AVG in de huisartspraktijk

De Algemene Verordening Gegevensbescherming (verder AVG) is een Europese wet die in de plaats komt van de huidige Wet bescherming persoonsgegevens (Wbp). De AVG legt meer verantwoordelijkheid bij de huisarts om aan te tonen dat je aan de privacyregels voldoet. De nieuwe regels noodzaken om goed na te denken over hoe je als huisartsenpraktijk persoonsgegevens verwerkt en beschermt.

Als verwerkersverantwoordelijke moet je kunnen aantonen dat je op het gebied van de beveiliging van informatie en persoonsgegevens ‘in control’ bent. De AVG gaat in op 25 mei 2018.

AVG ondersteuning door Stichting Privacyzorg

Wil je ondersteund worden bij de uitvoering van AVG?  Naast het gebruik van de Toolbox op deze pagina kun je ook gebruik van maken van de diensten van Stichting Privacyzorg. De RCH heeft voor de ondersteuning op het gebied van AVG (kortings)afspraken gemaakt met Stichting Privacy Zorg.

Als praktijk kun je de diensten van Stichting Privacy Zorg afnemen met een abonnement van € 12,50 exclusief btw per maand per normpraktijk. Gebruik hiervoor de kortingscode die je vindt achter in de inlog op onze LedenvoordeelpaginaHet contract en de financiële afhandeling verloopt rechtstreeks tussen Stichting Privacy Zorg en de praktijken. Meld je hier aan voor deze dienstverlening.  

Praktijken in onze regio die al een individueel abonnement met Stichting Privacy Zorg hebben afgesloten, kunnen ook van deze korting gebruik maken. Neem hiervoor zelf contact met de servicedesk van Stichting Privacy Zorg. 

Ervaringen
Uiteraard horen wij graag jullie ervaringen over deze dienstverlening. Ook via het netwerk van onze praktijkmanagers volgen wij ervaringen en deze worden uiteraard periodiek besproken met Stichting Privacy Zorg. Neem voor vragen, gerust contact op met Tjetske Gerbranda

Wat moet je voor de AVG regelen?

Hieronder vind je terug welke stappen je als praktijkhouder moet zetten om aan de AVG te voldoen:

Wat is volgens de AVG verplicht voor 25 mei 2018HoeNieuw
1. Verwerkingsregisterdocumentja 
2. Verwerkersovereenkomst met uw leverancierdocument deels 
3. Privacyverklaringdocument deels 
4. Procedure bij datalekken (geldt sinds januari 2016)procedure/document 

nee 

Wat moet u weten voor 25 mei 2018  
5. Rechten van patiëntenprocedures 

deels

Wat kan mogelijk later in 2018  
6. Het aanstellen van een Functionaris Gegevensbeschermingpersoonja
7. Het uitvoeren van een Data Protection Impact Assessmentprocedure/document ja 

Met onderstaande Toolbox biedt RCH bruikbare formats op de verschillende onderdelen van de AVG.

    AVG-Toolbox

    Het doel van het ‘Register van verwerkingsactiviteiten’ (verder: verwerkingsregister) is om bij te houden welke persoonsgegevens u in uw huisartsenpraktijk verwerkt en/of laat verwerken én voor welk doel.
    In het verwerkingsregister documenteert u welke categorie persoonsgegevens u verwerkt met welk doel, van wie de gegevens afkomstig zijn en met wie u de gegevens deelt. In het verwerkingsregister vermeldt u ook waarom u de gegevens mag gebruiken op grond van de AVG.
    De gegevens worden alleen per categorie opgenomen (dus niet op persoonsniveau).
    De Autoriteit Persoonsgegevens  (AP) kan het verwerkingsregister bij u opvragen.

    Klik hier voor een voorbeeld van een verwerkingsregister (bron: LHV, bewerkt).

    Wanneer u persoonsgegevens (op uw instructie) laat verwerken door andere bewerkers (verwerkers) dient u een zogenaamde verwerkersovereenkomst te sluiten.
    Bij verwerkers moet u bijvoorbeeld denken aan uw IT-leverancier of salarisadministratie (indien deze is uitbesteed aan een derde). Dus met elke partij, anders dan uw medewerkers of ingehuurd personeel, die de toegang heeft tot de persoonsgegevens.

