Privacywet AVG

Als u persoonsgegevens laat verwerken door andere verwerkers, moet u daar afspraken over vastleggen.

Met wie wel verwerkersovereenkomst afsluiten
U sluit een overeenkomst af met iedereen die geen medewerker of ingehuurd personeel is. En die wel toegang heeft tot de persoonsgegevens. Dus bijvoorbeeld uw HIS-leverancier, IT-leverancier, of uw (uitbestede) salarisadministratie. Gebruik hierbij ons Beslisschema verwerkersovereenkomst. Aan de hand daarvan weet u of uw wel of geen overeenkomst moet afsluiten.

Hoe sluit u een verwerkersovereenkomst af
Deze specifieke afspraken kunt u opnemen in een aparte verwerkersovereenkomst, of in een bestaande overeenkomst. Hebt u nu al een goede (verwerkers)overeenkomst waarin alle afspraken zijn vastgelegd? Controleer met behulp van onze Checklist verwerkersovereenkomst of de verplichtingen uit de Privacywet goed zijn beschreven.

Met wie geen verwerkersovereenkomst afsluiten

• U hoeft geen verwerkersovereenkomst af te sluiten met partijen die niet onder uw verantwoordelijkheid vallen. Denk aan ziekenhuizen, apothekers of andere zorgaanbieders waarmee u medicatiegegevens uitwisselt. Er zijn wel andere eisen waar u aan moet voldoen als u gegevens uitwisselt met anderen. Lees meer daarover bij Gegevens uitwisselen met anderen.
• Dit geldt ook voor de Vereniging van Zorgaanbieders voor Zorgcommunicatie voor gebruik van het LSP.
• Ook hoeft u geen verwerkersovereenkomsten te sluiten met zorggroepen, VECOZO en zorgverzekeraars.

Producten om u te helpen
In veel gevallen zal de partij die voor u gegevens verwerkt, bijvoorbeeld uw HIS-leverancier, zelf een verwerkersovereenkomst voorleggen. Maar is dat niet zo, gebruik dan onze Voorbeeld verwerkersovereenkomst om de afspraken vast te leggen.

U moet als praktijkhouder kunnen aantonen dat u de Privacywet naleeft. Dat doet u door een register bij te houden van de verwerking van patiëntgegevens, een zogeheten verwerkingsregister.

Wat noteert u in het register?

• welke categorie persoonsgegevens u verwerkt, bijvoorbeeld patiëntgegevens en personeelsgegevens
• met welk doel, bijvoorbeeld behandeling van de patiënt of het opstellen van een factuur
• wie de gegevens aan u heeft gegeven, bijvoorbeeld patiënten of andere zorgverleners
• met wie u de gegevens deelt, bijvoorbeeld andere zorgverleners

In het register schrijft u ook steeds op waarom u de gegevens mag gebruiken op grond van de AVG. Bijvoorbeeld omdat u daartoe wettelijk verplicht bent. Of omdat het noodzakelijk is voor de behandeling van uw patiënt.

Wie controleert uw register?
De Autoriteit Persoonsgegevens kan deze administratie bij u opvragen. In het register zet u dus geen namen van patiënten en andere zorgverleners. Het is voldoende als u opschrijft om welke categorie het gaat.

Waar gebruikt u het register nog meer voor?

• Een samenvatting van het register kunt u gebruiken voor de privacyverklaring op uw website.
• U kunt een samenvatting gebruiken om patiënten te informeren over hoe u omgaat met gegevens.
• Ook kunt u het overzicht gebruiken als de patiënt inzage wil in zijn gegevens, of u vraagt bepaalde soort gegevens te corrigeren, te verwijderen, aan te vullen, te beperken, of door te geven aan een andere zorgaanbieder.

Bekijk het voorbeeld verwerkingsregister van de LHV. Dat kunt u aanvullen met informatie die specifiek is voor uw praktijksituatie.

Om patiënten te informeren over de persoonsgegevens die u verwerkt, gebruikt u een privacyverklaring. Die plaatst u bijvoorbeeld op uw website. Uitleg daarover vindt u op de website van de Autoriteit Persoonsgegevens.

Bekijk de voorbeeldtekst voor een privacyverklaring.

Volgens de Privacywet moet u in bepaalde gevallen een DPIA (Data protection impact assessment) uitvoeren. Met een DPIA brengt u vooraf de privacyrisico’s van gegevensverwerking in kaart. Bijvoorbeeld het opnemen van medische dossiers in een informatiesysteem. Vervolgens kunt u dan maatregelen nemen om de risico’s te verkleinen.

Wanneer voert u een DPIA uit?

• Bij wijzigingen in gegevensverwerking, als dit een verhoogd risico met zich meebrengt.
• Bijvoorbeeld als u een nieuw HIS aanschaft.

De Autoriteit Persoonsgegevens adviseert om ook voor uw bestaande gegevensverwerking periodiek (bijvoorbeeld eens per 3 jaar) een DPIA te laten uitvoeren. Wilt u daar meer over weten, bekijk dan de website van de Autoriteit Persoonsgegevens.

Wat staat er in een DPIA?

Hoe een DPIA er in de praktijk uit moet zien, is niet vastgelegd. De DPIA moet in elk geval wel systematisch een beschrijving bevatten van:

• de beoogde verwerkingen en de doelen van de verwerking
• een beoordeling van de noodzaak en de evenredigheid van de verwerking in samenhang met de doeleinden
• een beoordeling van de risico’s voor de rechten en vrijheden van de patiënt

Volgens de Privacywet moet u een Functionaris Gegevensbescherming (FG) aanstellen als in uw praktijk ‘op grote schaal bijzondere persoonsgegevens worden verwerkt’. Maar de wet is onduidelijk over wat ‘grootschalig’ is.

Volgens de Autoriteit Persoonsgegevens hoeven zijn praktijken met minder dan 10.000 patiënten ingeschreven op naam per praktijkhouder, geen FG aan te stellen. Toch kan het aanstellen van een FG wel degelijk nut hebben. Een FG kan uw praktijk van advies voorzien, helpen met de implementatie van privacybeleid en aanspreekpunt voor patiënten zijn.

Bekijk hier het functieprofiel voor de Functionaris Gegevensbescherming.