De Algemene verordening gegevensbescherming (AVG) is een aantal maanden geleden van toepassing geworden. Iedereen is begonnen met de implementatie, maar dit levert nog steeds veel verwarring op. Veel mensen doen hierdoor te veel werk. U misschien ook wel! Daarom bespreken we in dit artikel de drie belangrijkste mythes.
Mythe 1: door de nieuwe wetgeving mag er niks meer
De AVG lijkt qua tekst en inhoud heel erg op zijn voorganger de Wet bescherming persoonsgegevens (Wbp). De meeste regels bestonden al, maar waren we gewoon even vergeten. Een verwerkersovereenkomst moet technisch gezien al jarenlang afgesloten worden. En ook de beveiligingseisen zijn nagenoeg hetzelfde gebleven. De verwerkingen die u al deed mogen in 99% van de gevallen nog steeds.
Desondanks kwam ik het volgende bordje tegen bij mijn huisarts:
Dit is klinkklare onzin. U moet voorzichtig zijn met wat u bespreekt en zorgen dat de wachtrij niet te dicht bij de balie is. Maar een huisartsassistent mag gewoon vragen beantwoorden aan de balie. Als het nodig is om te werken met persoonsgegevens kan dit gewoon. De AVG vereist alleen wel dat u hierover heeft nagedacht en dat u dit zo veilig mogelijk doet. Gezien de medische gegevens die u verwerkt, is dat ook logisch.
Mythe 2: we moeten nu overal toestemming voor vragen
Als zorgaanbieder hoeft u meestal geen toestemming te vragen voor de verwerking van persoonsgegevens. U mag gewoon behandelen en in dat kader alle persoonsgegevens opslaan en gebruiken die nodig zijn. De wet heeft dit voor u bepaald. Wilt u gegevens doorgeven aan een derde, dan heeft u doorgaans wel toestemming nodig van de patiënt. Deze toestemming moet u krijgen per moment waarop u de gegevens met een derde wil delen. Een toestemmingsformulier toevoegen bij de inschrijving is dus niet per se nodig.
Wilt u persoonsgegevens gebruiken voor iets anders dan de behandeling dan kan toestemming wel nodig zijn. Doet u standaard kwaliteitsonderzoek op verzoek van een verzekeraar dan kan het wel handig zijn om hier voorafgaand aan de behandeling al toestemming voor te vragen. Dan heeft u alle formaliteiten maar in één keer gehad.
Mythe 3: het gaat boetes regenen
De toezichthouder mag nu boetes opleggen tot 20 miljoen euro of 4% van de jaaromzet. Bij een kleine zorgaanbieder zal geen dermate hoge boete worden opgelegd. De boete moet namelijk proportioneel zijn en passen bij de overtreding en de organisatie. Tot nog toe is in Nederland één boete opgelegd, namelijk aan Uber op 6 november 2018 (bekend gemaakt op 27 november 2018) ter hoogte van € 600.000 voor het niet tijdig melden van een datalek. Overigens nog op basis van de oude Wbp. Momenteel doet de Autoriteit Persoonsgegevens (AP) vooral veel onderzoeken, ook binnen de zorg. Zo heeft de AP gekeken of alle ziekenhuizen en zorgverzekeraars een functionaris gegevensbescherming (FG) hebben aangesteld. Tevens legt de AP met enige regelmaat een last onder dwangsom op. Vaak is een aanleiding tot onderzoek gebaseerd op een klacht.
In recent gepubliceerde beleidsregels heeft de AP aangegeven hoe met klachten wordt omgegaan. De klacht en de daarbij passende reactie moeten onderzocht worden. De AP kan een klacht dus niet naast zich neerleggen. Één vervelende patiënt kan dus al hele grote gevolgen hebben. Daarbij heeft de AP wel aangegeven voornamelijk nader onderzoek te doen als dit een bredere maatschappelijke betekenis heeft.
Nieuw
Voor de verplichtingen die wel nieuw zijn kunt u onze website bekijken: klik hier. Tevens wordt privacy steeds serieuzer genomen door patiënten en door organisaties. Overtreding van de wet kan dus sneller leiden tot een conflict of het besluit een verwerking niet te doen. Heeft u het gevoel dat de privacy in het geding is, dan is het goed om de wet ernaast te leggen. Een dergelijke beoordeling kunnen wij ook voor u doen.
Heeft u hulp nodig bij de AVG?
Neem dan contact met ons op.