Voor een gezonde huisartsenzorg
 

AVG: hebt u alles geregeld?

 

De privacywet AVG is een feit. Sinds 25 mei gelden nieuwe, Europese regels op het gebied van privacy die ook gevolgen hebben voor de gang van zaken in een dokterspraktijk. In dit vervolgartikel zet LHV-jurist Pleunie Schalkwijk de belangrijkste punten nog eens op een rij en vertelt huisarts Marc Spruit uit Alphen aan den Rijn hoe hij en zijn HOED-collega's het hebben aangepakt.

Tip: lees het volledige artikel hieronder of download de pdf

Zeker in de laatste weken voor invoering van de nieuwe Europese privacywet kregen Schalkwijk en haar collega- juristen veel vragen over de AVG. Net als de ict-deskundigen van de LHV. "Met name het verwerkingsregister, de te sluiten verwerkersovereenkomsten en het wel of niet aanstellen van een Functionaris Gegevensbescherming riepen vragen op."

Creeër bewustzijn

Op het gebied van privacybescherming was al veel geregeld in de Wet bescherming persoonsgegevens (Wbp). De komst van de Algemene Verordening Gegevensbescherming (AVG) is een goede aanleiding om ook de al bestaande regels weer eens onder de aandacht te brengen. “Door regelmatig over het omgaan met persoonsgegevens te spreken, wordt iedereen zich weer bewust van wat er aan persoonsgegevens wordt verwerkt en hoe er op die momenten met die gegevens wordt omgegaan”, zegt Schalkwijk. “Belangrijk is bijvoorbeeld: verwerk niet méér persoonsgegevens dan nodig, ga verantwoord om met wachtwoorden en inlogcodes, vergrendel je computer als je met pauze gaat en bewaar thuis geen persoonsgegevens van patiënten of medewerkers.”

Huisarts Marc Spruit, praktijkhouder binnen een HOED in gezondheidscentrum Dillenburg in Alphen aan den Rijn, begon samen met zijn collega’s precies met dit punt, toen de komst van de AVG moest worden voorbereid. “Huisartsen, assistentes, POH’s, iedereen moet weten waar de wet voor staat. Mijn collega die verantwoordelijk was voor de voorbereiding op de AVG, heeft er sinds eind vorig jaar vaak mailtjes over rondgestuurd. Daarnaast hebben we er de afgelopen maanden in werkoverleggen regelmatig over gesproken, zodat het bij iedereen ging leven. Het gaat om vrij simpele uitgangspunten, zoals: laat geen papieren op je bureau slingeren als je naar huis gaat. Niet nieuw, maar wel goed om het bewustzijn op dat punt te vergroten.”

Informeer patiënten

Medische gegevens zijn gevoelige gegevens. Patiënten hebben het recht om te weten wat er met hun gegevens gebeurt en hoe zij die gegevens kunnen aanvullen, corrigeren, verwijderen of afschermen. Schalkwijk: “Patiënten kunnen hierover geïnformeerd worden via een privacyverklaring op de website”. De privacyverklaring op de website van gezondheidscentrum Dillenburg is inmiddels aangepast, zodat deze voldoet aan de eisen van de AVG, vertelt Spruit. “Dat was niet zo’n grote klus. Je vertelt je patiënten in feite in begrijpelijke taal: dit doen wij met uw gegevens en dit zijn uw rechten en plichten.”

Vul een verwerkingsregister in

In het register vermeldt u van welke categorie personen (patiënten of medewerkers) welke persoonsgegevens worden verwerkt, door wie en voor welk doel. De LHV heeft voor leden een voorbeeld-verwerkingsregister gemaakt dat u waar nodig kunt aanpassen naar uw eigen situatie. “Veel kolommen van dit Excel-bestand hebben wij alvast voor u ingevuld”, vertelt Schalkwijk. “Een aantal situaties zijn immers voor vrijwel alle praktijkhouders hetzelfde. Denk aan: NAW-gegevens, medische gegevens, geboortedata. Dat zijn gegevens die alle huisartsen delen met bijvoorbeeld hun HIS-leverancier. Uiteraard kunnen de al ingevulde kolommen desgewenst worden aangepast. Sommige onderdelen moeten wel per praktijk nog worden gespecificeerd. Denk bijvoorbeeld aan de HIS-leverancier, de websitebeheerder en andere zaken die per praktijk zullen verschillen. Dat geldt ook voor de beveiliging per soort gegevens, bijvoorbeeld 2-factorauthenticatie of logging.”

Het bedenken van alle verwerkers van persoonsgegevens met wie je als huisarts samenwerkt, was een “piekerwerkje”, vertelt Marc Spruit. “In ons geval gaat het naast het bedrijf dat de salarisadministratie van de medewerkers doet, bijvoorbeeld ook om het bedrijf dat jaarlijks de griepprikmailing verstuurt. Maar als je er een tijdje goed over nadenkt, heb je het lijstje wel compleet.” De eerste versie van het modelverwerkingsregister riep nog veel vragen op bij het invullen. Daarom heeft de LHV een geupdatete versie van het verwerkingsregister gepubliceerd die gebruiksvriendelijker is en hebben we de toelichting op het voorbeeldregister verduidelijkt.

