Eerste hulp bij AVG

avg-algemene-verordening-gegevensbescherming-privacywetgeving-verwerkgingsregister-datalekregisterverwerkersovereenkomst-|Hulp AVG|e-learning privacy in de zorg|e-learning privacy in de zorg

Demi van Rossenberg

Advocaat

Wat moet ik als zorgorganisatie doen met de Algemene Verordening Gegevensbescherming (AVG)?

Als zorgorganisatie of zorgaanbieder heeft u dagelijks te maken met de privacy van uw patiënten en/of cliënten. U verwerkt immers veel medisch gegevens en deze moeten goed beschermd worden. De privacywetgeving stelt precies wat u moet doen. Wat moet u als zorgaanbieder weten over Algemene Verordening Gegevensbescherming (AVG)? Op deze pagina vindt u meer informatie waaronder het opstellen van documenten om snel en gemakkelijk aan de verplichtingen uit de AVG te voldoen.1. Verwerkingsregister

1. Verwerkingsregister

Als zorgaanbieder bent u verplicht een verwerkingsregister bij te houden. In het register brengt u uw gegevensverwerkingen in kaart. U moet onder andere documenteren welke persoonsgegevens u verwerkt, met welk doel, waar deze gegevens vandaan komen en met wie u ze deelt. Zodat voor uzelf en de toezichthouder duidelijk is welke gegevensstromen er lopen. De achterliggende gedachte hiervan is dat u op deze manier beter de gegevensstromen kunt monitoren en beschermen. Ook past in dit register de grond waarop u de verwerking doet. Dit kan toestemming van de patiënt zijn, maar ook de behandelovereenkomst of de dossierplicht.

2. Datalekregister

Zorgaanbieders zijn verplicht een datalekregister bij te houden. Binnen elke organisatie kan er iets mis gaan en gaat er in de praktijk ook wel eens iets mis. Hierdoor kan het gebeuren dat persoonsgegevens niet beschikbaar zijn, op de verkeerde plek of bij de verkeerde persoon terechtkomen, oftewel een datalek. U moet alle datalekken documenteren (en de meeste ook melden bij de Autoriteit Persoonsgegevens: hierna AP). Aan de hand van deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Deze plicht geldt enkel voor de verwerkingen waar u verantwoordelijk voor bent, dat wil zeggen, de verwerkingen waar u doel en middel voor bepaalt. Het is van groot belang dat elke medewerker binnen uw organisatie zich bewust is van deze meldplicht. Anders kunnen datalekken onopgemerkt en/of ongemeld blijven.

 

e-learning privacy in de zorg

3. Verwerkersovereenkomst

Besteedt u persoonsgegevens uit aan derden? Die derden kunnen onder omstandigheden ‘verwerkers’ zijn en in dat geval is een verwerkersovereenkomst verplicht. Denk bij een verwerker bijvoorbeeld aan het ICT bedrijf die uw systeem beheert of aan een administratiekantoor die de boekhouding doet. Het is het goed om te bekijken of u een verwerkersovereenkomst heeft met uw verwerkers (vroeger bewerkers genoemd), en zo ja om deze overeenkomst er nog eens op na te slaan. In de AVG staan bepaalde onderwerpen genoemd die in de overeenkomst met de verwerker moeten worden opgenomen. Zoals het feit dat een datalek door de verwerker moet worden gemeld bij de verwerkingsverantwoordelijke zonder onredelijk vertraging of dat een verwerker uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.

 

Zie ook de door onze opgestelde FAQ over de AVG in de zorg. 

FAQ – AVG in de zorg

4. Privacyverklaring

Voorgaande verplichtingen zijn lastig te implementeren als u niet scherp heeft hoe u dit wilt doen. Leg daarom vast hoe u omgaat met de persoonsgegevens van uw patiënten, cliënten en medewerkers. Communiceer dit ook naar buiten toe in een privacyverklaring. Neem hierin tevens op hoe een betrokkene zijn rechten kan uitoefenen. Belangrijk is hierbij dat de betrokkene zijn weg kan vinden en duidelijk is bij wie hij of zij moet zijn. Een privacyverklaring kunt u het beste publiceren op uw website.

5. Privacybeleid

U bent alleen verplicht om een gegevensbeschermingsbeleid op te stellen als dat in verhouding staat tot uw verwerkingsactiviteiten. Bij een grotere organisatie is het verstandig om een privacybeleid op te stellen. Via het privacybeleid kunt u uw medewerkers informeren over de processen en het gewenste gedrag.

6. DPIA (Data Protection Impact Assesment)

Indien u een (nieuwe) verwerking doet met een hoog privacyrisico moet u een Data Protection Impact Assesment (DPIA) uitvoeren. Dit is een instrument om (vooraf) de privacyrisico’s van een gegevensverwerking in kaart te brengen, zodat u vervolgens maatregelen kunt treffen om de risico’s te verkleinen. De AP heeft een lijst met 9 criteria ontwikkeld om u te helpen bepalen of een DPIA uitgevoerd moet worden, klik hier voor de lijst. Uitgaande van deze lijst moeten zorgaanbieders al snel een DPIA uitvoeren aangezien de meeste verwerkingen voldoen aan in elk geval twee criteria. Ten eerste het verwerken van gevoelige gegevens, daar vallen medische gegevens onder. Ten tweede het verwerken van persoonsgegevens over kwetsbare personen namelijk de patiënten. De AP heeft tevens een lijst met verwerkingen opgesteld waarbij een voorafgaande DPIA verplicht is, op deze lijst staat het grootschalig verwerker van gezondheidsgegevens genoemd, klik hier voor de lijst. Let op: een DPIA is niet verplicht voor verwerkingen die al bestonden voor 25 mei 2018, tenzij er iets verandert aan het risico van de verwerking.

Eldermans| Geerts heeft ook een handig DPIA-product ontwikkeld dat u gratis kunt downloaden om u op weg te helpen. Voor meer informatie zie onze aparte DPIA-product pagina

7. FG (Functionaris Gegevensbescherming)

Veel zorginstellingen zullen een Functionaris Gegevensbescherming (FG) moeten aanstellen. De FG is een professional die gespecialiseerd is in privacyvraagstukken. De functionaris moet deskundig zijn en heeft in dat kader opleiding nodig. Op grond van de AVG is het aanstellen van een FG verplicht als u grootschalig bijzondere persoonsgegevens verwerkt. Klik hier voor meer informatie over de FG.
De verplichting tot een FG is voor zorgaanbieders ook vastgelegd in het Besluit elektronische gegevensverwerking door zorgaanbieders.

Hulp nodig?
De implementatie van de AVG in de zorg kent een hoop richtlijnen waaraan u moet voldoen. Daarom is het belangrijk dat u zorgvuldig te werk gaat met het implementeren van deze privacywet. Heeft u hulp nodig bij het implementeren hiervan? Neem dan vrijblijvend contact met ons op.

e-learning privacy in de zorg

Specialisten over dit onderwerp

Gerelateerde items