MENUMENU
Eldermans | Geerts Advocaten
Juridisch specialist in de zorg

Eerste hulp bij de Algemene Verordening Gegevensbescherming en de Functionaris Gegevensbescherming

Vanaf 25 mei 2018 treedt de nieuwe privacywetgeving in werking: de Algemene Verordening Gegevensbescherming (AVG). Zorgaanbieders krijgen er veel verplichtingen bij om de privacy- en gegevensbescherming te bevorderen. Nieuw is bijvoorbeeld dat de AVG zorgaanbieders verplicht om een privacyboekhouding bij te houden, om aan te tonen dat de organisatie bewust met persoonsgegevens omgaat. Omdat privacy in de zorg van groot belang is, heeft de Nederlandse wetgever besloten om voor bepaalde zorgaanbieders al per 1 januari 2018 een functionaris voor gegevensbescherming (FG) verplicht te stellen.

Over welke privacyverplichtingen gaat het?

De AVG is erop gericht dat u duidelijk in kaart brengt welke verwerkingen u doet. Het idee hierbij is dat u zich bewust bent van de gegevensstromen en daardoor ook zorg kunt dragen voor de beveiliging en kwaliteit daarvan. Om die reden moet u straks een verwerkingsregister bijhouden, waarin u al uw gegevensstromen documenteert. Daarnaast moet u aan de hand van een Data Protection Impact Assessment (DPIA) nieuwe of risicovolle verwerkingen onderzoeken, zodat maatregelen getroffen kunnen worden om deze risico’s te verkleinen.

Datalek

Een aantal verplichtingen uit de huidige Wet bescherming persoonsgegevens (Wbp) komt weer terug in de AVG. Net als onder de Wbp bent u gehouden om een datalek te melden bij de Autoriteit Persoonsgegevens (AP). Daarbij moet u een datalekregister bijhouden met de voorgevallen datalekken, inclusief datalekken die u (weloverwogen) niet gemeld heeft. Het is dus van groot belang dat alle medewerkers binnen uw organisatie zich hiervan bewust zijn en weten wat zij moeten doen als er zich een datalek voordoet.

Overeenkomsten met verwerkers

Ook moet u nog steeds overeenkomsten sluiten met verwerkers (onder de huidige privacywetgeving bewerkers genoemd). Een verwerker is een derde die voor u persoonsgegevens verwerkt. Denk bijvoorbeeld aan een administratiekantoor of ICT bedrijf. Voor deze verwerkersovereenkomsten gelden wel weer nieuwe eisen ten opzichte van de huidige bewerkersovereenkomsten. Laat de bestaande bewerkersovereenkomsten daarom ook nog eens goed nakijken. Heeft u deze overeenkomsten niet, dan moet u dat in de meeste gevallen alsnog regelen.

Verder is belangrijk dat u transparant maakt hoe u gehoor geeft aan deze privacyverplichtingen in een privacyreglement.

Functionaris gegevensbescherming (FG)

In het ‘Besluit elektronisch gegevensverwerking door zorgaanbieders’ is sinds 1 januari 2018 de verplichting tot het aanstellen van een FG opgenomen voor:

1. De verantwoordelijke voor een elektronisch uitwisselingssysteem.

2. Zorgaanbieders die op grote schaal persoonsgegevens verwerken.

Wat bedoeld wordt met ‘op grote schaal’ is vooralsnog onduidelijk. De AP geeft eenpitters als voorbeeld van niet grootschalig en ziekenhuizen als voorbeeld van wel grootschalig. Daar tussen zit een heel groot grijs gebied waarvan onduidelijk is of in de praktijk een FG moet worden aangesteld.

Wanneer weet u of u wel of niet een FG moet hebben?

Hiervoor zult u uw organisatie en gegevensstromen onder de loep moeten nemen en zelf een afweging moeten maken over de noodzaak een FG aan te stellen.

Vanwege al deze nieuwe verplichtingen en regels is het van groot belang om privacy hoog op de agenda te hebben staan. De FG kan u helpen bij het inregelen van deze verplichtingen en om de juiste tools en documenten te verzamelen, maar met name de privacy- en gegevensbescherming te blijven waarborgen. Om deze reden kan het sowieso verstandig zijn om een FG aan te stellen.

Het artikel is ook te vinden op dentalinfo.nl.

Deel dit verhaal:
  • Meld u nu aan voor onze nieuwsbrief!
    Wilt u op de hoogte worden gehouden van de laatste ontwikkelingen en veranderingen op juridisch gebied? Via onze nieuwsbrief krijgt u automatisch de laatste nieuwtjes via de e-mail toegestuurd.
  • Inschrijven nieuwsbrief