Voor een gezonde huisartsenzorg
 
 

Privacywet AVG

Laatst bijgewerkt: 25/06/2018 - 10:47
Privacywet AVG
Sinds 25 mei is er een nieuwe privacywet van kracht: de Algemene Verordening Gegevensbescherming (AVG). Deze wet is de opvolger van de Wbp. De AVG stelt eisen aan de omgang met persoonsgegevens. Dat heeft ook gevolgen voor huisartsen(praktijken). In dit dossier leest u waar u aan moet voldoen en hoe u dat regelt.

Heeft u vragen over de privacywet AVG en toepassing daarvan in uw huisartsenpraktijk? Neem dan contact op via avg@lhv.nl of via 085 04 80 076.

De AVG stelt een aantal aanvullende eisen ten opzichte van de Wet bescherming persoonsgegevens (Wbp). Deze nieuwe verplichtingen zijn er vooral op gericht om:

  • gegevens beter te beveiligen;
  • patiënten meer controle te geven over hun gegevens;
  • u te stimuleren gericht beleid te maken op het gebruik en de verwerking van persoonsgegevens.

 De belangrijkste nieuwe verplichtingen zijn:

  1. Het sluiten van verwerkersovereenkomsten
  2. Het bijhouden van een verwerkingsregister
  3. Het publiceren van een privacyverklaring
  4. Het uitvoeren van een Data Protection Impact Assessment (DPIA)
  5. Het instellen van een Functionaris Gegevensbescherming

Dit zijn in zijn algemeenheid de belangrijkste nieuwe verplichtingen uit de AVG. Op het tabblad Wat moet u doen hierboven leest u wat de regels betekenen voor huisartsen(praktijken).

Lees verder voor meer informatie over de AVG

Overige verplichtingen vanuit de AVG:

Patiëntenrechten:

  • Patiënten hebben recht op inzage in hun persoonsgegevens en om deze te laten aanvullen, corrigeren, verwijderen of af te schermen. Met de AVG hebben patiënten daar bovenop het recht bezwaar te maken tegen de verwerking van bepaalde gegevens.
  • U mag alleen met toestemming van de patiënt elektronisch gegevens delen.

Veiligheid:

  • U ziet erop toe dat de systemen en andere middelen waarmee u persoonsgegevens verwerkt (bijv. een HIS) door de leverancier standaard privacyvriendelijk zijn ingesteld (“privacy by default”). Ook informeert u bij de selectie van nieuwe systemen of bij het ontwerp van het systeem al rekening is gehouden met de privacyregels (“privacy by design”). Deze principes waren al van belang, maar worden expliciet verplicht onder de AVG.
  • U mag niet zomaar persoonsgegevens doorsturen naar landen buiten de Europese Unie of (rechts)personen buiten de Europese Unie toegang geven tot de door u verwerkte persoonsgegevens. Zet uw gegevens dan ook niet zomaar in de ‘cloud’ en overleg goed met uw IT–leverancier over wie wanneer toegang heeft. Zie ook de praktijkgids Patiëntgegevens in de cloud.
  • Inbreuken op de beveiliging van persoonsgegevens (datalekken) meldt u bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking en vaak ook bij patiënten. Zie voor meer informatie onze handreiking Meldplicht Datalekken. Nieuw is dat de AVG u verplicht alle datalekken in uw praktijk vast te leggen, ook als het gaat om kwesties die niet bij de Autoriteit Persoonsgegevens hoeven te worden gemeld.

Lees verder op het tabblad Wat moet u doen. U vindt het tabblad bovenaan deze pagina.

Onderstaande stappen moet u als praktijkhouder doorlopen om aan de nieuwe verplichtingen te voldoen. Bekijk ook de uitleg voor waarnemend huisartsen.

1. Sluit verwerkersovereenkomsten af

Wanneer u persoonsgegevens laat verwerken door andere verwerkers, dient u hierover afspraken vast te leggen. Denk bijvoorbeeld aan uw HIS-leverancier, IT-leverancier of salarisadministratie (indien deze is uitbesteed aan derden). Dus met iedereen die geen medewerker of ingehuurd personeel is en die toegang heeft tot de persoonsgegevens. Deze specifieke afspraken kunnen in een aparte overeenkomst, een zogenoemde verwerkersovereenkomst, of in een bestaande overeenkomst worden opgenomen.

Lees meer over de verwerkersovereenkomst

Mogelijk heeft u nu al een goede (verwerkers)overeenkomst waarin alle afspraken zijn vastgelegd. Controleert u dan of in uw huidige overeenkomsten de verplichtingen uit de AVG voldoende zijn beschreven.

Let op: Het is niet nodig om een verwerkersovereenkomst af te sluiten met partijen die niet onder uw verantwoordelijkheid vallen. Denk aan ziekenhuizen, apothekers of andere zorgaanbieders in de eerste lijn waar u medicatiegegevens mee uitwisselt en de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) voor gebruik van het LSP.

Ook hoeft u geen verwerkersovereenkomsten te sluiten met zorggroepen, VECOZO en zorgverzekeraars.

Producten om u te helpen

In veel gevallen zal de partij die voor u gegevens verwerkt, bijvoorbeeld uw HIS-leverancier, zelf een verwerkersovereenkomst voorleggen. Biedt de verwerker geen overeenkomst aan, maar is die wel nodig? Gebruik dan:

  1. Beslisschema, daarmee ziet u of er wel of geen verwerkersovereenkomst nodig is.
  2. Checklist verwerkersovereenkomst, hiermee test u of de overeenkomst die de verwerker u aanbiedt voldoet.
  3. Voorbeeld verwerkersovereenkomst van de LHV om de afspraken vast te leggen.


