Wachtwoord vergeten

Nieuwe privacyregels AVG

Nieuwe privacyregels AVG 01-02-2018

Per 25 mei 2018 moet uw praktijk voldoen aan de Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). De AVG vervangt de Nederlandse Wet bescherming persoonsgegevens (Wbp). Als praktijkhouder krijgt u meer verplichtingen, waarbij u met documenten moet gaan aantonen dat u hieraan voldoet. Ook worden privacyrechten van uw patiënten versterkt en uitgebreid. VvAA heeft de belangrijkste wijzigingen op een rij gezet.

Over welke gegevens in uw praktijk gaat de AVG?
De AVG ziet toe op de verwerking van alle patiëntengegevens, ook de niet-digitale. Daarnaast vallen andere persoonsgegevens onder de werking van de AVG, denk aan de personeelsdossiers van uw medewerkers en sollicitanten

Wat verandert er voor u?
Een groot deel van de verplichtingen in de AVG stond al in de Wbp. Bovendien blijven de verplichtingen uit andere wetten over het omgaan met patiëntengegevens van kracht.
De belangrijkste nieuwe verplichtingen voor u zijn: 
 

  1. Overeenkomsten met bewerkers aanpassen
    Maakt u gebruik van een verwerker die de beschikking krijgt over persoonsgegevens die onder uw verantwoordelijkheid vallen? Bijvoorbeeld een ICT-leverancier, of iemand die de salarisadministratie verzorgt? Dan verplicht de AVG u met deze partijen verwerkersovereenkomsten te sluiten. Werkt u nu met een zogenoemde bewerkersovereenkomst conform de Wbp, dan moet u deze laten aanpassen aan de eisen van de AVG. 
     
  2. Beschikbare privacyverklaring hebben en publiceren
    In een privacyverklaring informeert u patiënten schriftelijk en in begrijpelijke taal over onder meer: het doel van de verwerking van hun gegevens, aan wie u deze verstrekt en hoe lang u deze bewaart. Dat doet u ook over de wijze waarop patiënten hun rechten kunnen uitoefenen. De privacyverklaring moet u zowel op papier als online beschikbaar stellen.  
     
  3. Functionaris voor de Gegevensbescherming
    Het hebben van een Functionaris voor de Gegevensbescherming (FG) is soms voor u verplicht. Zo niet, dan is het toch raadzaam een FG aan te wijzen. Dit is een onafhankelijke persoon die uw organisatie adviseert over de naleving van de AVG. Een FG is verplicht wanneer u op grote schaal persoonsgegevens verwerkt. Het is nog niet helemaal duidelijk welke zorgaanbieders hier onder vallen. Hiervoor is niet alleen het aantal zorgverleners in uw praktijk relevant, maar ook bijvoorbeeld deelname aan systemen voor elektronische gegevensuitwisseling, zoals het LSP voor huisartsen, huisartsenposten en apothekers. Een FG kan ook gezamenlijk ingekocht worden. Hier volgt binnenkort meer informatie over op onze website.
     
  4. Alle datalekken registreren
    Op grond van de Wbp bent u verplicht de datalekken te registreren die bij de toezichthouder (de Autoriteit Persoonsgegevens) zijn gemeld. De AVG stelt echter de verplichting om álle datalekken te noteren.
     
  5. Verwerkingsregister aanleggen en bijhouden
    U bent verplicht een zogenoemd verwerkingsregister aan te leggen. Hierin vermeldt u alle soorten persoonsgegevens die u in uw praktijk bewaart, de wijze waarop u deze verwerkt, voor welk doel etc.
     
  6. Uitvoering van Privacy Impact Assessment (PIA) voor toepassing van nieuwe verwerkingssystemen
    Wat zijn de risico’s van verwerkingssystemen? Die moet u vóór invoering analyseren. Denk aan de implementatie van een huisartsinformatiesysteem, website of andere nieuwe software. Pas na uitvoering van de PIA en de implementatie van de assessment, kan de verwerking van de patiëntgegevens starten.
     
  7. Aantonen dat u privacybeleid heeft, uitvoert en bijhoudt
    Kennis en bewustwording rondom de AVG is belangrijk voor iedereen binnen uw praktijk. Alle medewerkers moeten hiervan dan ook op de hoogte zijn en blijven. Het gaat immers om de juiste manier van gegevens verwerken.
     
  8. Nieuwe rechten van patiënten naleven
    Uw patiënten hebben nu al recht op inzage of correctie van hun gegevens. Net als het recht op correctie en het verwijderen van gegevens in hun eigen dossier. Nieuw is onder andere het recht van een patiënt om de informatie uit zijn dossier te (laten) exporteren in een standaard sjabloon. Dit maakt de overdracht aan een andere zorgaanbieder mogelijk.

Wat gebeurt er als u niet (op tijd) aan de AVG voldoet?
De AVG is al van kracht, maar u hebt tot 25 mei 2018 de tijd om uw praktijk hierop aan te passen. Vanaf die datum kan de Autoriteit Persoonsgegevens gaan handhaven: controleren of u aan de verplichtingen voldoet en zo nodig maatregelen treffen. Zo kan de autoriteit een boete opleggen, bijvoorbeeld als u niet, of te laat, een datalek meldt.

Bron: VvAA

 



« Terug naar overzicht