AVG

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum de privacy wetgeving binnen de hele Europese Unie gelijk is. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Wat verandert er?

Met de AVG veranderen een aantal zaken op het gebied van privacy en gegevensbescherming, maar veel blijft ook hetzelfde. De belangrijkste wijzigingen lichten we hieronder uit.

Alle organisaties in Europa die persoonsgegevens verwerken krijgen met de komst van de AVG meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

Om je te helpen in de wirwar aan informatie hebben we de AVG vertaald naar situaties specifiek gericht op jou als zorgverlener.

Verantwoordelijke aanwijzen

Een organisatie kan verplicht worden om iemand aan te wijzen die de gegevensbescherming waarborgt en als contactpersoon optreedt richting de toezichthouder; een functionaris voor de gegevensbescherming (FG). Of deze verplichting ook geldt voor praktijken is nog niet helemaal duidelijk.

Tot hier duidelijkheid over is kun je ervan uitgaan dat het niet aanstellen van een FG niet zwaar zal worden aangerekend als je aantoonbaar aandacht hebt besteedt aan de bescherming van persoonsgegevens. Overigens is het goed om te weten dat Intramed de bescherming van privacy en persoonsgegevens erg belangrijk vindt, en daarom zelf een FG heeft aangesteld.

Documentatie en registratie wordt belangrijker

De AVG noemt een aantal verplichte maatregelen waarmee je aan de verantwoordingsplicht kunt voldoen. Eén daarvan is een gedocumenteerd en werkend gegevensbeschermingsbeleid (of privacybeleid). Dit beleid beschrijft hoe de technische en organisatorische bescherming van persoonsgegevens is uitgewerkt. In het beleid staat onder andere:

  • een omschrijving van de categorieën persoonsgegevens die worden verwerkt (zoals NAW-gegevens, behandelgegevens, financiële gegevens)
  • het doel van de gegevensverwerking
  • op welke manier je voldoet aan de beginselen van verwerking van persoonsgegevens
  • de organisatorische en technische maatregelen die zijn genomen voor de beveiliging van persoonsgegevens
  • de bewaartermijn van de persoonsgegevens (wettelijk vastgesteld op 15 jaar voor zorgverleners)
  • wie welke rol heeft bij de omgang met persoonsgegevens
  • welke rechten betrokkenen (cliënten) hebben en op welke manier zij deze rechten kunnen uitoefenen

Het is belangrijk dat medewerkers op de hoogte zijn van het beleid. De omvang van het beleid is afhankelijk van de grootte van de praktijk. Het ligt voor de hand dat het beleid van een éénmanspraktijk beknopter is dan een organisatie met tientallen praktijken.

Naast deze verplichte maatregelen kun je ook op andere manieren laten zien dat je voldoet aan de eisen van de AVG. Misschien heb je al een beleid voor informatiebeveiliging en privacy, bijvoorbeeld in het kader van een NEN 7510 certificering. Dan ben je al een heel eind op weg om te voldoen aan de AVG.

Register van de verwerkingsactiviteiten

De AVG verlangt ook dat je een register bijhoudt waarin je alle activiteiten omschrijft waarbij bijzondere persoonsgegevens (waaronder gegevens over de gezondheid) worden verwerkt. Dit register bevat:

  • de naam en contactgegevens van de verantwoordelijke voor de gegevensverwerking (doorgaans de praktijkhouder) en eventueel van de functionaris voor gegevensbescherming
  • de doeleinden waarvoor de persoonsgegevens worden verwerkt
  • de categorieën van persoonsgegevens die worden verwerkt (zoals NAW-gegevens, behandelgegevens, financiële gegevens)
  • de categorieën van personen waarvan persoonsgegevens worden verwerkt (cliënten, klanten)
  • de categorieën ontvangers (aan wie worden de gegevens verstrekt; welke andere partijen zijn betrokken bij de verwerking)
  • de bewaartermijnen van de gegevens (wettelijk vastgesteld op 15 jaar voor zorgverleners)
  • de manieren waarop gegevens technisch en organisatorisch zijn beveiligd (verwijs hiervoor eventueel naar het gegevensbeschermingsbeleid)

Als de Autoriteit Persoonsgegevens het register bij je opvraagt, ben je verplicht om hier inzage in te geven.

