P3NL-nieuws; de AVG: een fikse klus

26-04-2018

Het aanbod van P3NL aan de leden van haar lidverenigingen en nog enkele andere partijen, is nu enkele maanden oud. 750 professionals hebben via P3NL het AVG-programma aangeschaft. Hoe gaat het nu? Zijn er al leden die het ‘AVG-programma’ hebben doorlopen en wat zijn de ervaringen daarmee? In dit artikel de stand van zaken tot nu toe. Bent u er mee bezig of moet u nog aan de slag? Dan is dit artikel van groot belang om te lezen.

  • Wat houdt het AVG-programma in?
  • Hoe is het programma opgebouwd?
  • Standaarddocumenten
  • De AVG en zorgspecifieke wetten, zoals de WGBO
  • Mag ik niks meer vastleggen van cliënten?
  • Alternatieve pakketten
  • Voldoen aan de AVG: het is veel werk, ga naar een invulsessie
  • ICT: complex?

Wat houdt het AVG-programma in?
Het AVG-programma wordt aangeboden door de Stichting AVG, een organisatie die speciaal is opgericht om verenigingen in Nederland te ondersteunen om te kunnen voldoen aan de privacywetgeving. De Stichting AVG heeft deze tool voor verenigingen ook aangepast om de leden van de verenigingen, werkzaam in het midden- en kleinbedrijf, te ondersteunen. De vrijgevestigde psychologen, psychotherapeuten en pedagogen vallen daar ook onder.

Om die reden heeft P3NL gekozen voor dit zeer betaalbare programma. Het is te verkrijgen via de website van P3NL. De kosten voor de leden bedragen slechts  € 25,- (incl. btw) per jaar.

In het programma wordt de AVG opgedeeld in 16 overzichtelijke stappen. U wordt stapsgewijs door de (vaak lastige) materie geleid. U houdt overzicht en u vergeet niets. Bovendien krijgt u een zogeheten AVG-verklaring waarmee u aantoont wat u heeft gedaan om aan de wet te voldoen.

Hoe is het programma opgebouwd?
Hoofdstuk 1, 2 en 3 gaan over het invullen van de basisgegevens voor uw organisatie.

De hoofdstukken 4 en 5 gaan over de juridische kant. Daar komen zaken als privacybeleid en allerlei praktische do’s en don’t’s aan de orde. Daarnaast komt hier het doorgeven van gegevens aan derden aan de orde.

Hoofdstuk 6 t/m 9 is gewijd aan de ICT: in dit digitale tijdperk van groot belang. Wie mag er in de computer en zijn alle bestanden of toegang tot bepaalde mappen of programma’s wel beveiligd? Is uw software wel voldoende up to date? Is uw website veilig genoeg? Wisselt u gegevens uit met partijen buiten de EU en hoe is uw back-up geregeld? Belangrijke vragen die aardig wat huiswerk vergen.

Hoofdstuk 10 t/m 14 gaan in op uw ‘organisatie’. Vragen over medewerkers (daar ligt een belangrijk risico) over persoonsgegevens (wat legt u vast en waarom), beveiliging van archieven en wat doet u tegen datalekken?

Hoofdstuk 15 gaat over wat heeft u gedaan om alle medewerkers bewust te maken van het belang van de bescherming van de privacy.

Het laatste hoofdstuk (16) helpt u bij het klaarmaken van de AVG-verklaring.

Standaarddocumenten
Bij de verschillende hoofdstukken horen standaarddocumenten die u kunt aanpassen naar uw eigen situatie, zoals een voorbeeld ‘geheimhoudingsverklaring’ voor medewerkers, een voorbeeld van een ‘privacy policy’ en een voorbeeld ‘verwerkersovereenkomst’. Deze documenten zijn algemeen en dus nog niet toegesneden op de zorg (dat hoeft overigens niet altijd).

Een aantal verenigingen, binnen P3NL, is bezig om meer toegesneden informatie en voorbeelden (waaronder dus ook standaarddocumenten) te geven aan hun leden: het is dus belangrijk de berichtgeving van de verenigingen in de gaten te houden. De NVGzP heeft dit inmiddels gerealiseerd voor haar leden.

