De Algemene verordening gegevensbescherming (‘AVG’) is inmiddels alweer even geleden in werking getreden. Toch zijn zorgaanbieders zich niet altijd bewust van de privacydocumenten die verplicht zijn op grond van de AVG. Als die documenten er daarnaast al zijn, zijn ze lang niet altijd up-to-date. In dit artikel wordt opgefrist welke AVG-documenten verplicht zijn in de zorg, en hoe ervoor wordt gezorgd dat deze actueel blijven.
AVG in de zorg – welke documenten schrijft de AVG allemaal voor zorgaanbieders?
De AVG schrijft een aantal verplichte documenten voor. Aan de hand van de activiteiten van de zorgaanbieder, kan worden bepaald of een document verplicht is voor die specifieke zorgaanbieder. Doorgaans zijn de documenten verplicht voor de meeste zorgaanbieders, omdat er in de zorg wordt gewerkt met medische gegevens. Dit zijn bijzondere persoonsgegevens in de zin van de AVG, waar extra voorzichtig mee moet worden omgegaan.
De belangrijkste documenten zijn in ieder geval de privacyverklaring, het privacybeleid, het verwerkingsregister, de verwerkersovereenkomst en het datalekregister. Hierna wordt afzonderlijk ingegaan op ieder document.
1) De privacyverklaring: informeren over wat er met persoonsgegevens gebeurt en waarom
De AVG privacyverklaring: verplichting
Zorgaanbieders hebben op grond van de AVG een informatieplicht. Dit houdt in dat zorgaanbieders verplicht zijn om betrokkenen – dit zijn bijvoorbeeld cliënten maar ook medewerkers – te informeren over wat er met hun persoonsgegevens gebeurt en waarom. Door middel van een privacyverklaring kan aan deze informatieplicht worden voldaan. De privacyverklaring wordt vaak ook wel een privacystatement genoemd.
Privacyverklaring: inhoud
De AVG schrijft een aantal onderwerpen voor, die in ieder geval terug moeten komen in de privacyverklaring. Dit betreft in ieder geval:
- de contactgegevens van de zorgaanbieder en de Functionaris Gegevensbescherming (‘FG’);
- de doeleinden en rechtsgronden op basis waarvan persoonsgegevens worden verwerkt, welke rechten betrokkenen hebben;
- hoe lang persoonsgegevens worden bewaard;
- dat betrokkenen een klacht kunnen indienen bij de Autoriteit Persoonsgegevens.
Daarnaast is vereist dat de privacyverklaring schriftelijk is.
Duidelijk en toegankelijk
Er staat heel wat informatie in een privacyverklaring. Het is dan ook belangrijk om deze informatie zo begrijpelijk en duidelijk mogelijk te houden. Zo is het bijvoorbeeld aan te raden om niet de letterlijke tekst uit de AVG over te nemen en dus vaktermen te vermijden, maar zelf een privacyverklaring op te stellen in duidelijk en eenvoudige taal zodat het begrijpelijk is. Ook is het raadzaam om de privacyverklaring zo bondig mogelijk te houden.
Daarnaast is het van belang dat de privacyverklaring toegankelijk moet zijn voor betrokkenen. In praktijk kan dit het beste door de privacyverklaring op de website te plaatsen, zodat deze goed vindbaar is. Overigens hoeven betrokkenen de privacyverklaring niet te ondertekenen.
2) Het privacybeleid: de manier om aan te tonen dat je aan de AVG voldoet
Het privacybeleid: verplichting
Het privacybeleid is een schriftelijk document waarmee wordt voldaan aan de verantwoordingsplicht op grond van de AVG. De verantwoordingsplicht houdt in dat zorgaanbieders moeten kunnen aantonen dat zij aan de AVG voldoen. Anders dan een privacyverklaring, is een privacybeleid echter meer een intern document en dus niet zozeer bedoeld om te delen op bijvoorbeeld de website. Dat is natuurlijk wel mogelijk. Het is dan wel raadzaam om bijvoorbeeld de bepalingen over hoe de zorgaanbieders persoonsgegevens beveiligt, te verwijderen.
