SPOEDLIJN: 023-5333222 (DAG) / 023-2242526 (AVOND/NACHT) / WWW.SPOEDPOST.COM

Privacy AVG


Vanaf 25 mei 2018 is er nieuwe privacywet: de Algemene Verordening Gegevensbescherming (AVG). Deze wet vervangt de Wbp. Vóór de ingangsdatum moet u zorgen dat u uw praktijkvoering hebt aangepast aan de eisen van de AVG. In dit dossier leest u waar een huisartsenpraktijk aan moet voldoen en hoe u dat regelt.

 

Wat moet u weten?

De AVG stelt een aantal aanvullende eisen ten opzichte van de Wet bescherming persoonsgegevens (Wbp). Deze nieuwe verplichtingen zijn er vooral op gericht om:

  • gegevens beter te beveiligen;
  • patiënten meer controle te geven over hun gegevens;
  • u te stimuleren gericht beleid te maken op het gebruik en de verwerking van persoonsgegevens.

 

De belangrijkste nieuwe verplichtingen zijn:

  1. Het sluiten van verwerkersovereenkomsten
  2. Het bijhouden van een verwerkingsregister
  3. Het uitvoeren van een Data Protection Impact Assessment (DPIA)
  4. Het instellen van een Functionaris Gegevensbescherming
  5. Het publiceren van een privacyverklaring

Meer over deze 5 verplichtingen in “Wat moet u doen”.

Daarnaast blijven de eisen uit de Wet bescherming persoonsgegevens bestaan. Sommige blijven hetzelfde, andere zijn aangescherpt.

 

De bestaande verplichtingen uit de Wet bescherming persoonsgegevens zijn:

  • U ziet erop toe dat de systemen en andere middelen waarmee u persoonsgegevens verwerkt (bijv. een HIS) door de leverancier standaard privacy vriendelijk zijn ingesteld (“privacy by default”). Ook informeert u bij de selectie van nieuwe systemen of bij het ontwerp van het systeem al rekening is gehouden met de privacyregels (“privacy by design”). Deze principes waren al van belang, maar worden expliciet verplicht onder de AVG.
  • U informeert patiënten over de persoonsgegevens die u verwerkt. Daarvoor publiceert u een privacyverklaring, bijvoorbeeld op uw praktijkwebsite.

    Patiënten hebben nu al het recht op inzage in hun persoonsgegevens, deze te laten aanvullen, corrigeren, verwijderen of af te schermen. Met de AVG hebben patiënten daar bovenop het recht bezwaar te maken tegen de verwerking van bepaalde gegevens.

 

Nieuwe rechten voor patiënten:

  • U mag niet zomaar persoonsgegevens doorsturen naar landen buiten de Europese Unie of (rechts)personen buiten de Europese Unie toegang geven tot de door u verwerkte persoonsgegevens. Zet uw gegevens dan ook niet zomaar in de ‘cloud’ en overleg goed met uw IT–leverancier over wie wanneer toegang heeft. Zie ook de praktijkgids Patiëntgegevens in de cloud (externe link).
  • Inbreuken op de beveiliging van persoonsgegevens (datalekken) meldt u bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking en vaak ook bij patiënten. Zie voor meer informatie onze handreiking Meldplicht Datalekken. Nieuw is dat de AVG u verplicht alle datalekken in uw praktijk vast te leggen, ook als het gaat om kwesties die niet bij de Autoriteit Persoonsgegevens hoeven te worden gemeld.
  • De Autoriteit Persoonsgegevens heeft de mogelijkheid om boetes op te leggen. Het maximumbedrag van deze boete is verhoogd naar 20.000.000,- euro of 4 procent van de totale jaaromzet.

 

Wat moet u doen?

 

  1. Sluit verwerkersovereenkomsten af

Wanneer u persoonsgegevens laat verwerken door andere verwerkers, dient u hierover afspraken vast te leggen. Denk bijvoorbeeld aan uw HIS-leverancier, IT-leverancier of salarisadministratie (indien deze is uitbesteed aan derden). Dus met iedereen die geen medewerker of ingehuurd personeel is en die toegang heeft tot de persoonsgegevens. Deze specifieke afspraken kunnen in een aparte overeenkomst, een zogenoemde verwerkersovereenkomst, of in een bestaande overeenkomst worden opgenomen.


  1. Houd een verwerkingsregister bij

U bent als praktijkhouder verantwoordelijk voor de naleving van de AVG en behoort dit aan te kunnen tonen. Dat doet u door een register bij te houden van de verwerking van patiëntgegevens, een zogeheten verwerkingsregister.

In dit register documenteert u onder meer:

  • welke categorie persoonsgegevens u verwerkt, bijvoorbeeld medische gegevens,
  • met welk doel u dit doet, bijvoorbeeld behandeling van de patiënt of het opstellen van een factuur,
  • wie de gegevens aan u heeft gegeven, bijvoorbeeld patiënten of andere zorgverleners,
  • met wie u de gegevens deelt, bijvoorbeeld andere zorgverleners .