Meer rechten voor betrokkenen

Je cliënten hebben meer en verbeterde rechten omtrent de gegevensverwerking. Een aantal van deze rechten zijn niet nieuw, maar worden in de AVG wel meer benadrukt en nemen daardoor in belang toe. Denk hierbij aan het recht op inzage, correctie en verwijdering.

Maar houd ook rekening met het recht op dataportibiliteit, waarbij cliënten hun gegevens makkelijk kunnen krijgen en doorgeven aan een andere organisatie als ze dat willen. Dit geldt overigens alleen voor een deel van de gegevens in medische dossiers: de persoonsgegevens en de gegevens verstrekt door het gebruik van een meetinstrument, vragenlijst of die voortkomen uit observatie. Het recht op dataportabiliteit geldt dus niet voor gegevens die je cliënt niet direct of indirect heeft aangeleverd. Denk hierbij bijvoorbeeld aan conclusies, diagnoses, vermoedens of behandelplannen die jij als zorgverlener op basis van de door de cliënt verstrekte gegevens vaststelt.

Bedenk hoe je met dit recht van je cliënten om wilt gaan als praktijk (protocol/werkinstructie). Vanuit Intramed zullen we jou zo goed mogelijk in staat stellen om aan deze rechten te voldoen.

Let op! De Wet op de geneeskundige behandelovereenkomst (Wgbo), die naast de AVG blijft gelden, beschrijft de regels voor het bewaren van medische dossiers. Onder meer dat medische dossiers vijftien jaar moeten worden bewaard. Cliënten hebben wel het recht om gegevens uit hun medisch dossier te laten verwijderen.

Informatieplicht

Je bent verplicht om nieuwe en bestaande cliënten te informeren over de verwerking van hun persoonsgegevens. Daarnaast moet je hen ook wijzen op hun rechten én hoe je omgaat met datalekken. Je kunt hiervoor een privacyverklaring opstellen en die op je website plaatsen bijvoorbeeld. Cliënten hoeven hier geen akkoord op te geven, maar ze moeten dit wel ergens tot zich kunnen nemen. De informatie in de privacyverklaring moet beknopt, transparant en begrijpelijk geformuleerd zijn.

Verwerkersovereenkomst

Als je de verwerking van persoonsgegevens uitbesteedt aan derde partijen (verwerkers), geldt onder de Wbp al de verplichting om daar een bewerkersovereenkomst voor op te stellen. Denk bijvoorbeeld aan Intramed Online, die de hosting van Intramed voor jou verzorgt. De AVG kent deze verplichting ook, maar spreekt van een verwerkersovereenkomst en stelt daar verdergaande eisen aan.

In de verwerkersovereenkomst moeten afspraken worden gemaakt over de volgende onderwerpen:

  • Het soort persoonsgegevens
  • Het doel, aard en duur van de gegevensverwerking
  • Omgang met de rechten van betrokkenen
  • Gegevensbeveiliging
  • Geheimhouding
  • Datalekken
  • Inschakelen van subverwerkers
  • Medewerking aan audits en een eventuele DPIA
  • Beëindiging van de dienstverlening en teruggave en vernietiging van de persoonsgegevens

Wij hebben een bewerkersovereenkomst met jou gesloten die grotendeels al voldoet aan de eisen van de AVG. Deze overeenkomst passen we aan om volledig aan de AVG te voldoen en wordt hernoemd naar een verwerkersovereenkomst. Controleer zelf of je met eventuele andere verwerkers ook een verwerkersovereenkomst hebt die voldoet aan de eisen van de AVG.