2. Houd een verwerkingsregister bij

U bent als praktijkhouder verantwoordelijk voor de naleving van de AVG en behoort dit aan te kunnen tonen. Dat doet u door een register bij te houden van de verwerking van patiëntgegevens, een zogeheten verwerkingsregister.

In dit register documenteert u onder meer:

  • welke categorie persoonsgegevens u verwerkt, bijvoorbeeld patiëntgegevens en personeelsgegevens
  • met welk doel u dit doet, bijvoorbeeld behandeling van de patiënt of het opstellen van een factuur,
  • wie de gegevens aan u heeft gegeven, bijvoorbeeld patiënten of andere zorgverleners,
  • met wie u de gegevens deelt, bijvoorbeeld andere zorgverleners .

Lees meer over het verwerkingsregister

In het register staat ook steeds vermeld waarom u de gegevens mag gebruiken op grond van de AVG. Bijvoorbeeld omdat u wettelijk verplicht bent de gegevens te verwerken of de verwerking noodzakelijk is met het oog op de behandeling van de patiënt.

De Autoriteit Persoonsgegevens kan deze administratie bij u opvragen. Het register bevat dus geen namen van patiënten en andere zorgverleners, de benoeming van een categorie is voldoende.

Een samenvatting van het register kunt u gebruiken voor de privacyverklaring op uw website, om de patiënt te informeren over de wijze waarop u omgaat met de gegevens. Ook kunt u het overzicht gebruiken als de patiënt inzage wil in zijn gegevens of u vraagt bepaalde soort gegevens te corrigeren, te verwijderen, aan te vullen, te beperken of door te geven aan een andere zorgaanbieder.

Bekijk het voorbeeld verwerkingsregister van de LHV. Dat voorbeeld kunt u aanvullen met de informatie die specifiek is voor uw praktijksituatie.


3. Publiceer een privacyverklaring

U informeert patiënten over de persoonsgegevens die u verwerkt. Daarvoor heeft u een privacyverklaring beschikbaar, bijvoorbeeld op uw website. Uitleg daarover vindt u op de website van de Autoriteit Persoonsgegevens.

Patiënten hebben het recht hun persoonsgegevens in te zien, deze te laten aanvullen, corrigeren, verwijderen of af te schermen. Daarnaast hebben patiënten het recht bezwaar te maken tegen de verwerking van bepaalde gegevens. Ook nu geldt al dat u op verzoek van de patiënt het dossier overdraagt aan een andere zorgaanbieder. Dit geldt ook onder de WGBOi. Maar onder de AVG bent u óók verplicht om het dossier volledig over te dragen aan de patiënt, waarbij u dit niet mag weigeren.

Bekijk de voorbeeldtekst voor een privacyverklaring


4. Voer een DPIA uit (zodra u een nieuw systeem aanschaft)

Volgens de nieuwe wet moet er in bepaalde gevallen een DPIAi worden uitgevoerd. Met een DPIA worden vooraf de privacyrisico’s van gegevensverwerking in kaart gebracht, bijvoorbeeld het opnemen van medische dossiers in een informatiesysteem. Om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

U bent verplicht om een DPIA uit te voeren bij wijzigingen in gegevensverwerking als dit een verhoogd risico met zich meebrengt. Bijvoorbeeld wanneer u een nieuw HIS aanschaft. Ook voor bestaande gegevensverwerking raadt de Autoriteit Persoonsgegevens aan om periodiek (bijv. eens per 3 jaar) een DPIA te (laten) uitvoeren. Wilt u daar meer over weten, bekijk dan de website van de Autoriteit Persoonsgegevens.

Lees meer over een DPIA

Hoe een DPIA er in de praktijk uit moet zien, is niet vastgelegd. De DPIA moet in elk geval wel systematisch een beschrijving bevatten van:

  • de beoogde verwerkingen en de doelen van de verwerking;
  • een beoordeling van de noodzaak en de evenredigheid van de verwerking in samenhang met de doeleinden;
  • een beoordeling van de risico’s voor de rechten en vrijheden van de patiënt.

5. Maak een afweging over het aanstellen van een FG

Volgens de AVG is het aanstellen van een Functionaris Gegevensbescherming (FG) verplicht als op grote schaal bijzondere persoonsgegevens worden verwerkt. Maar de wet is onduidelijk over wat onder “grootschalig” wordt verstaan. Volgens de Autoriteit Persoonsgegevens zijn praktijken die per praktijkhouder minder dan 10.000 patiënten ingeschreven op naam hebben, niet verplicht een FG aan te stellen.

Dat een FG veelal niet verplicht is, betekent niet dat het aanstellen van een FG geen nut kan hebben. Een FG kan huisartsenpraktijken van advies voorzien, helpen met de implementatie van privacybeleid en aanspreekpunt voor patiënten zijn.

Stel uw vraag

Aimée de Heij

Aimée de Heij

085 04 80 076
Pleunie Schalkwijk

Pleunie Schalkwijk

085 04 80 076
Stefan Visscher

Stefan Visscher

085 04 80 014
Swanehilde Kooij

Swanehilde Kooij

085 04 80 086