    Een verwerkersovereenkomst moet tenminste de volgende aspecten van de gegevensverwerking beschrijven: het doel, de aard, het soort persoonsgegevens dat wordt verwerkt, de categorieën van betrokkenen, de rechten en verplichtingen van de verwerkingsverantwoordelijke en de duur van de overeenkomst.

    Door het volgen van de stappen in onderstaande beslisboom, kunt u beslissen wanneer een verwerkersovereenkomst nodig is.

    Welke Verwerkersovereenkomsten kan ik tekenen?
    De LHV heeft een aantal Verwerkersovereenkomsten getoetst. De volgende Verwerkersoveenkomsten zijn op dit moment door de LHV goedgekeurd: Zorgdomein, VIPCalculus, Primeur IPCI, Promedico, ZON-ICT, CGM (versie VV 4.0 09.05.2018), de BOZ-overeenkomst (BOZ staat voor de vereniging Brancheorganisaties Zorg) en OmniHIS. Voor meer informatie Klik HIER.

    Ketenpartners en AVG

    Andere ketenpartners naast de huisarts zijn in de zin van AVG geen Verwerkers en er hoeft met de deze ketenpartners dus geen Verwerkersovereenkomst gesloten te worden (zie bovenstaande beslisboom).
    De afspraken over privacy en AVG tussen ketenpartners en de zorggroep zijn per ketenpartner vastgelegd in een samenwerkingsovereenkomst. De Zorggroep heeft een overkoepelende Verwerkersovereenkomst met Care2U.

    Ketenpartners hebben wel een eigen verantwoordelijkheid voor de door hen geleverde zorg. Wetten zoals WGBO, BIG of Aanvullende bepalingen verwerking persoonsgegevens in de zorg blijven zoals voorheen van kracht. Ook blijven de huidige regels voor het medisch beroepsgeheim naast (en dus niet in plaats van) de AVG-regels bestaan.

    De AVG verplicht zorgorganisaties om patiënten te informeren over wat er met zijn gegevens gebeurt.
    In een privacyverklaring wordt beschreven hoe u omgaat met de rechten van patiënten, hoe u hun persoonsgegevens hebt beveiligd en wat u met de persoonsgegevens doet.
    Omdat het voor patiënten belangrijk is om te weten wat er met hun gegevens gebeurt moet er uiterlijk 25 mei een privacyverklaring op uw website te staan. Publiceren op de website is voldoende, patiënten hoeven niet rechtstreeks geïnformeerd te worden.

    • Voor een voorbeeld van een privacyverklaring die eenvoudig is aan te passen voor uw eigen praktijk; klik hier (bron: LHV). 
    • Voor het bijbehorende aanvraagformulier Gegevens door patiëntklik hier (bron: LHV)

    Al met ingang van 1 januari 2016 is een wijziging van de Wet bescherming persoonsgegevens (Wbp) in werking getreden, die een meldplicht regelt voor datalekken. Deze meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan.

    • Voor een handleiding Datalekken, klik hier.

    Door de komst van de AVG krijgen mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Hun bestaande privacy rechten worden uitgebreid en er gelden twee nieuwe rechten (recht op dataportabiliteit en vergetelheid).
    De patiëntrechten in een overzicht:

    1. Recht op dataportabiliteit Het recht om persoonsgegevens over te dragen 
    2. Recht op vergetelheid Het recht om ‘vergeten’ te worden
    3. Recht op inzage Het recht van mensen om de persoonsgegevens die u van hen verwerkt in te zien
    4. Recht op rectificatie en aanvulling Het recht om de persoonsgegevens die u verwerkt te wijzigen 
    5. Recht op beperking van de verwerking Het recht om minder gegevens te laten verwerken
    6. Recht m.b.t. geautomatiseerde besluitvorming en profilering Het recht op een menselijke blik bij besluiten. Dit recht gaat over invloed op besluiten genomen op basis van automatisch verwerkte gegevens.
    7. Recht van bezwaar Het recht om bezwaar te maken tegen het verwerken van hun persoonsgegevens.

