FAQ Algemene verordening gegevensbescherming (AVG) in de zorg
Voor privacy in de zorg is de de Algemene verordening gegevensbescherming (AVG) zeer belangrijk, gelet op alle patiëntgegevens die veilig verwerkt moeten worden. De meest voorkomende vragen en antwoorden over de AVG in de zorg hebben we in een korte FAQ voor u op een rij gezet.
1. Wat is de AVG?
De AVG is een Europese verordening die gericht is op het beschermen van persoonsgegevens. Ze richt zich onder andere op bijzondere persoonsgegevens waaronder medische gegevens. Voldoet u niet aan de AVG dan loopt u het risico op een forse boete van maximaal 20 miljoen of 4% van de jaaromzet. In de zorg is de AVG dus van groot belang.
2. Moet ik als zorgaanbieder aan de AVG voldoen?
Ja, de AVG is verplicht voor alle zorgaanbieders ongeacht hoe groot of klein de organisatie is.
3. Welke verplichtingen heb ik als zorgaanbieder?
U moet een aantal zaken op orde hebben. Ten eerste moet u zorgen dat u persoonsgegevens voldoende beveiligd zijn. Ook moet een verwerkingsregister opstellen waarin u al uw gegevensstromen documenteert. U moet een intern datalekregister bijhouden waarin u datalekken noteert. U moet verwerkersovereenkomsten afsluiten. Organisaties die grootschalig gegevens verwerken, moeten mogelijk een functionaris gegevensbescherming (FG) aanstellen en een Data Protection Impact Assesment (DPIA) doen. Tot slot moet u via een privacyverklaring communiceren welke gegevens u verwerkt en hoe. Deze verklaring zet u op de website.
Klik hier voor meer informatie over de verplichtingen.
4. Moeten alle patiënten de privacyverklaring tekenen?
Nee, maar wel moet de privacyverklaring voor iedereen goed te vinden zijn. Zorg er dus voor dat de verklaring op uw website staat en ook op papier beschikbaar is. Eventueel kunt u de link naar de privacyverklaring standaard opnemen in uw handtekening onderaan uw email.
5. Wanneer moet ik patiënten een toestemmingsformulier laten ondertekenen?
Meestal hebt u geen toestemming nodig, omdat u persoonsgegevens mag verwerken op basis van de behandelovereenkomst of de dossierplicht (WGBO). In dat geval is een toestemmingsformulier niet nodig. Voor het doorgeven van informatie aan derden, denk aan een andere zorgaanbieder of familielid, is wel toestemming nodig.
De toestemming moet aantoonbaar zijn. Dat hoeft niet schriftelijk. In de praktijk kunt u naar verwachting volstaan met een aantekening in het dossier voorzien van de datum waarop deze toestemming is verleend. Indien u beschikt over een schriftelijk stuk voorzien van een handtekening van de patiënt, dan voldoet u zeker.
6. Met wie moet ik een verwerkersovereenkomst afsluiten?
U moet als verantwoordelijke een verwerkersovereenkomst afsluiten met uw verwerkers. Een verwerker is een persoon of organisatie die in opdracht van u persoonsgegevens verwerkt. Met die organisatie moet u afspraken maken over de naleving van de AVG in de zorg. In onderstaand schema hebben wij een aantal voorbeelden opgenomen, die in de zorg veel voorkomen.
Organisatie | Verwerkersovereenkomst |
EPD/ICT leverancier | Ja |
Salarisadministratiekantoor | Ja |
Kwaliteitsonderzoekbureau | Ja |
ZorgTTP (ROM-data) | Ja |
Website beheerder | Ja, mits u persoonsgegevens via de website verwerkt via cookies of een contactformulier. |
Accountant | Geen verwerkersovereenkomst voor de controle op de jaarstukken. Wel verwerkersovereenkomst voor salarisadministratie. |
Collega zorgverleners | Nee |
Factoringbedrijf | Nee, een factoringbedrijf is zelf verantwoordelijk indien zij de vordering overneemt. In dat geval hoeft een factoringbedrijf dus geen verwerkersovereenkomst af te sluiten. Infomedics hanteert wel een verwerkersovereenkomst. |
Zorgverzekeraars | Nee |
VECOZO | Nee |
DIS | Nee |
Scholen | Nee |
Ouders | Nee |
7. Mag ik persoonsgegevens over de gewone mail versturen?
Zorg altijd voor een passende beveiliging van persoonsgegevens. Een invulling van de term passend kunt u vinden in de NEN normen, als zorgaanbieder moet u zich aan deze normen houden.
In beginsel mag u geen bijzondere persoonsgegevens over de gewone mail sturen. U moet een beveiligde (versleutelde) mail gebruiken, denk aan Zorgmail, E-zorg of een portaal. Zaken als een afspraakbevestiging zijn minder gevoelig. Mits ze geen bijzondere persoonsgegevens bevatten, kunnen die via de gewone mail. Het is evenwel aan te raden altijd beveiligd e-mails te verzenden.
8. Wanneer moet ik een functionaris gegevensbescherming aanstellen en wie?
Een functionaris gegevensbescherming ziet toe op de privacy en correcte verwerking van persoonsgegevens binnen een organisatie. Een functionaris gegevensbescherming kan zowel een medewerker als een externe persoon zijn. Als de functionaris gegevensbescherming maar onafhankelijk is. De eigenaar van een praktijk kan daarom geen functionaris gegevensbescherming zijn.
U moet een functionaris gegevensbescherming aanstellen als u grootschalig bijzondere persoonsgegevens verwerkt. In de zorg is grootschalig in elk geval niet een solistische zorgaanbieder. De Autoriteit Persoonsgegevens (AP) heeft gesteld dat ziekenhuizen, apotheken, huisartsenposten en zorggroepen altijd grootschalig zijn. Bij huisartsenpraktijken en instellingen voor medisch specialistische zorg geldt dat de instelling grootschalig is indien meer dan 10.000 patiënten zijn ingeschreven of gemiddeld meer dan 10.000 patiënten per jaar behandelt en de gegevens van deze patiënten in één informatiesysteem staan.
Voor de overige zorgaanbieders zijn vier factoren van belang:
- het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt);
- de hoeveelheid persoonsgegevens die worden verwerkt;
- de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar);
- de geografische reikwijdte van de verwerking.
Waarschijnlijk zal de grens van 10.000 patiënten daar ook een rol gaan spelen.
De implementatie van de AVG in de zorg kent een hoop richtlijnen waaraan u moet voldoen. Daarom is het belangrijk dat u zorgvuldig te werk gaat met het implementeren van deze privacywet. Heeft u hulp nodig bij het implementeren hiervan? Neem dan vrijblijvend contact met ons op.
Zie ook
AVG in de zorg: welke privacydocumenten zijn verplicht?