Sluit verwerkersovereenkomsten

Met een verwerker, bijvoorbeeld xxxxxx, moet een verwerkersovereenkomst worden gesloten. Ook daarvoor heeft de LHV een format beschikbaar gesteld aan leden. Het gebeurt echter ook nogal eens dat een verwerker een eigen format wil hanteren. “Het is in zo’n geval belangrijk om te kijken hoe in zo’n overeenkomst de aansprakelijkheid is geregeld”, zegt Schalkwijk. “Het komt namelijk voor dat een verwerker zichzelf vrijwaart van aansprakelijkheid of een maximale schadevergoeding hanteert.” De LHV heeft van een aantal grote gegevensverwerkers, die veel zaken doen met huisartsen, de modelovereenkomst beoordeeld en op basis daarvan een lijst met goedgekeurde overeenkomsten gepubliceerd.

Schalkwijk: “Wij kunnen helaas niet voor álle verwerkers, die soms maar één of een paar huisartsen als klant hebben, de verwerkersovereenkomst beoordelen. Voor zulke overeenkomsten hebben we een checklist opgesteld. Daarmee kan de huisarts zelf nagaan of een overeenkomst de juiste bepalingen bevat.” Mochten deze bepalingen niet in een overeenkomst staan, dan zijn er twee opties: met de verwerker in overleg gaan over aanpassingen (bijvoorbeeld een redelijker verdeling van aansprakelijkheid) òf de verwerker vragen om het LHV-format te gebruiken.

Spruit vertelt dat hij en zijn collega’s bij het sluiten van verwerkersovereenkomsten onderscheid hebben gemaakt tussen verwerkers en ‘subverwerkers’. “Soms schakelt een bedrijf waarmee je als huisarts zaken doet, nog weer een ander bedrijf in dat persoonsgegevens verwerkt. Als huisarts hoef je alleen een overeenkomst te sluiten met degene aan wie jij gegevens levert, dus niet met de subverwerkers die het bedrijf vervolgens inschakelt. Maar het is wel belangrijk om vast te leggen dat de verwerker dus verantwoordelijk is voor wat de subverwerker met de gegevens doet. Bij het sluiten van verwerkersovereenkomsten moet je denken in termen van risicobeheersing: wat kan er misgaan en wie is dan verantwoordelijk?”

Maak een protocol datalekken

Met de komst van de AVG verandert er niet heel veel in de meldplicht datalekken die al sinds 2016 geldt, vertelt Schalkwijk. “Nog altijd geldt dat niet ieder datalek gemeld hoeft te worden. Dat hoeft alleen als het lek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Als je als huisarts bijvoorbeeld medische gegevens per ongeluk naar de vorige fysiotherapeut van een patiënt hebt gestuurd, is zo’n risico niet waarschijnlijk.” Nieuw onder de AVG is wel dat ieder datalek – met of zonder risico – door uzelf geregistreerd moet worden. In de nieuwe versie van het LHV-verwerkingsregister is een apart tabblad opgenomen voor de registratie van datalekken.

Bij een nieuw HIS: voer een DPIA uit

Bij de aanschaf van een nieuw HIS bent u verplicht een Data Protection Impact Assessment (DPIA) uit te voeren. Daarmee worden vooraf de privacyrisico’s van gegevensverwerking in kaart gebracht. Een DPIA moet uitgevoerd worden bij wijzigingen in gegevensverwerking die een verhoogd privacyrisico met zich meebrengen.

Wel of geen functionaris gegevensbescherming?

De AVG verplicht tot het aanstellen van een Functionaris Gegevensbescherming (FG) bij het verwerken van ‘grootschalige verwerking van persoonsgegevens’. Onduidelijk is wat de grens is tussen wel en niet grootschalig. 

Update 14 juni 2018: vlak na publicatie van dit artikel meldde de Autoriteit Persoonsgegevens dat zij meer dan 10.000 ingeschreven patiënten als grootschalig beschouwen.

“We hebben advies ingewonnen bij een in privacy gespecialiseerde advocaat”, vertelt Schalkwijk. “Op basis van zijn advies en op grond van onze eigen afwegingen schatten wij in dat het voor veruit de meeste huisartsenpraktijken niet verplicht is om een FG aan te stellen. Daarmee is niet gezegd dat een FG niet nuttig kan zijn. Het is belangrijk dat iedere huisartsenpraktijk een eigen afweging maakt over het wel of niet aanstellen van een FG en deze afweging kan motiveren. Meer informatie daarover staat op onze website.” Gezondheidscentrum Dillenburg heeft, in de context van de zorggroep, wél een FG aangesteld, vertelt Spruit. “We wisten dat er nog geen duidelijkheid over was, maar we zijn er samen met een regionale ondersteuningsorganisatie toch mee aan de slag gegaan. Nu hebben we dus een FG en doen we ons voordeel ermee.”

Spruit heeft alles bij elkaar het gevoel goed voorbereid te zijn om de komst van de AVG. “Ik ben niet bang voor torenhoge boetes. Wij kunnen aantonen dat we serieus werk maken van een verantwoorde omgang met persoonlijke gegevens. Er zal vast nog weleens iets niet helemaal goed gaan, maar dan verwacht ik van de Autoriteit Persoonsgegevens eerder een aanwijzing om processen te kunnen bijsturen dan een boete.”

Download volledig artikel

BijlageGrootte
PDF-pictogram AVG: hebt u alles geregeld?131.42 KB