Spring naar content

Privacywet AVG

De Privacywet AVG stelt eisen aan hoe je omgaat met de gegevens van jouw patiënten. Hier vind je aan welke verplichtingen je moet voldoen en hoe je dat regelt.

Belangrijkste begrippen in de AVG

In de AVG-eisen gaat het veel over het verwerken van gegevens en wie welke verwerkingsrol heeft. Wat betekenen die termen? We hebben de belangrijkste termen op een rijtje gezet.

Je hebt te maken met persoonsgegevens wanneer het gaat om informatie die (direct of indirect) herleidbaar is tot individuele personen. Dat kunnen in de huisartsenpraktijk patiëntgegevens zijn, maar denk ook aan personeelsgegevens.

Onder verwerken vallen alle handelingen die betrekking hebben op het gebruik van persoonsgegevens. Dus niet alleen het uitwisselen van gegevens, maar ook het verzamelen, het vastleggen, versturen, raadplegen (inzien van gegevens), beschikbaar stellen (denk aan via het LSP), bijwerken, wijzigen, opslaan en vernietigen van persoonsgegevens.

Dat is de persoon of de organisatie die het doel van de verwerking en de manier waarop de verwerking gebeurt (bijvoorbeeld met welke middelen/welk systeem) bepaalt. Dit kunnen trouwens ook meerdere organisaties samen zijn, bij een gezamenlijke activiteit of project. Een voorbeeld: besluit jij als praktijkhouder dat je een bepaald programma wilt aanschaffen voor gebruik in de praktijk (bijvoorbeeld een HIS of een e-maildienst). Dan ben jij de verwerkingsverantwoordelijke, want jij bepaalt de manier waarop (het systeem) en wat je daarmee wilt doen (bijv. patiëntgegevens registreren).

Dat is een persoon of organisatie die in opdracht van een andere organisatie gegevens verwerkt. Bijvoorbeeld je HIS-leverancier, die patiëntgegevens voor jouw praktijk verwerkt, de drukker die je inschakelt voor het versturen van de griepprikuitnodigingen en daarom een adresbestand met adressen van patiënten ontvangen, maar ook je salarisadministrator die jij gegevens verstrekt over je personeel. Met de meeste verwerkers moet je een verwerkersovereenkomst afsluiten. Dat leggen we uit onder de 5 verplichtingen voor jou als huisarts.

De 5 verplichtingen voor jou als huisarts

Ben je praktijkhouder? Dan moet je onderstaande stappen doorlopen om aan de Privacywet te voldoen.

Als je persoonsgegevens laat verwerken door andere verwerkers, moet je daar afspraken over vastleggen.

Met wie een verwerkersovereenkomst afsluiten
Je sluit een overeenkomst af met iedereen die geen medewerker of ingehuurd personeel is. En die wel toegang heeft tot de persoonsgegevens. Dus bijvoorbeeld je HIS-leverancier, IT-leverancier, of je (uitbestede) salarisadministratie. Gebruik hierbij ons Beslisschema verwerkersovereenkomst. Aan de hand daarvan weet je of je wel of geen overeenkomst moet afsluiten.

Hoe sluit je een verwerkersovereenkomst af
Deze specifieke afspraken kun je opnemen in een aparte verwerkersovereenkomst, of in een bestaande overeenkomst. Heb je nu al een goede (verwerkers)overeenkomst waarin alle afspraken zijn vastgelegd? Controleer met behulp van onze Checklist verwerkersovereenkomst of de verplichtingen uit de Privacywet goed zijn beschreven.

Met wie geen verwerkersovereenkomst afsluiten

  • Je hoeft geen verwerkersovereenkomst af te sluiten met partijen die niet onder jouw verantwoordelijkheid vallen. Denk aan ziekenhuizen, apothekers of andere zorgaanbieders waarmee je medicatiegegevens uitwisselt. Er zijn wel andere eisen waar je aan moet voldoen als je gegevens uitwisselt met anderen. Lees meer daarover bij Gegevens uitwisselen met anderen.
  • Dit geldt ook voor de Vereniging van Zorgaanbieders voor Zorgcommunicatie voor gebruik van het LSP.
  • Ook hoef je geen verwerkersovereenkomsten te sluiten met zorggroepen, VECOZO en zorgverzekeraars.

Producten om je te helpen
In veel gevallen zal de partij die voor jou gegevens verwerkt, bijvoorbeeld je HIS-leverancier, zelf een verwerkersovereenkomst voorleggen. Maar is dat niet zo, gebruik dan onze Voorbeeld verwerkersovereenkomst om de afspraken vast te leggen.

Je moet als praktijkhouder kunnen aantonen dat je de Privacywet naleeft. Dat doe je door een register bij te houden van de verwerking van patiëntgegevens, een zogeheten verwerkingsregister.