  1. Voer een DPIA uit

Volgens de nieuwe wet moet er in bepaalde gevallen een DPIA worden uitgevoerd. Met een DPIA worden vooraf de privacy risico’s van gegevensverwerking in kaart gebracht, bijvoorbeeld het opnemen van medische dossiers in een informatiesysteem. Om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

U bent verplicht om een DPIA uit te voeren bij wijzigingen in gegevensverwerking als dit een verhoogd risico met zich meebrengt. Bijvoorbeeld wanneer u een nieuw HIS aanschaft. Ook voor bestaande gegevensverwerking raadt de Autoriteit Persoonsgegevens aan om periodiek (bijv. eens per 3 jaar) een DPIA te (laten) uitvoeren. Wilt u daar meer over weten, bekijk dan de website van de Autoriteit Persoonsgegevens (externe link).


  1. Stel (indien nodig) een FG aan

Bij grootschalige gegevensverwerking of bij aansluiting op een elektronisch netwerk waarbij persoonsgegevens uitgewisseld kunnen worden met een andere zorgaanbieder (bijvoorbeeld LSP of DRS) moet de zorgaanbieder ook een functionaris voor gegevensbescherming (FG) aanstellen.

  1. Publiceer een privacyverklaring

U informeert patiënten over de persoonsgegevens die u verwerkt. Daarvoor heeft u een privacyverklaring beschikbaar, bijvoorbeeld op uw website. Uitleg daarover vindt u op de website van de Autoriteit Persoonsgegevens (externe link).

Patiënten hebben het recht hun persoonsgegevens in te zien, deze te laten aanvullen, corrigeren, verwijderen of af te schermen. Daarnaast hebben patiënten het recht bezwaar te maken tegen de verwerking van bepaalde gegevens. Ook nu geldt al dat u op verzoek van de patiënt het dossier overdraagt aan een andere zorgaanbieder. Dit geldt ook onder de WGBOi. Maar onder de AVG bent u óók verplicht om het dossier volledig over te dragen aan de patiënt, waarbij u dit niet mag weigeren.

Bekijk de voorbeeldtekst voor een privacyverklaring

 

Producten

 

Verwerkingsovereenkomst

  1. Beslisschema: Wanneer is verwerkersovereenkomst verplicht?

Een verwerkersovereenkomst is wettelijk verplicht wanneer een partij (‘de verwerkingsverantwoordelijke’) het verwerken van bepaalde persoonsgegevens aan een andere partij (‘de verwerker’) wil uitbesteden. Deze verwerking moet conform de AVG met voldoende veiligheidswaarborgen zijn omkleed.

Onder verwerkers moeten worden verstaan: ‘bedrijven (derden) die in opdracht andermans gegevens be- en/of verwerken’. Bij huisartsenpraktijken zal dit vooral gaan om ICT-leveranciers of ICT-dienstverleners. Enkele voorbeelden:

  • een aanbieder die diensten “in de cloud” aanbiedt, zoals het beheer van klantenadministraties of hosted mailboxen;
  • een bedrijf dat nieuwsbrieven rondstuurt op basis van bestanden die zijn klanten aanleveren;
  • een aanbieder van een online boekhoudprogramma;
  • een aanbieder van een app die gebruikers persoonsgegevens van derden laat invoeren;
  • een leverancier van een Huisarts Informatie Systeem;
  • een bedrijf dat facturatie, personeelsadministratie en debiteurenbeheer uitvoert namens een opdrachtgever;

Om u te helpen bepalen of een verwerkersovereenkomst verplicht is, hebben we een beslisschema gemaakt. Hiermee kunt u per situatie bepalen of er wel of geen verwerkersovereenkomst nodig is.

 

  1. Waaraan moet een verwerkersovereenkomst voldoen?

De afspraken over de verwerking van gegevens kunnen in een aparte overeenkomst (de verwerkersovereenkomst) of in een bestaande overeenkomst worden opgenomen. Of een verwerkersovereenkomst voldoet aan de wet, is voor u – als verwerkingsverantwoordelijke – om te beoordelen. Om u daarmee te helpen, hebben wij een checklist opgesteld.

In de checklist verwerkersovereenkomst vindt u een overzicht van welke onderwerpen in de overeenkomst moeten worden beschreven en welke afspraken (minstens) moeten worden gemaakt.

 

  1. Voorbeeldovereenkomst

Om leden te ondersteunen, heeft de LHV een voorbeeld van een verwerkersovereenkomst gemaakt. Dit voorbeeld voldoet aan de regels uit de AVG en aan de eisen die de Autoriteit Persoonsgegevens daaraan stelt.