Voor zorgaanbieders is een privacybeleid verplicht wanneer dit ‘in verhouding staat tot de verwerkingsactiviteiten’. Dat is een wat vage omschrijving. Hiervoor dient dan ook gekeken te worden naar de concrete activiteiten van de zorgaanbieder. Zo is het van belang om te kijken naar de aard, omvang en het doel van de gegevensverwerking. Aangezien in de zorg veel medische (bijzondere) persoonsgegevens worden verwerkt, is het voor zorgaanbieders van belang om een privacybeleid te hebben.
E-learning – Privacy in de zorg In deze e-learning gaan we in op privacy in de zorg en de verplichtingen die daar bij horen. Doel is om de basisregels van privacybescherming goed in beeld te krijgen. |
Het privacybeleid: inhoud
Het privacybeleid dient in te gaan op een aantal zaken, waaronder:
- de categorieën van persoonsgegevens die de zorgaanbieder verwerkt;
- met welk doel en welke rechtsgrond dit gebeurt;
- welke rechten betrokkenen hebben en hoe uitvoering wordt gegeven aan een verzoek;
- hoe de zorgaanbieder voldoet aan de AVG-beginselen;
- wat de bewaartermijnen van persoonsgegevens zijn;
- welke beveiligingsmaatregelen zijn getroffen.
Ook voor het privacybeleid geldt dat deze schriftelijk dient te zijn. Het is daarnaast raadzaam om het privacybeleid – bijvoorbeeld samen met de FG – er eens in de zoveel tijd bij te pakken, en te beoordelen of deze nog actueel is.
3) Het verwerkingsregister: informatie over de verwerkingen
Het verwerkingsregister: verplichting
Een verwerkingsregister is een document waarin de verwerkingsstromen van de organisatie zijn opgenomen. Een verwerkingsregister is verplicht voor zorgaanbieders. De hoofdregel is immers dat deze verplicht is indien een organisatie meer dan 250 medewerkers heeft, tenzij er onder andere sprake is van (stelselmatige) verwerking van bijzondere persoonsgegevens. Aangezien zorgaanbieders stelselmatig bijzondere persoonsgegevens in de vorm van medische gegevens verwerken, geldt voor hen de verplichting. Het verwerkingsregister is daarnaast niet alleen verplicht voor de verwerkingsverantwoordelijke (de zorgaanbieder), maar ook voor verwerkers.
Het verwerkingsregister: inhoud
In het verwerkingsregister dienen dus de verwerkingsstromen beschreven te worden. Allereerst betekent dit dat de categorieën verwerkingsactiviteiten in het verwerkingsregister moeten worden opgenomen. Voor zorgaanbieders zijn mogelijk relevante categorieën bijvoorbeeld: het medisch dossier, andere administratie met betrekking tot cliënten (bijvoorbeeld voor de declaraties), cliënttevredenheidsonderzoeken, debiteuren en crediteuren, personeelsadministratie, gegevens voor verwerking en selectie en salarisadministratie. Met betrekking tot deze categorieën, dient vervolgens een aantal vragen / onderwerpen beschreven te worden in het verwerkingsregister waaronder: de doeleinden van de verwerking, welke persoonsgegevens per categorie wordt verwerkt, wie de betrokkenen / ontvangers zijn en wat de bewaartermijnen zijn. Let wel, de persoonsgegevens zelf (dus bijvoorbeeld de naam van de cliënt) dienen niet in het verwerkingsregister opgenomen te worden: alleen de categorieën persoonsgegevens (zoals ‘naam’ / ‘NAW-gegevens’).
Ook het verwerkingsregister dient schriftelijk te zijn. Zorg er daarnaast ook voor dat het verwerkingsregister actueel is. Als sprake is van een wijziging van een verwerkingsactiviteit, is het van belang om dit te verwerken in het verwerkingsregister. Als er daarnaast verwerkingen zijn gestaakt, is het van belang om ook dit op te nemen in het verwerkingsregister.
4) De verwerkersovereenkomst: afspraken met verwerkers
De verwerkersovereenkomst: verplichting
Zorgaanbieders moeten een verwerkersovereenkomst sluiten met verwerkers. Een verwerker is een organisatie die in opdracht van de zorgaanbieder, persoonsgegevens verwerkt. De primaire opdracht ziet dus op het verwerken van persoonsgegevens, waarbij de verwerker geen zeggenschap heeft over de verwerking en dus moet handelen naar de instructies van de verwerkingsverantwoordelijke. Een voorbeeld van een verwerker is een salarisadministratiekantoor.