    In de AVG staat dat bij ‘grootschalige gegevensverwerking van bijzondere persoonsgegevens zoals gezondheidsgegevens’ het aanstellen van de Functionaris Gegevensbescherming (verder FG) verplicht is.
    Een FG is een natuurlijke persoon die, onafhankelijk, toezicht houdt op de verwerking van (bijzondere) persoonsgegevens. Een FG controleert binnen uw organisatie of de privacywetgeving wordt nagekomen, geeft advies, maakt inventarisaties van de gegevensverwerkingen en houdt deze bij.
    Daarnaast is de FG contactpersoon voor de AP en voor patiënten. De FG brengt verslag uit de praktijkhouder(s).
    De FG mag een personeelslid zijn of mag worden ingehuurd. Het is wel van belang dat de FG onafhankelijk kan handelen en deskundig is op het gebied van de wetgeving en de praktijk inzake gegevensbescherming.

    De verplichting om een FG aan te stellen geldt bij grootschalige gegevensverwerking. Het begrip grootschalig was niet duidelijk gedefinieerd en dat leidde tot misverstanden. De Autoriteit Persoonsgegevens heeft per 1 juni het begrip grootschaligheid geconcretiseerd: een FG is nodig vanaf 10.000 patiënten. Voorwaarde is wel dat er slechts één informatiesysteem wordt gebruikt. Dit betekent waarschijnlijk dat het merendeel van de huisartsenpraktijken niet verplicht is om een FG aan te stellen. Voor de gezondheidscentra moet dit van geval tot geval worden bekeken. Overigens kan ook op vrijwillige basis een (gedeelde) FG worden ingezet. Deze kan helpen de organisatie AVG-proof in te richten. Het advies van RCH is om in ieder geval een aandachtfunctionaris op het AVG-dossier aan te stellen. De AVG gaat er immers van uit dat u de AVG-maatregelen aantoonbaar op orde heeft.

    • Voor een functieprofiel van een FGklik hier (bron: Ineen).

    DPIA staat voor Data Protection Impact Assessment (verder DPIA, ook bekend als PIA: Privacy Impact Assessment). Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
    Vanaf 25 mei 2018 bent u als huisarts verplicht om een DPIA uit te voeren in geval u wijzigingen aanbrengt in de manier waarop u gegevens verwerkt en dit (mogelijk) een verhoogd risico met zich meebrengt.
    U kunt een DPIA in twee situaties uitvoeren;

    1. Bij een verandering. Bijvoorbeeld bij: organisatorische verandering (fusie), ICT-verandering (nieuwe techniek, nieuwe HIS leverancier) of verandering met betrekking tot verwerking (samenvoegen van administraties).
    2. In een stabiele situatie. Ook in een stabiele situatie kan een DPIA worden uitgevoerd, om de actuele situatie van de gegevensbescherming in kaart te brengen. Deze DPIA is eenvoudiger, omdat minder vragen relevant zijn. Aanbevolen wordt om op structurele basis, eens in de drie jaar een DPIA uit te voeren.Voor een toelichting op DPIAklik hier (bron: InEen).

AVG Regelhulp

Heb je de toolbox doorlopen? Beantwoord dan de vragen van de Regelhulp-AVG.  Je komt er via deze test achter of de praktijk klaar is voor de AVG of wat je eventueel nog moet doen om te voldoen aan de wet.

Toetsingsnorm

De norm waar je als verwerkingsverantwoordelijke van (bijzondere) persoonsgegevens in de zorg aan getoetst wordt, is de NEN7510; Informatiebeveiliging in de zorg. Certificering volgens de NEN7510 is op grond van de AVG niet verplicht.


Als verwerkingsverantwoordelijke moet je kunnen aantonen dat je verwerkingen aan de regels van de AVG voldoen. Om deze reden is documentatie van het beleid en procedures essentieel. Je  moet dus kunnen laten zien dat je de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens volgens de AVG te beschermen. 

NB: Deze informatie is met zorg uit betrouwbare bronnen samengesteld. RCH garandeert niet dat de informatie juist, volledig en voor jouw situatie passend is. De interpretatie van privacywetgeving is aan verandering onderhevig en hangt af van feiten en omstandigheden.

Meer informatie? 

Stuur een bericht aan Tjetske Gerbranda voor vragen of meer informatie over de AVG

Informatiemanager 
Tjetske Gerbranda
Telefoon 013 – 594 81 24