Voor een gezonde huisartsenzorg
 
 

Privacywet AVG

Laatst bijgewerkt: 22/03/2018 - 08:46
Privacywet AVG
Vanaf 25 mei 2018 is er nieuwe privacywet: de Algemene Verordening Gegevensbescherming (AVG). Deze wet vervangt de Wbp. Vóór de ingangsdatum moet u zorgen dat u uw praktijkvoering hebt aangepast aan de eisen van de AVG. In dit dossier leest u waar een huisartsenpraktijk aan moet voldoen en hoe u dat regelt.

De AVG stelt een aantal aanvullende eisen ten opzichte van de Wet bescherming persoonsgegevens (Wbp). Deze nieuwe verplichtingen zijn er vooral op gericht om:

  • gegevens beter te beveiligen;
  • patiënten meer controle te geven over hun gegevens;
  • u te stimuleren gericht beleid te maken op het gebruik en de verwerking van persoonsgegevens.

 De belangrijkste nieuwe verplichtingen zijn:

  1. Het sluiten van verwerkersovereenkomsten
  2. Het bijhouden van een verwerkingsregister
  3. Het uitvoeren van een Data Protection Impact Assessment (DPIA)
  4. Het instellen van een Functionaris Gegevensbescherming
  5. Het publiceren van een privacyverklaring

Meer over deze 5 verplichtingen vindt u hierboven in het tabblad Wat moet u doen.

Daarnaast blijven de eisen uit de Wet bescherming persoonsgegevens bestaan. Sommige blijven hetzelfde, andere zijn aangescherpt.

Lees verder voor meer informatie

De bestaande verplichtingen uit de Wet bescherming persoonsgegevens zijn:

  • U ziet erop toe dat de systemen en andere middelen waarmee u persoonsgegevens verwerkt (bijv. een HIS) door de leverancier standaard privacyvriendelijk zijn ingesteld (“privacy by default”). Ook informeert u bij de selectie van nieuwe systemen of bij het ontwerp van het systeem al rekening is gehouden met de privacyregels (“privacy by design”). Deze principes waren al van belang, maar worden expliciet verplicht onder de AVG.
  • U informeert patiënten over de persoonsgegevens die u verwerkt. Daarvoor publiceert u een privacyverklaring, bijvoorbeeld op uw praktijkwebsite.

    Patiënten hebben nu al het recht op inzage in hun persoonsgegevens, deze te laten aanvullen, corrigeren, verwijderen of af te schermen. Met de AVG hebben patiënten daar bovenop het recht bezwaar te maken tegen de verwerking van bepaalde gegevens.

Nieuwe rechten voor patiënten:

  • U mag niet zomaar persoonsgegevens doorsturen naar landen buiten de Europese Unie of (rechts)personen buiten de Europese Unie toegang geven tot de door u verwerkte persoonsgegevens. Zet uw gegevens dan ook niet zomaar in de ‘cloud’ en overleg goed met uw IT–leverancier over wie wanneer toegang heeft. Zie ook de praktijkgids Patiëntgegevens in de cloud.
  • Inbreuken op de beveiliging van persoonsgegevens (datalekken) meldt u bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking en vaak ook bij patiënten. Zie voor meer informatie onze handreiking Meldplicht Datalekken. Nieuw is dat de AVG u verplicht alle datalekken in uw praktijk vast te leggen, ook als het gaat om kwesties die niet bij de Autoriteit Persoonsgegevens hoeven te worden gemeld.
  • De Autoriteit Persoonsgegevens heeft de mogelijkheid om boetes op te leggen. Het maximumbedrag van deze boete is verhoogd naar 20.000.000,- euro of 4 procent van de totale jaaromzet.

Lees verder op het tabblad Wat moet u doen. U vindt het tabblad bovenaan deze pagina.