U kunt deze voorbeeldovereenkomst aanbieden aan de partijen die in opdracht van u gegevens verwerken en deze aanpassen aan uw eigen situatie.

 

Privacyverklaring voor praktijkwebsite

 

Als praktijkhouder bent u verplicht om nieuwe en bestaande patiënten duidelijk te informeren over wat u met hun persoonsgegevens doet. De meest handige manier om dat te doen, is door een privacyverklaring te publiceren op uw praktijkwebsite. Om u hierbij te helpen, heeft de LHV een voorbeeld van zo’n verklaring gemaakt.

Privacyverklaring

U kunt de privacyverklaring waar nodig aanpassen aan uw eigen organisatie en vervolgens publiceren op uw praktijkwebsite.

 

Aanvraagformulier wijzigen gegevens

Daarnaast geldt dat patiënten het recht hebben om hun persoonsgegevens in te zien, deze te laten aanvullen, corrigeren, verwijderen of af te schermen. Verder hebben patiënten het recht bezwaar te maken tegen de verwerking van bepaalde gegevens.

Om u te helpen om hieraan te voldoen, hebben we bij de privacyverklaring een aanvraagformulier gemaakt. Vanaf de privacyverklaring kunt u verwijzen naar het aanvraagformulier, zodat patiënten eenvoudig en eenduidig een aanvraag tot inzien, wijzigen of verwijderen kunnen indienen.

 

Verwerkingsregister

U bent als praktijkhouder verantwoordelijk voor de naleving van de privacywet AVG en behoort dit aan te kunnen tonen. Dat doet u door een register bij te houden van de verwerking van patiëntgegevens, een zogeheten ‘verwerkingsregister’. Op deze pagina leest u wat er in het verwerkingsregister moet staan en vindt u een voorbeeld van een verwerkingsregister.

In dit register documenteert u onder meer:

  • welke categorie persoonsgegevens u verwerkt, bijvoorbeeld medische gegevens,
  • met welk doel u dit doet, bijvoorbeeld behandeling van de patiënt of het opstellen van een factuur,
  • wie de gegevens aan u heeft gegeven, bijvoorbeeld patiënten of andere zorgverleners,
  • met wie u de gegevens deelt, bijvoorbeeld andere zorgverleners.

In het register staat ook steeds vermeld waarom u de gegevens mag gebruiken op grond van de privacywet AVG. Bijvoorbeeld omdat u wettelijk verplicht bent de gegevens te verwerken of de verwerking noodzakelijk is met het oog op de behandeling van de patiënt.

De Autoriteit Persoonsgegevens kan deze administratie bij u opvragen. Het register bevat dus geen namen van patiënten en andere zorgverleners, de benoeming van een categorie is voldoende.

Privacyverklaring op uw website

Een samenvatting van het register kunt u gebruiken voor de privacyverklaring op uw website, om de patiënt te informeren over de wijze waarop u omgaat met de gegevens. Ook kunt u het overzicht gebruiken als de patiënt inzage wil in zijn gegevens of u vraagt bepaalde soort gegevens te corrigeren, te verwijderen, aan te vullen, te beperken of door te geven aan een andere zorgaanbieder.

Om u te ondersteunen in het opstellen van een verwerkingsregister, heeft de LHV een voorbeeldregister gemaakt. Dit kunt u invullen met de informatie die specifiek is voor uw praktijksituatie. In de toelichting op het voorbeeld verwerkingsregister leggen we elk onderdeel uit.

 

Handreiking Meldplicht datalekken in de eerstelijnszorg

 

Hoe weet u wanneer er precies sprake is van een datalek? En welke acties moet u ondernemen als zich onverhoopt een datalek voordoet, zodat u voldoet aan de strengere regels die hier sinds 1 januari 2016 voor gelden? De antwoorden vindt u in de handreiking Meldplicht datalekken in de eerstelijnszorg.

Deze handreiking is bedoeld om eerstelijns zorgverleners en zorgorganisaties te ondersteunen bij het omgaan met de meldplicht datalekken die op 1 januari 2016 is ingevoerd. De handreiking is opgesteld door de LHV, InEen, KNMP, NHG en KNMG en bestaat uit 3 onderdelen:

  • Een overzichtelijk schema dat antwoord geeft op de belangrijkste vragen over datalekken.
  • Een toelichting waarin wordt uitgewerkt wanneer sprake is van een datalek, wanneer het datalek moet worden gemeld aan de Autoriteit Persoonsgegevens en wanneer patiënten moeten worden geïnformeerd. 
  • Een overzicht met meer dan 20 praktijkvoorbeelden van datalekken. Per voorbeeld is aangegeven of dit een datalek is, of deze moet worden gemeld aan de Autoriteit Persoonsgegevens, of de patiënten daarover moeten worden geïnformeerd en welke maatregelen de verantwoordelijke kan treffen om het datalek in de toekomst te voorkomen.