Zorgaanbieders en de AVG

30 januari 2018

De algemene verordening gegevensbescherming (AVG) brengt voor de zorgverlener nieuwe verantwoordelijkheden met zich mee. ELANN/ROS zette ze voor u op een rijtje.

De algemene verordening gegevensbescherming (AVG) brengt voor de zorgverlener nieuwe verantwoordelijkheden met zich mee. De regels dwingen u om zorgvuldig om te gaan met de privacygevoelige informatie van uw patiënten. Juist op de digitale informatie stromen is deze nieuwe verordening gebaseerd. 

Wat betekent dit voor u als zorgverlener?

Naast de nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt blijven ook de ‘bestaande’ regels gelden. Dit zijn: de WGBO (Wet op geneeskundige behandelingsovereenkomst), de Wkkgz (Wet kwaliteit, klachten en geschillen zorg), de Wet BIG (Wet op de beroepen in de individuele gezondheidszorg), de Zvw (zorgverzekeringswet) en de Wmg (Wet marktverordening gezondheidszorg). De AVG-regels gaan ook naast de huidige regels voor het medische geheim bestaan.

Dit alles maakt dat u op de praktijk of andere zorgonderneming veel zaken met betrekking tot privacy aantoonbaar geregeld moet hebben. Concreet moet u vanaf 25 mei 2018 de volgende zaken op orde hebben:

Verantwoordingsplicht

De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat u de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens van uw patiënten te beveiligen. En dat uw gegevensverwerkingen aan de AVG voldoen. Dat houdt bijvoorbeeld in dat u:

  • niet méér persoonsgegevens verwerkt dan noodzakelijk is voor het doel van de verwerking;
  • de toegang van medewerkers tot de persoonsgegevens beperkt;
  • de persoonsgegevens niet langer bewaart dan nodig is.

Verwerkt u persoonsgegevens die gebaseerd is op toestemming van de betrokken personen? Dan moet u onder de Algemene verordening gegevensbescherming (AVG) aan de Autoriteit Persoonsgegevens (AP) kunnen laten zien dat u die toestemming daadwerkelijk heeft. Dat maakt onderdeel uit van de verantwoordingsplicht die u onder de AVG heeft.

Hoe maakt u aantoonbaar dat u als zorgverlener toestemming hebt ontvangen van de patiënt om diens gegevens te verwerken?

Twee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat u kunt laten zien op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen:

  • documentatie over het proces waarin u heeft vastgelegd op welke manier u toestemming ontvangt en vastlegt
  • een kopie van de informatie die de betrokkenen hebben ontvangen voorafgaand aan de gegeven toestemming

Verplichte en extra maatregelen

In de AVG staan een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht voldoet. Naast de verplichte maatregelen kan het nodig zijn om extra maatregelen te nemen. Voor zorgaanbieders geldt onder meer dat:

  • De NEN 7510 een belangrijke norm voor informatiebeveiliging in de zorg blijft. U moet deze richtlijnen dus blijven volgen.
  • U van elke individuele medewerker moet bijhouden wanneer die van welke patiënt een dossier heeft bekeken. Dit heet logging. 
  • Het nodig kan zijn om een gegevensbeschermingsbeleid (opnemen in het beleidsplan) op te stellen. Daarin regelt u onder meer welke medewerkers toegang mogen hebben tot welke gegevens.
  • In de zorg is het maken van afspraken over dit soort autorisaties extra belangrijk omdat het vaak om gevoelige persoonsgegevens gaat. Medewerkers die geen behandelrelatie hebben met een patiënt, hebben ook geen toegang nodig tot het dossier van die patiënt.
  • U verplicht kunt zijn om een data protection impact assessment uit te voeren, een functionaris voor de gegevensbescherming aan te stellen en een register van verwerkingsactiviteiten bij te houden. Echter dit geldt in hoofdzaak voor grotere zorgorganisaties zoals ziekenhuizen en zorgcentra met meer dan 250 medewerkers.

Bronvermelding

Bron: Autoriteit Persoonsgegevens.

Klik hier om rechtstreeks naar de AP website te gaan.

Download

Bovenstaande informatie kunt u hieronder als PDF downloaden.

Download Zorgaanbieders en de AVG.pdf