1. Sluit verwerkersovereenkomsten af

Wanneer u persoonsgegevens laat verwerken door andere verwerkers, dient u hierover afspraken vast te leggen. Denk bijvoorbeeld aan uw HIS-leverancier, IT-leverancier of salarisadministratie (indien deze is uitbesteed aan derden). Dus met iedereen die geen medewerker of ingehuurd personeel is en die toegang heeft tot de persoonsgegevens. Deze specifieke afspraken kunnen in een aparte overeenkomst, een zogenoemde verwerkersovereenkomst, of in een bestaande overeenkomst worden opgenomen.

Lees meer over de verwerkersovereenkomst

Mogelijk heeft u nu al een goede (verwerkers)overeenkomst waarin alle afspraken zijn vastgelegd. Controleert u dan of in uw huidige overeenkomsten de verplichtingen uit de AVG voldoende zijn beschreven.

Let op: Het is niet nodig om een verwerkersovereenkomst af te sluiten met partijen die niet onder uw verantwoordelijkheid vallen. Denk aan ziekenhuizen, apothekers of andere zorgaanbieders in de eerste lijn waar u medicatiegegevens mee uitwisselt en de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) voor gebruik van het LSP.

Producten om u te helpen

In veel gevallen zal de partij die voor u gegevens verwerkt, bijvoorbeeld uw HIS-leverancier, zelf een verwerkersovereenkomst voorleggen. Biedt de verwerker geen overeenkomst aan, maar is die wel nodig? Gebruik dan:

  1. Beslisschema, daarmee ziet u of er wel of geen verwerkersovereenkomst nodig is.
  2. Checklist verwerkersovereenkomst, hiermee test u of de overeenkomst die de verwerker u aanbiedt voldoet.
  3. Voorbeeld verwerkersovereenkomst van de LHV om de afspraken vast te leggen.


2. Houd een verwerkingsregister bij

U bent als praktijkhouder verantwoordelijk voor de naleving van de AVG en behoort dit aan te kunnen tonen. Dat doet u door een register bij te houden van de verwerking van patiëntgegevens, een zogeheten verwerkingsregister.

In dit register documenteert u onder meer:

  • welke categorie persoonsgegevens u verwerkt, bijvoorbeeld medische gegevens,
  • met welk doel u dit doet, bijvoorbeeld behandeling van de patiënt of het opstellen van een factuur,
  • wie de gegevens aan u heeft gegeven, bijvoorbeeld patiënten of andere zorgverleners,
  • met wie u de gegevens deelt, bijvoorbeeld andere zorgverleners .

Lees meer over het verwerkingsregister

In het register staat ook steeds vermeld waarom u de gegevens mag gebruiken op grond van de AVG. Bijvoorbeeld omdat u wettelijk verplicht bent de gegevens te verwerken of de verwerking noodzakelijk is met het oog op de behandeling van de patiënt.

De Autoriteit Persoonsgegevenskan deze administratie bij u opvragen. Het register bevat dus geen namen van patiënten en andere zorgverleners, de benoeming van een categorie is voldoende.

Een samenvatting van het register kunt u gebruiken voor de privacyverklaring op uw website, om de patiënt te informeren over de wijze waarop u omgaat met de gegevens. Ook kunt u het overzicht gebruiken als de patiënt inzage wil in zijn gegevens of u vraagt bepaalde soort gegevens te corrigeren, te verwijderen, aan te vullen, te beperken of door te geven aan een andere zorgaanbieder.

Bekijk het voorbeeld verwerkingsregister van de LHV. Dat voorbeeld kunt u aanvullen met de informatie die specifiek is voor uw praktijksituatie.


3. Voer een DPIA uit

Volgens de nieuwe wet moet er in bepaalde gevallen een DPIAi worden uitgevoerd. Met een DPIA worden vooraf de privacyrisico’s van gegevensverwerking in kaart gebracht, bijvoorbeeld het opnemen van medische dossiers in een informatiesysteem. Om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

U bent verplicht om een DPIA uit te voeren bij wijzigingen in gegevensverwerking als dit een verhoogd risico met zich meebrengt. Bijvoorbeeld wanneer u een nieuw HIS aanschaft. Ook voor bestaande gegevensverwerking raadt de Autoriteit Persoonsgegevens aan om periodiek (bijv. eens per 3 jaar) een DPIA te (laten) uitvoeren. Wilt u daar meer over weten, bekijk dan de website van de Autoriteit Persoonsgegevens.

