Voor een gezonde huisartsenzorg
 

Nieuwe privacywet: wat moet u regelen?

 

Iedere huisarts wil verantwoord omgaan met gevoelige gegevens. In de praktijk blijkt het niet eenvoudig om privacyrisico’s op de juiste manier te beperken. Een nieuwe Europese privacywet, die eind mei ingaat, bouwt nieuwe waarborgen in. Dat betekent dat u als huisarts aan nieuwe eisen moet voldoen. De LHV ondersteunt u daarbij. Wat verandert er en wat moet u regelen? De belangrijkste feiten op een rij.

Tip: lees het volledige artikel hieronder of download de pdf

Waarom nieuwe privacyregels?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet die in de plaats komt van de huidige Wet bescherming persoonsgegevens (Wbp). “Met de steeds verdergaande digitalisering is privacy een hot item in Europa”, vertelt Swanehilde Kooij, senior beleidsadviseur bij de LHV. “In Nederland zijn we al best ver met privacybescherming, maar in veel andere EU-landen niet. Deze verordening is nieuwe Europese wetgeving die geldt voor alle overheden, bedrijven en andere organisaties in de EU.”

De AVG gaat in op 25 mei 2018. De belangrijkste veranderingen zijn dat u met partijen die persoonsgegevens voor u verwerken afspraken moet maken over de veiligheid daarvan, dat moet registreren en dat patiënten meer zeggenschap krijgen over hun gegevens. De bestaande wet- en regelgeving, met uitzondering van de Wbp, blijft bestaan. Aan het medisch beroepsgeheim, de Wet op de Geneeskundige Behandelingsovereenkomst, de wet BIG en de klachtenwet Wkkgz verandert op 25 mei niets.

De LHV heeft in de aanloop naar de invoering van de AVG veel voorwerk gedaan. Kooij: “We ondersteunen huisartsen onder meer met een uitgebreid dossier op onze site, waar ook kant-en-klare producten zijn te vinden die voldoen aan de AVG-eisen.”

Sluit verwerkersovereenkomsten

De AVG eist van praktijkhouders dat ze een zogeheten verwerkersovereenkomst sluiten met ‘bedrijven (derden) die in opdracht persoonsgegevens be- of verwerken’. Kooij: “Het gaat erom dat partijen die persoonsgegevens verwerken, alleen zien wat ze mogen zien, ter bescherming van de privacy. Dat geldt voor zowel patiëntgegevens als gegevens van medewerkers. Er moet dus bijvoorbeeld met de HIS-leverancier een overeenkomst gesloten worden, maar ook met een bureau dat de salarisadministratie doet.” Andere voorbeelden van partijen waarmee een verwerkersovereenkomst moet worden gesloten zijn aanbieders van een online boekhoudprogramma en bedrijven die in opdracht facturatie en debiteurenbeheer uitvoeren.

Belangrijk te weten is dat het gaat om partijen die in opdracht gegevens verwerken. “Een huisartsenpraktijk hoeft dus geen verwerkingsovereenkomst te sluiten met een ziekenhuis of huisartsenpost. Zij werken namelijk niet op instructie van de huisarts.”

De LHV heeft een beslisschema ontworpen waarmee u kunt zien in welke situaties een verwerkersovereenkomst wel of niet verplicht is. Daarnaast vindt u in het online dossier een checklist om te bepalen of een verwerkersovereenkomst voldoet aan de eisen uit de AVG. Daarnaast is voor LHV-leden een voorbeeldovereenkomst beschikbaar.

Houd een verwerkingsregister bij

Als praktijkhouder moet u kunnen aantonen dat u voldoet aan de eisen uit de AVG. Om te laten zien dat u de verplichte verwerkersovereenkomsten hebt gesloten, houdt u een ‘verwerkingsregister’ bij. Kooij: “Met het LHV-voorbeeldmodel van een verwerkingsregister is dat niet heel veel werk.”

In het verwerkingsregister documenteert u welke categorie persoonsgegevens u verwerkt (bijvoorbeeld medische gegevens), met welk doel (bijvoorbeeld: behandeling), van wie de gegevens afkomstig zijn (bijvoorbeeld: de patiënt zelf) en met wie u de gegevens deelt (bijvoorbeeld: andere zorgverleners). In het register vermeldt u ook waarom u de gegevens mag gebruiken op grond van de AVG. Dat kan zijn omdat u wettelijk verplicht bent de gegevens te verwerken of omdat die verwerking noodzakelijk is met het oog op de behandeling.

De gegevens worden alleen per categorie opgenomen, dus niet met namen van patiënten of van andere zorgverleners. De Autoriteit Persoonsgegevens kan het verwerkingsregister bij u opvragen.

