Eerste hulp bij de Algemene Verordening Gegevensbescherming

12-07-2018


Kitty ten Bras

De Algemene Verordening Gegevensbescherming (AVG) is een feit. Hebt u alle verplichtingen al ingebed in uw organisatie? Waarschijnlijk bent u al wel begonnen, maar moet u nog de puntjes op de i zetten. In dit artikel zijn globaal alle verplichtingen op een rijtje gezet en geven we enkele praktische tips per verplichting.

Privacyverklaring
Externen (patiënten en geïnteresseerden) kunnen uit de privacyverklaring opmaken wat uw beleid is ten opzichte van persoonsgegevens, hoe u met persoonsgegevens omgaat en welke gegevens u hebt. Dit document moeten mensen makkelijk kunnen vinden op de website, maar vanwege de toegankelijkheid is het handig om ook geprinte exemplaren op de praktijk te hebben. Het gaat erom dat geïnteresseerden de verklaring kunnen lezen. Ze hoeven dit dus niet te doen en hoeven de verklaring ook niet te ondertekenen. Zorg ervoor dat de verklaring simpel en duidelijk is en dus geen kopie van de wettekst.

Verwerkingsregister
Het verwerkingsregister is een overzicht waaruit in één oogopslag blijkt welke gegevens u waar en waarom verwerkt. Dit overzicht is voor uzelf en eventueel voor de Autoriteit Persoonsgegevens (AP). Met deze kennis kunt u namelijk zorgen voor de juiste beveiliging, het tijdig verwijderen van gegevens en in zijn algemeenheid een juiste omgang met persoonsgegevens. Meestal wordt het verwerkingsregister in een Excel sheet gemaakt en bijgehouden.

Verwerkersovereenkomst
Met alle partijen die in opdracht van u gegevens verwerken moet u een verwerkersovereenkomst afsluiten. U blijft namelijk verantwoordelijk voor de gegevens dus u moet goede afspraken maken met de verwerker over onderwerpen als datalekken, beveiliging en aansprakelijkheid. Vaak zal de verwerker u uit eigen beweging een verwerkersovereenkomst sturen. Bekijk hier altijd aandachtig de aansprakelijkheidsverdeling. Een verwerkersovereenkomst hoeft niet altijd een klassieke overeenkomst te zijn, maar kan ook in algemene voorwaarden geregeld worden.

In welke situatie is een verwerkersovereenkomst vereist?

Organisatie Verwerkersovereenkomst
EPD leverancier Ja
Salarisadministratiekantoor Ja
Website beheerder Ja, mits u persoonsgegevens via de website verwerkt via cookies of een contactformulier.
ZorgTTP (ROM-data) Algemene Aansluit- en bewerkersvoorwaarden stichting ZorgTTP
Accountant Geen verwerkersovereenkomst voor de controle op de jaarstukken. Wel verwerkersovereenkomst voor salarisadministratie.
Collega zorgverleners Nee
Zorgverzekeraars Nee
VECOZO Nee
DIS Nee

Datalekregister
Mocht zich ondanks alle maatregelen toch een datalek voordoen, dan moet u dit vastleggen in een intern datalekregister. Dit register heeft als doel dat u kunt leren van gemaakte fouten. Bovendien moet u ernstigere datalekken ook melden aan de AP en soms zelfs aan de betrokkene.

Beveiliging
Een van de belangrijkste verplichtingen is het voldoende en passend beveiligen van de persoonsgegevens. Gebruik dus een beveiligde mail, goede wachtwoorden, zorg voor een slot op de archiefkast, maak back-ups en probeer uitwisseling van gegevens buiten de EER zoveel mogelijk te vermijden. Schakel hierbij de hulp in van een ICT’er die voldoende kennis heeft van technische beveiliging. Zorg er bovendien voor dat iedereen binnen de praktijk nauwkeurig werkt. De meeste beveiligingsincidenten worden veroorzaakt door menselijk handelen.

DPIA
Indien u een nieuwe risicovolle verwerking gaat doen is het mogelijk dat u verplicht bent tot een DPIA. Dit is een toetsmethode om risico’s te analyseren en te verminderen door het nemen van de juiste maatregelen. Houd dit in uw achterhoofd bij vernieuwingen.

Functionaris voor gegevensbescherming (FG)
De FG kan u helpen bij het inregelen van deze verplichtingen en om de juiste tools en documenten te verzamelen, maar met name de privacy- en gegevensbescherming te blijven waarborgen. In sommige gevallen is een FG zelfs verplicht, namelijk als u grootschalig bijzondere persoonsgegevens verwerkt. U bent in elk geval niet grootschalig als eenpitter. Wanneer u wel grootschalig bent is nog niet duidelijk. Dit hangt af van een aantal factoren waaronder aantal betrokkene en hoeveelheid persoonsgegevens. Voor apotheken en medisch specialisten ligt de grens bij 10.000 ingeschreven patiënten. Let op: een FG moet wel onafhankelijk, deskundig en bereikbaar zijn. Bovendien heeft een FG ontslagbescherming.

Ofwel genoeg te doen. Vanwege al deze nieuwe verplichtingen en regels is het van groot belang om privacy hoog op de agenda te hebben staan. Het belangrijkste is dat u zorgvuldig omgaat met privacygevoelige informatie en dat u dit kunt laten zien aan de AP.

Kitty ten Bras – Eldermans | Geerts

Advocaten, zorgmakelaars en juridisch adviseurs in de zorg
post@eldermans-geerts.nl