Lees meer over een DPIA

Hoe een DPIA er in de praktijk uit moet zien, is niet vastgelegd. De DPIA moet in elk geval wel systematisch een beschrijving bevatten van:

  • de beoogde verwerkingen en de doelen van de verwerking;
  • een beoordeling van de noodzaak en de evenredigheid van de verwerking in samenhang met de doeleinden;
  • een beoordeling van de risico’s voor de rechten en vrijheden van de patiënt.


4. Stel (indien nodig) een FG aan

Bij grootschalige gegevensverwerking of bij aansluiting op een elektronisch netwerk waarbij persoonsgegevens uitgewisseld kunnen worden met een andere zorgaanbieder (bijvoorbeeld LSP of DRS) moet de zorgaanbieder ook een functionaris voor gegevensbescherming (FG) aanstellen.

Lees meer over de FG

Over de vraag wat grootschalige verwerking is, bestaat nog veel onduidelijkheid. Het hangt af van de omvang van de organisatie. Zo zal een kleine zorgaanbieder (éénpitter) daar over het algemeen niet onder vallen, maar een grote zorgaanbieder (ziekenhuis en huisartsenpost) wel. Uit de praktijk zal blijken waar die grens ligt. In elk geval moet elke zorgaanbieder zich hiervan rekenschap geven en aan kunnen tonen dat over het instellen van een FG is nagedacht.

Een FG controleert of de privacywetgeving wordt nagekomen, geeft daarover advies, maakt inventarisaties van de gegevensverwerkingen en houdt deze bij. Daarnaast is de FG contactpersoon voor de Autoriteit Persoonsgegevens en voor patiënten. De FG brengt verslag uit aan de praktijkeigenaar.

De FG mag een personeelslid zijn of op basis van een servicecontract met een persoon of organisatie (met een team van FG’s) worden ingehuurd. Het is van belang dat de FG onafhankelijk kan handelen en deskundig is op het gebied van de wetgeving en de praktijk inzake gegevensbescherming.

Eén FG kan door meerdere organisaties worden ingeschakeld, waardoor huisartsen of andere zorgaanbieders ook een FG kunnen delen. Het is wel van belang dat deze makkelijk bereikbaar is en voldoende betrokken blijft bij iedere huisartsenpraktijk. Zo zou u kunnen denken aan één regionale FG, die binnen een regio meerdere huisartsenpraktijken/zorgaanbieders begeleidt.

Lees meer in het profiel voor de functionaris voor gegevensbescherming


5. Publiceer een privacyverklaring

U informeert patiënten over de persoonsgegevens die u verwerkt. Daarvoor heeft u een privacyverklaring beschikbaar, bijvoorbeeld op uw website. Uitleg daarover vindt u op de website van de Autoriteit Persoonsgegevens.

Patiënten hebben het recht hun persoonsgegevens in te zien, deze te laten aanvullen, corrigeren, verwijderen of af te schermen. Daarnaast hebben patiënten het recht bezwaar te maken tegen de verwerking van bepaalde gegevens. Ook nu geldt al dat u op verzoek van de patiënt het dossier overdraagt aan een andere zorgaanbieder. Dit geldt ook onder de WGBOi. Maar onder de AVG bent u óók verplicht om het dossier volledig over te dragen aan de patiënt, waarbij u dit niet mag weigeren.

Bekijk de voorbeeldtekst voor een privacyverklaring

Stel uw vraag

Aimée de Heij

Aimée de Heij

030 28 23 767
Pleunie Schalkwijk

Pleunie Schalkwijk

030 28 23 767
Stefan Visscher

Stefan Visscher

030 28 23 767
Swanehilde Kooij

Swanehilde Kooij

030 28 23 767