Wat noteer je in het register?

  • welke categorie persoonsgegevens je verwerkt, bijvoorbeeld patiëntgegevens en personeelsgegevens
  • met welk doel, bijvoorbeeld behandeling van de patiënt of het opstellen van een factuur
  • wie de gegevens aan je heeft gegeven, bijvoorbeeld patiënten of andere zorgverleners
  • met wie je de gegevens deelt, bijvoorbeeld andere zorgverleners

In het register schrijf je ook steeds op waarom je de gegevens mag gebruiken op grond van de AVG. Bijvoorbeeld omdat je daartoe wettelijk verplicht bent. Of omdat het noodzakelijk is voor de behandeling van uw patiënt.

Wie controleert je register?
De Autoriteit Persoonsgegevens kan deze administratie bij je opvragen. In het register zet je dus geen namen van patiënten en andere zorgverleners. Het is voldoende als je opschrijft om welke categorie het gaat.

Waar gebruik je het register nog meer voor?

  • Een samenvatting van het register kun je gebruiken voor de privacyverklaring op je website.
  • Je kunt een samenvatting gebruiken om patiënten te informeren over hoe je omgaat met gegevens.
  • Ook kun je het overzicht gebruiken als de patiënt inzage wil in zijn gegevens, of vraagt om bepaalde soort gegevens te corrigeren, te verwijderen, aan te vullen, te beperken, of door te geven aan een andere zorgaanbieder.

Bekijk het voorbeeld verwerkingsregister van de LHV. Dat kun je aanvullen met informatie die specifiek is voor je praktijksituatie.

Om patiënten te informeren over de persoonsgegevens die je verwerkt, gebruik je een privacyverklaring. Die plaats je bijvoorbeeld op je website. Uitleg daarover vind je op de website van de Autoriteit Persoonsgegevens.

Bekijk de voorbeeldtekst voor een privacyverklaring.

Volgens de Privacywet moet je in bepaalde gevallen een DPIA (Data protection impact assessment) uitvoeren. Met een DPIA breng je vooraf de privacy-risico’s van gegevensverwerking in kaart. Bijvoorbeeld het opnemen van medische dossiers in een informatiesysteem. Vervolgens kun je dan maatregelen nemen om de risico’s te verkleinen.

Wanneer voer je een DPIA uit?

  • Bij wijzigingen in gegevensverwerking, als dit een verhoogd risico met zich meebrengt.
  • Bijvoorbeeld als je een nieuw HIS aanschaft.

De Autoriteit Persoonsgegevens adviseert om ook voor je bestaande gegevensverwerking periodiek (bijvoorbeeld eens per 3 jaar) een DPIA te laten uitvoeren. Wil je daar meer over weten, bekijk dan de website van de Autoriteit Persoonsgegevens.

Wat staat er in een DPIA?

Hoe een DPIA er in de praktijk uit moet zien, is niet vastgelegd. De DPIA moet in elk geval wel systematisch een beschrijving bevatten van:

  • de beoogde verwerkingen en de doelen van de verwerking
  • een beoordeling van de noodzaak en de evenredigheid van de verwerking in samenhang met de doeleinden
  • een beoordeling van de risico’s voor de rechten en vrijheden van de patiënt

Volgens de Privacywet moet je een Functionaris Gegevensbescherming (FG) aanstellen als in je praktijk ‘op grote schaal bijzondere persoonsgegevens worden verwerkt’. Maar de wet is onduidelijk over wat ‘grootschalig’ is.

Volgens de Autoriteit Persoonsgegevens hoeven praktijken met minder dan 10.000 patiënten ingeschreven op naam per praktijkhouder, geen FG aan te stellen. Toch kan het aanstellen van een FG wel degelijk nut hebben. Een FG kan je praktijk van advies voorzien, helpen met de implementatie van privacybeleid en aanspreekpunt voor patiënten zijn.

Bekijk hier het functieprofiel voor de Functionaris Gegevensbescherming.

Waar moet je nog meer aan voldoen?

Je patiënten hebben recht op inzage in hun persoonsgegevens en om deze te laten aanvullen, corrigeren, verwijderen of af te schermen. Met de AVG hebben patiënten daar bovenop het recht bezwaar te maken tegen de verwerking van bepaalde gegevens. Je mag alleen met toestemming van de patiënt elektronisch gegevens delen. Lees meer bij Veilig delen van gegevens met anderen.

Je moet erop letten dat de systemen en andere middelen waarmee je persoonsgegevens verwerkt (zoals je HIS) door de leverancier standaard privacyvriendelijk zijn ingesteld. Als je een nieuw systeem selecteert moet je dus actief navragen of bij het ontwerp al rekening is gehouden met de privacyregels. Uiteindelijk willen we datalekken voorkomen. In onze handreiking Meldplicht datalekken lees je daar meer over.