De verwerkersovereenkomst: inhoud
In de verwerkersovereenkomst worden allerlei afspraken gemaakt met de verwerker. Deze overeenkomst dient onder andere de volgende zaken te bevatten:
- de duur van de verwerking;
- de aard van de verwerking;
- de categorieën persoonsgegevens en betrokkenen;
- de rechten en plichten van de verwerker / de verwerkingsverantwoordelijke;
- welke beveiligingsmaatregelen de verwerker moet nemen en wat de afspraken zijn als zich een datalek bij de verwerker voordoet;
- hoe wordt omgegaan met subverwerkers (verwerkers die de verwerker zelf inschakelt);
- de aansprakelijkheid;
- wat er met de persoonsgegevens gebeurt als de verwerkersovereenkomst eindigt.
Het is als zorgaanbieder verstandig om een eigen verwerkersovereenkomst te hebben. In praktijk wordt er vaak een standaardverwerkersovereenkomst aangeboden. Het is dan goed om te bekijken in hoeverre deze overeenkomt met de eigen verwerkersovereenkomst, zodat eventuele gewenste wijzigingen nog besproken kunnen worden.
5) Het datalekregister: het documenteren van datalekken
Het datalekregister: verplichting
Een datalekregister is verplicht voor zorgaanbieders. Dit omdat in de AVG is beschreven dat iedere organisatie, datalekken moet documenteren. Dit gebeurt door middel van datalekregister. Hoe zo’n datalekregister eruit moet zien staat in principe vrij, als het maar een schriftelijk document is.
Datalek
Van belang is dat zorgaanbieders kunnen herkennen wanneer sprake is van een datalek. Zie daarover ons eerdere artikel over dit onderwerp. Een datalek houdt in ieder geval in dat er sprake is van een incident, waarbij persoonsgegevens van betrokkenen in gevaar zijn gekomen. Het is vervolgens van belang om – naast corrigerende maatregelen en eventuele meldingen – het datalek altijd op te nemen in het datalekregister.
Het datalekregister: inhoud
Het is van belang om een aantal aspecten op te nemen in het datalekregister. Denk hierbij aan:
- of het datalek is gemeld (en waarom niet);
- wat de aard is van het datalek met een omschrijving daarvan
- om hoeveel betrokkenen het gaat;
- wanneer het datalek heeft plaatsgevonden;
- om welk soort persoonsgegevens het gaat (dus bijvoorbeeld cliëntgegevens);
- welke gevolgen het datalek heeft;
- welke maatregelen zijn getroffen om het datalek te beperken / corrigeren.
Conclusie: aan de slag met de AVG-documenten in de zorg
Zoals beschreven in dit artikel, dienen zorgaanbieders over de nodige AVG-documenten te beschikken en deze actueel te onthouden. Het is dan ook goed de 2 volgende stappen te nemen als zorgaanbieder.
Stap 1: Zorg voor de AVG documenten
Beschikken over de in dit artikel genoemde privacydocumenten is verplicht op grond van de AVG. Zorg er dus als zorgaanbieder voor dat deze documenten er zijn. Voor zorgaanbieders die deze documenten nog niet hebben, is relevant dat wij van Eldermans|Geerts een AVG-zelfhulppakket hebben ontwikkeld met de meeste genoemde documenten. Daarmee is het voor zorgaanbieders enkel nog een invuloefening.
Stap 2: Hou de AVG documenten up-to-date
Als de privacydocumenten, is het vervolgens noodzakelijk dat een in de zoveel tijd wordt bekeken (bijvoorbeeld met de FG) of de documenten nog actueel en kloppend zijn. Als er daarnaast nieuwe projecten / verwerkingen zijn, is het van belang dat de documenten ook tussentijds worden aangepast.
Tot slot
De implementatie van de AVG in de zorg kent een hoop richtlijnen waaraan u moet voldoen. Daarom is het belangrijk dat u zorgvuldig te werk gaat met het implementeren van deze privacywet. Heeft u hulp nodig bij het implementeren hiervan? Neem dan vrijblijvend contact met ons op.
Zie ook:
- Standaard AVG-documenten voor zorgaanbieders: Download onze hulp pakket “AVG in de zorg”
- Eerste hulp bij AVG