Meldplicht datalekken

De meldplicht voor datalekken geldt al een aantal jaren onder de Wbp, en is daarmee niet nieuw. Wel nieuw is de eis in de AVG om een registratie bij te houden van alle datalekken. Ook van de datalekken die je niet hoeft te melden aan de Autoriteit Persoonsgegevens. Een ander verschil met de huidige meldplicht is dat slechts melding bij de toezichthouder moet worden gedaan als er daadwerkelijk een lek heeft plaatsgevonden. De huidige meldplicht noemt een incident al een datalek wanneer de onrechtmatige verwerking van persoonsgegevens niet kan worden uitgesloten.

Beveiliging van persoonsgegevens

De AVG stelt je verplicht om invulling te geven aan de begrippen ‘Privacy by design’ en ‘Privacy by default’.

Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd. Een ander aspect is dat er niet meer gegevens worden verzameld of gedeeld dan noodzakelijk is voor het doel van de verwerking. En tevens de gegevens niet langer worden bewaard dan nodig is voor het doel.

Privacy by default houdt in dat technische en organisatorische maatregelen worden getroffen zodat standaard alleen die persoonsgegevens worden verwerkt die noodzakelijk zijn voor het bereiken van een specifiek doel. Er worden dus niet meer persoonsgegevens verzameld dan nodig, en de standaardinstellingen van een product of dienst gaan uit van minimale dataverzameling van alleen relevante persoonsgegevens.

Intramed en Intramed Online passen beide principes toe in de ontwikkeling van producten en diensten.

Data Protection Impact Assessment

Sommige gegevensverwerkingen leveren een hoog risico op voor de rechten en vrijheden van je cliënten (privacyrisico). De AVG verplicht in dat geval om een data protection impact assessment (DPIA) uit te voeren. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en stelt je in staat om maatregelen te nemen om deze risico’s te verkleinen.

Net als bij de functionaris voor gegevensbescherming is ook hier de vraag of praktijken verplicht worden een DPIA uit te voeren. De werkgroep van Europese toezichthouders adviseert om dit te bepalen op basis van het aantal personen waarvan gegevens wordt verwerkt, de hoeveelheid en verscheidenheid van deze gegevens, en de duur van de gegevensverwerking.

De verplichting voor een DPIA geldt in principe alleen voor nieuwe verwerkingen, die ná 25 mei 2018 starten. Treedt er na die datum een verandering op in een bestaande verwerking of wijzigen de risico’s van die verwerking, dan kan een DPIA alsnog verplicht zijn. Een bestaande gegevensverwerking kan veranderen als je een nieuwe technologie gaat gebruiken, bijvoorbeeld andere software voor de praktijkadministratie. In dat geval moet je vaststellen of de gewijzigde verwerking een hoog privacyrisico oplevert. Is dat het geval, dan ben je alsnog verplicht een DPIA uit te voeren. Intramed zal haar huidige en nieuwe klanten hierbij zo veel mogelijk voorzien van relevante gegevens, die uit onze eigen DPIA’s naar voren komen.

Zoals je ziet is de AVG nog niet op alle vlakken 100% uitgedacht. We volgen de ontwikkelingen op de voet en informeren je direct via deze pagina.

Meer informatie

Om je nóg verder op weg te helpen, hebben we een checklist gemaakt waarin we alle punten van de AVG uitlichten en aangeven wat dit concreet betekent voor jouw praktijk.

Bekijk onze checklist

Wij doen er alles aan om jouw gegevens goed te beveiligen. Intramed is dan ook ISO27001 en NEN7510 gecertificeerd. En hoe wij omgaan met de meldplicht datalekken, staat beschreven in onze bewerkers-/verwerkersovereenkomst. Je vindt dit document onder onze voorwaarden.

Het is belangrijk je te realiseren dat je zelf verantwoordelijk bent om te voldoen aan de eisen die de AVG stelt. Wij willen je hierin enkel op weg helpen als extra service. Zorg er daarom voor dat je goed ingelezen bent en weet wat er van je verwacht wordt. Bekijk ook de informatie van de Autoriteit Persoonsgegevens en de veelgestelde vragen op onze website.

Heb je daarnaast nog een vraag over de AVG in relatie tot Intramed, stel hem dan via avg@intramed.nl.