Publiceer een privacyverklaring

Medische gegevens bevatten heel gevoelige informatie. Daarom is het voor patiënten belangrijk om te weten wat er met hun gegevens gebeurt. Om hen dat te laten weten, moet er uiterlijk 25 mei een privacyverklaring op uw website staan. Kooij: “Publiceren op de site is voldoende, patiënten hoeven er niet rechtstreeks over te worden geïnformeerd.” Ook voor deze verklaring heeft de LHV een model ontwikkeld, dat te vinden is in het webdossier en eenvoudig is aan te passen voor uw eigen praktijk. Daarbij zit ook een model-aanvraagformulier, waarmee patiënten een verzoek kunnen indienen om hun gegevens in te zien, te wijzigen of te verwijderen. De Autoriteit Persoonsgegevens heeft op haar website meer uitleg staan over de privacyverklaring. 

De privacyverklaring is in eerste instantie bedoeld voor patiënten, maar kan volgens Kooij ook goede handvatten bieden om binnen het team het gesprek over privacy te voeren. “Medewerkers kunnen in de verklaring precies lezen wat de rechten van patiënten zijn, hoe ze dus met verzoeken van patiënten horen om te gaan en wat ze zelf wel en niet mogen. Het gebeurt soms dat een medewerker van een collega-huisarts onnodig kijkt naar het dossier iemand die hij of zij kent. Dat mag niet. De verklaring helpt om daarover in gesprek te gaan en draagt dus bij aan het privacy-bewustzijn binnen het team.”

Patiënten krijgen meer rechten

In Nederland wordt de privacy van patiënten al goed beschermd. Door de komst van de AVG komen daar nog een aantal rechten bij. Patiënten hebben al (onder meer) het recht op inzage, rectificatie en aanvulling van hun gegevens bij de huisarts. Vanaf eind mei komt daar het recht op ‘dataportabiliteit’ bij.

Kooij: ‘Het recht op dataportabiliteit houdt in dat een huisarts de gegevens van een patiënt op verzoek aan die patiënt moet meegeven. Dat moet op een ‘gestructureerd, veelgebruikt en machineleesbaar formaat’, zodat een andere zorgverlener er goed mee uit de voeten kan. Bijvoorbeeld dus op een usb-stick. De huisarts mag daar vanaf 25 mei ook geen geld meer voor vragen.” De meegeefplicht geldt voor het medisch dossier; eigen vermoedens, diagnoses of conclusies hoeft u als huisarts niet aan de patiënt mee te geven voor andere zorgverleners.

Onder de huidige wetgeving geldt al dat u patiëntgegevens alleen mag delen met andere zorgverleners als de patiënt daar toestemming voor geeft. Onder de AVG komt daar een nieuwe verplichting bij: u moet aan de Autoriteit Persoonsgegevens kunnen laten zien dat u deze toestemming daadwerkelijk heeft. De AVG eist dat die toestemming ‘geïnformeerd’ en ‘specifiek’ gegeven is. U moet daarom kunnen laten zien op basis van welke informatie de patiënt u toestemming heeft gegeven om gegevens te delen. Alleen de toestemming zelf vastleggen, is dus onvoldoende.

Op termijn: risicoanalyse en functionaris gegevensbescherming

De AVG schrijft twee nieuwe verplichtingen voor waar u – in de meeste gevallen – nog even mee kunt wachten: een Data Protection Impact Assessment (DPIA), kortgezegd een analyse van de privacyrisico’s in uw praktijk, en het werken met een functionaris gegevensbescherming.

Volgens de nieuwe wet moet in bepaalde situaties een DPIA uitgevoerd worden. Daarmee brengt u de privacyrisico’s bij gegevensverwerking in kaart. Een DPIA is verplicht als veranderingen in de gegevensverwerking zorgen voor een verhoogd privacyrisico. Kooij: “Denk aan de uitvoering van een DPIA bij de aanschaf van een nieuw HIS. HIS-leveranciers kunnen hierbij helpen.”

De Autoriteit Persoonsgegevens raadt daarnaast aan om op structurele basis, eens in de drie jaar, een DPIA uit te voeren. “Dat is weliswaar niet verplicht”, zegt Kooij, “maar de LHV adviseert dat ook. Het is een effectieve manier om te checken of je voldoet aan de privacywetgeving.” Hoe een DPIA eruit moet zien, staat niet in de nieuwe wet. Kooij: “Aan de verplichting voor een DPIA hoeven huisartsen niet op stel en sprong te voldoen. Het is verstandiger om nog even te wachten tot daar meer duidelijkheid over is. Tenzij een praktijk eerder overgaat op een nieuw HIS, uiteraard.”

De verplichting om te werken met een ‘functionaris voor gegevensbescherming’ (FG) is ook nog onderwerp van gesprek. De FG heeft als taak om te kijken of de privacywetging wordt nagekomen en adviseert daarover. Kooij: “Die verplichting geldt bij ‘grootschalige gegevensverwerking’. Vooralsnog is niet duidelijk aan welke grootte je dan moet denken. We zijn daarom met de Autoriteit Persoonsgegevens in gesprek in de hoop dat zij hierover duidelijkheid zullen geven. Ook daarvoor geldt: het is verstandig om die uitspraak van de AP af te wachten.”

Zie ook: www.lhv.nl/wet-avg