In het programma zelf zullen dan ook gaandeweg meer en meer documenten als voorbeeld worden toegevoegd: want ook volgend jaar zult u de controle opnieuw moeten uitvoeren.

De AVG en zorgspecifieke wetten zoals de WGBO
De al bestaande regels over privacy in de zorg, zoals bijvoorbeeld vastgelegd in de Wet op de Geneeskundige BehandelOvereenkomst (WGBO) en in de beroepscodes voor psychologen, pedagogen en psychotherapeuten blijven gelden onder de AVG. De AVG vraagt daarnaast ook andere zaken van u en uw organisatie. U moet onder andere een overzicht maken van de gegevens die u verwerkt en een privacy policy opstellen en publiceren.

De Autoriteit Persoonsgegevens, de controlerende instantie op de uitvoering van de wet,  heeft hier een aantal vragen voor zorgaanbieders over de AVG verzameld.

Mag ik niks meer vastleggen van mijn cliënten?
De wet AVG gaat over de vraag wat u als organisatie, hoe klein of hoe groot ook, heeft gedaan om de privacy te waarborgen van de mensen waarvan u gegevens bewaart. De wet vraagt een aantoonbare inspanning. Het gaat erom dat u kunt motiveren welke gegevens u vastlegt. Als u u bij het vastleggen van gegevens en bij de dossiervorming houdt aan uw beroepscode en aan de wettelijke kaders zoals bijvoorbeeld staan in de WGBO of Jeugdwet, dan is dat voldoende motivatie voor de AVG. Het is wel van belang dat u beschrijft welke gegevens u vastlegt, met welk doel en hoe lang u de gegevens bewaart. Als de Autoriteit Persoonsgegevens controleert, moet u dit overzicht en de motivatie kunnen tonen.

Alternatieve pakketten
Naast het aanbod van P3NL, zijn er ook andere partijen die een aanbod hebben voor zorgverleners. De (jaarlijkse) kosten voor deze pakketten zijn echter aanmerkelijk hoger. Voordeel is wel dat deze pakketten meer zijn toegesneden op de zorg.

Bij elk aanbod geldt dat voldoen aan de AVG veel tijd, onderzoek en inspanning vergt. De AVG schrijft niet voor wat wel en niet mag in specifieke situaties, maar vraagt wel van elk bedrijf en instelling dat ze kunnen verantwoorden waarom ze bepaalde keuzes hebben gemaakt.

Voldoen aan de AVG: het is veel werk, ga naar een invulsessie!
P3NL heeft bijna 750 vouchercodes uitgegeven voor het programma; ruim 540 professionals hebben deze code verzilverd en hebben een start gemaakt met het programma. Vanaf het moment dat u een inlog voor het AVG-programma heeft, begint het eigenlijke werk.

Linksom of rechtsom: het aantoonbaar voldoen aan de nieuwe wet kost veel tijd, daar valt niet aan te ontkomen. Maar u hoeft het niet alleen te doen: de Stichting AVG ondersteunt met ‘invulbijeenkomsten’ die overal in het land worden georganiseerd. Hier doorloopt u samen het programma, krijgt u tips en kunt u vragen stellen. Diverse leden zijn daar inmiddels al geweest. Kijk hier voor het meest recente overzicht. De ervaring leert dat het bezoeken van deze invulsessie bij 95% van de bezoekers leidt tot een complete AVG-verklaring. Deze invulsessie kosten overigens wel € 195,- excl. btw maar daarmee bent u waarschijnlijk snel(ler) klaar.

ICT: complex?
In het programma wordt een aantal tests geadviseerd en wie die uitvoert, zal ontdekken dat er al snel iets kan mankeren aan de beveiliging. Het is in dit geval van groot belang dat u aantoonbaar heeft overlegd met uw ICT-leverancier dan wel uw provider over uw website en mail: dat is het doel van de AVG-wet, laat zien dat u over alle aspecten heeft nagedacht en daarover besluiten heeft genomen.