een verwerker. Zo ja: zorg dan dat een verwerkersovereenkomst wordt afgesloten met deze partij. Daarin moeten duidelijke afspraken gemaakt worden over bijvoorbeeld de rechten en plichten van partijen, aansprakelijkheid, subverwerkers etc.
Tot slot
Hoewel de AVG al enige tijd geldt, is het van belang om de kennis en de AVG-documenten bij te blijven spijkeren. Wilt u de juiste handvatten om bovengenoemde onderwerpen ook daadwerkelijk goed op orde te krijgen?
Meld u dan aan voor onze opleidingsdag Functionaris Gegevensbescherming van 22 november 2022.