MENUMENU
Eldermans | Geerts Advocaten
Juridisch specialist in de zorg

Eerste hulp bij AVG

Als zorgaanbieder heeft u dagelijks te maken met de privacy van uw patiënten en/of cliënten. U verwerkt immers veel medisch gegevens en deze moeten goed beschermd worden. De privacywetgeving stelt precies wat u moet doen. Vanaf 25 mei 2018 is daar de AVG (Algemene Verordening Gegevensbescherming) bijgekomen. Wat moet u als zorgaanbieder nou weten over de nieuwe privacywetgeving? Op deze pagina kunt u meer informatie vinden over de verplichten waaronder het opstellen van documenten en ons product om snel en gemakkelijk aan de verplichtingen uit de AVG te voldoen.

Als zorgaanbieder bent u verplicht een verwerkingsregister bij te houden. In het register brengt u uw gegevensverwerkingen in kaart. U moet onder andere documenteren welke persoonsgegevens u verwerkt, met welk doel, waar deze gegevens vandaan komen en met wie u ze deelt. Zodat voor uzelf en de toezichthouder duidelijk is welke gegevensstromen er lopen. De achterliggende gedachte hiervan is dat u op deze manier beter de gegevensstromen kunt monitoren en beschermen. Ook past in dit register de grond waarop u de verwerking doet. Dit kan toestemming van de patiënt zijn, maar ook de behandelovereenkomst of de dossierplicht.

Zorgaanbieders zijn verplicht een datalekregister bij te houden. Binnen elke organisatie kan er iets mis gaan en gaat er in de praktijk ook wel eens iets mis. Hierdoor kan het gebeuren dat persoonsgegevens niet beschikbaar zijn, op de verkeerde plek of bij de verkeerde persoon terechtkomen, oftewel een datalek. U moet alle datalekken documenteren (en de meeste ook melden bij de Autoriteit Persoonsgegevens: hierna AP). Aan de hand van deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Deze plicht geldt enkel voor de verwerkingen waar u verantwoordelijk voor bent, dat wil zeggen, de verwerkingen waar u doel en middel voor bepaalt. Het is van groot belang dat elke medewerker binnen uw organisatie zich bewust is van deze meldplicht. Anders kunnen datalekken onopgemerkt en/of ongemeld blijven.

Besteedt u persoonsgegevens uit aan derden? Die derden kunnen onder omstandigheden ‘verwerkers’ zijn en in dat geval is een verwerkersovereenkomst verplicht. Denk bij een verwerker bijvoorbeeld aan het ICT bedrijf die uw systeem beheert of aan een administratiekantoor die de boekhouding doet. Het is het goed om te bekijken of u een verwerkersovereenkomst heeft met uw verwerkers (vroeger bewerkers genoemd), en zo ja om deze overeenkomst er nog eens op na te slaan. In de AVG staan bepaalde onderwerpen genoemd die in de overeenkomst met de verwerker moeten worden opgenomen. Zoals het feit dat een datalek door de verwerker moet worden gemeld bij de verwerkingsverantwoordelijke zonder onredelijk vertraging of dat een verwerker uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.

Voorgaande verplichtingen zijn lastig te implementeren als u niet scherp heeft hoe u dit wilt doen. Leg daarom vast hoe u omgaat met de persoonsgegevens van uw patiënten, cliënten en medewerkers. Communiceer dit ook naar buiten toe in een privacyverklaring. Neem hierin tevens op hoe een betrokkene zijn rechten kan uitoefenen. Belangrijk is hierbij dat de betrokkene zijn weg kan vinden en duidelijk is bij wie hij of zij moet zijn. Een privacyverklaring kunt u het beste publiceren op uw website.

U bent alleen verplicht om een gegevensbeschermingsbeleid op te stellen als dat in verhouding staat tot uw verwerkingsactiviteiten. Bij een grotere organisatie is het verstandig om een privacybeleid op te stellen. Via het privacybeleid kunt u uw medewerkers informeren over de processen en het gewenste gedrag.

Indien u een (nieuwe) verwerking doet met een hoog privacyrisico moet u een Data Protection Impact Assesment (DPIA) uitvoeren. Dit is een instrument om (vooraf) de privacyrisico’s van een gegevensverwerking in kaart te brengen, zodat u vervolgens maatregelen kunt treffen om de risico’s te verkleinen. De AP heeft een lijst met 9 criteria ontwikkeld om u te helpen bepalen of een DPIA uitgevoerd moet worden, klik hier voor de lijst. Uitgaande van deze lijst moeten zorgaanbieders al snel een DPIA uitvoeren aangezien de meeste verwerkingen voldoen aan in elk geval twee criteria. Ten eerste het verwerken van gevoelige gegevens, daar vallen medische gegevens onder. Ten tweede het verwerken van persoonsgegevens over kwetsbare personen namelijk de patiënten. De AP heeft tevens een lijst met verwerkingen opgesteld waarbij een voorafgaande DPIA verplicht is, op deze lijst staat het grootschalig verwerker van gezondheidsgegevens genoemd, klik hier voor de lijst. Let op: een DPIA is niet verplicht voor verwerkingen die al bestonden voor 25 mei 2018, tenzij er iets verandert aan het risico van de verwerking.

Veel zorginstellingen zullen een Functionaris Gegevensbescherming (FG) moeten aanstellen. De FG is een professional die gespecialiseerd is in privacyvraagstukken. De functionaris moet deskundig zijn en heeft in dat kader opleiding nodig. Op grond van de AVG is het aanstellen van een FG verplicht als u grootschalig bijzondere persoonsgegevens verwerkt. Klik hier voor meer informatie over de FG.

De verplichting tot een FG is voor zorgaanbieders ook vastgelegd in het Besluit elektronische gegevensverwerking door zorgaanbieders.

  • Meld u nu aan voor onze nieuwsbrief!
    Wilt u op de hoogte worden gehouden van de laatste ontwikkelingen en veranderingen op juridisch gebied? Via onze nieuwsbrief krijgt u automatisch de laatste nieuwtjes via de e-mail toegestuurd.
  • Inschrijven nieuwsbrief