AVG op een rij
U heeft mogelijk nog vragen over de nieuwe wet rondom privacy, de Algemene verordening gegevensbescherming (AVG). Vanaf 25 mei zal er handhaving van deze wet plaatsvinden. Niet naleven kan tot hoge boetes leiden. De AVG legt meer verantwoordelijkheid bij u als praktijk om aan te tonen dat u aan de privacy regels voldoet.
AVG in uw praktijk
Hieronder sommen we voor u kort op een rij op wat u vanwege de AVG wet moet regelen voor uw praktijk:
- Iedere praktijk moet een verwerkingsregister bij houden; bijvoorbeeld middels formulier Register Gegevens Verzameling (RGV). Voorbeelden hiervan zijn te vinden bij uw software leverancier of op internet (Google op ‘voorbeeld verwerkingsregister’).
- U dient voldoende beveiligingsmaatregelen te nemen ten aanzien van privacy van persoonsgegevens zoals verwijzingen en dossiers. Zorg bijvoorbeeld voor het afsluiten van computerschermen bij het verlaten van een ruimte, zorg voor een goede firewall, zorg voor sterke wachtwoorden. Check bij uw EPD leverancier hoe de veiligheid geborgd is. Beschrijf deze genomen maatregelingen in de handboeken.
- Het advies is om een privacyverklaring te hebben die u voor iedere patiënt kunt gebruiken. Hiermee spreekt u met de patiënt af hoe u met zijn/haar gegevens omgaat en vraagt u toestemming voor het uitwisselen van gegevens met andere zorgverleners en verwijzers. Het is formeel gezien niet nodig om bij aanvang van een behandeltraject iedere patiënt om toestemming te vragen. Toch is het advies om bij iedere patiënt een privacyverklaring te laten ondertekenen. Het voordeel wanneer u de patiënt de verklaring laat ondertekenen is dat u dit later niet meer hoeft te doen, wanneer u bijvoorbeeld een rapportage naar de huisarts stuurt, gegevens opvraagt van de röntgen of dat u data wilt delen voor een MDS.
- Rondom het aanstellen van een Functionaris Gegevensbescherming (FG) bestaat onduidelijkheid of u deze wel of niet zelf moet aanstellen voor uw praktijk. Er wordt gesteld dat dit verplicht is voor bedrijven waar ‘grootschalig’ bijzondere persoonsgegevens verwerkt wordt. Er is echter geen precieze omschrijving van ‘grootschalig’. Voor ziekenhuizen zou het wel gelden, voor huisartsenpraktijken niet. Zie hiervoor het artikel in SKIPR ’Invulling AVG roept vragen op’. Het Keurmerk bestuur heeft deze vraag ook voor u uitgezet bij VWS en houdt u op de hoogte.
- Meldplicht datalekken. U bent verplicht een melding maken als beveiligingsmaatregelen niet hebben gefunctioneerd en dit ernstige gevolgen heeft geleid voor de bescherming van persoonsgegevens. Tevens moet u laten zien in uw handboeken wat u heeft gedaan om het risico op een incident, zoals een datalek, zo laag mogelijk te houden.
Er zijn drie soorten datalekken:
- Materieel datalek: verloren of gestolen gegevens als USB stick, laptop, weggegooide ordners.
- Mondeling datalek: bijvoorbeeld niet in de gaten hebben dat er wordt meegekeken of meegeluisterd bij mondelinge overdracht van vertrouwelijke informatie aan derden.
- Datalek in cyberspaces, zoals geprogrammeerde achterdeurtjes in databases, onzorgvuldig beheer, onvoldoende beveiligingsmaatregelen, lek door hack.
U ontvangt een deelnemersovereenkomst van Nivel
Nivel Zorgregistraties heeft een zogenaamde ‘Data Protection Impact Assessment’ (DPIA) uitgevoerd, ook wel ‘gegevensbeschermingseffectbeoordeling’ genoemd. Daarbij wordt gebruik gemaakt van een model dat wordt aangereikt door de Autoriteit Persoonsgegevens. Hiermee hebben is in kaart gebracht hoe kritische elementen uit de AVG voor Nivel Zorgregistraties zijn geregeld.
In het Privacyreglement staat precies omschreven welke gegevens er voor welk doel worden gebruikt en hoe daarmee wordt omgegaan. Daar waar dat uit de DPIA naar voren kwam, is het Privacyreglement aangepast en zijn procedures en processen bijgesteld of aangescherpt. Zo is bijvoorbeeld in artikel 3.5 expliciet opgenomen dat artikel 7:458 BW in de Wet op de geneeskundige behandelingsovereenkomst (WGBO)* de wettelijke grondslag is voor de verwerking van de gegevens. Dat houdt ook in dat het Nivel verwerkingsverantwoordelijke is en dat er voor gegevensextractie geen verwerkersovereenkomst nodig is.
Het herziene Privacyreglement is voorgelegd aan de Privacycommissie van Nivel Zorgregistraties, die het op 4 april jl. heeft goedgekeurd. Wel is het noodzakelijk dat u met hen een deelnemersovereenkomst afsluit. Deze zal Nivel Zorgregistraties binnenkort in samenspraak met ons u toesturen. Wij verzoeken u deze getekend te retourneren naar Nivel Zorgregistraties zodat de gegevensverzameling in het kader van de Landelijke Database Keurmerk binnen de AVG plaatsvindt.
*Dit artikel is in overeenstemming met art. 24 UAVG, art. 89 lid 1 AVG en art.9 lid 2 sub j AVG jo. art. 6 lid 1 sub e AVG.
AVG-Helpdesk voor Zorg en Welzijn
Meer informatie rondom de AVG is te vinden op de site AVG-Helpdesk voor Zorg en Welzijn van de overheid. U kunt bij de AVG-Helpdesk terecht voor vragen viaAVGhelpdeskzorg@minvws.nl. Voor zorgaanbieders en sociaalwerkorganisaties die verantwoordelijk zijn voor de implementatie van de AGV is er een aparte telefonische hulplijn: 088-678 8969.
Meer informatie:
- Zie voor het maken van een datalek protocol: CIP (Centrum Informatiebeveiliging en Privacybescherming)
- Wilt u meer lezen over de AVG? Dan verwijzen wij u naar artikel: Zorgaanbieders en de AVG