Kies uw gewenste cookie instellingen

Deze cookies zijn noodzakelijk om de website te laten functioneren.

Deze website mag gebruik maken van cookies voor het bijhouden van anonieme statistieken.

Deze website mag gebruik maken van cookies die onder meer het delen via sociale netwerken mogelijk maken.

Voor een optimale gebruikerservaring maakt deze website gebruik van cookies. Lees onze privacyverklaring voor meer informatie.

Cookies toestaan Instellingen kiezen
Meer over Professionals:

AVG-Toolbox

De huisarts en de AVG

De Algemene Verordening Gegevensbescherming (verder AVG) is een Europese wet die in de plaats komt van de huidige Wet bescherming persoonsgegevens (Wbp). De AVG legt meer verantwoordelijkheid bij u als huisarts om aan te tonen dat u aan de privacyregels voldoet. De nieuwe regels noodzaken u om goed na te denken over hoe u persoonsgegevens verwerkt en beschermt. Als verwerkersverantwoordelijke moet u kunnen aantonen dat u op het gebied van de beveiliging van informatie en persoonsgegevens ‘in control’ bent. De AVG gaat in op 25 mei 2018.

 

Wat moet u voor de AVG regelen?

Hieronder vindt u terug welke stappen u als praktijkhouder moet zetten om aan de AVG te voldoen:

Wat is volgens de AVG verplicht voor 25 mei 2018? Hoe? Nieuw?
1. Verwerkingsregister document ja 
2. Verwerkersovereenkomst met uw leverancier document  deels 
3. Privacyverklaring document  deels 
4. Procedure bij datalekken (geldt sinds januari 2016) procedure/document 

nee 

Wat moet u weten voor 25 mei 2018    
5. Rechten van patiënten procedures 

deels

Wat kan mogelijk later in 2018?    
6. Het aanstellen van een Functionaris Gegevensbescherming persoon ja
7. Het uitvoeren van een Data Protection Impact Assessment procedure/document  ja 

Met onderstaande Toolbox biedt RCH u bruikbare formats op de verschillende onderdelen van de AVG.

AVG-Toolbox

1. Verwerkingsregister

Het doel van het ‘Register van verwerkingsactiviteiten’ (verder: verwerkingsregister) is om bij te houden welke persoonsgegevens u in uw huisartsenpraktijk verwerkt en/of laat verwerken én voor welk doel.

In het verwerkingsregister documenteert u welke categorie persoonsgegevens u verwerkt met welk doel, van wie de gegevens afkomstig zijn en met wie u de gegevens deelt. In het verwerkingsregister vermeldt u ook waarom u de gegevens mag gebruiken op grond van de AVG.
De gegevens worden alleen per categorie opgenomen (dus niet op persoonsniveau).
De Autoriteit Persoonsgegevens  (AP) kan het verwerkingsregister bij u opvragen.

Klik hier voor een voorbeeld van een verwerkingsregister (bron: LHV, bewerkt).

2. Verwerkersovereenkomst

Wanneer u persoonsgegevens (op uw instructie) laat verwerken door andere bewerkers (verwerkers) dient u een zogenaamde verwerkersovereenkomst te sluiten.
Bij verwerkers moet u bijvoorbeeld denken aan uw IT-leverancier of salarisadministratie (indien deze is uitbesteed aan een derde). Dus met elke partij, anders dan uw medewerkers of ingehuurd personeel, die de toegang heeft tot de persoonsgegevens.

Een verwerkersovereenkomst moet tenminste de volgende aspecten van de gegevensverwerking beschrijven: het doel, de aard, het soort persoonsgegevens dat wordt verwerkt, de categorieën van betrokkenen, de rechten en verplichtingen van de verwerkingsverantwoordelijke en de duur van de overeenkomst.

Door het volgen van de stappen in onderstaande beslisboom, kunt u beslissen wanneer een verwerkersovereenkomst nodig is.

 

Welke Verwerkersovereenkomsten kan ik tekenen?
De LHV heeft een aantal Verwerkersovereenkomsten getoetst. De volgende Verwerkersoveenkomsten zijn op dit moment door de LHV goedgekeurd: Zorgdomein, VIPCalculus, Primeur IPCI, Promedico, ZON-ICT, CGM (versie VV 4.0 09.05.2018), de BOZ-overeenkomst (BOZ staat voor de vereniging Brancheorganisaties Zorg) en OmniHIS. Voor meer informatie Klik HIER.

 

Ketenpartners en AVG

Andere ketenpartners naast de huisarts zijn in de zin van AVG geen Verwerkers en er hoeft met de deze ketenpartners dus geen Verwerkersovereenkomst gesloten te worden (zie bovenstaande beslisboom).
De afspraken over privacy en AVG tussen ketenpartners en de zorggroep zijn per ketenpartner vastgelegd in een samenwerkingsovereenkomst. De Zorggroep heeft een overkoepelende Verwerkersovereenkomst met Care2U.

Ketenpartners hebben wel een eigen verantwoordelijkheid voor de door hen geleverde zorg. Wetten zoals WGBO, BIG of Aanvullende bepalingen verwerking persoonsgegevens in de zorg blijven zoals voorheen van kracht. Ook blijven de huidige regels voor het medisch beroepsgeheim naast (en dus niet in plaats van) de AVG-regels bestaan.

 

3. Privacyverklaring

De AVG verplicht zorgorganisaties om patiënten te informeren over wat er met zijn gegevens gebeurt.
In een privacyverklaring wordt beschreven hoe u omgaat met de rechten van patiënten, hoe u hun persoonsgegevens hebt beveiligd en wat u met de persoonsgegevens doet.
Omdat het voor patiënten belangrijk is om te weten wat er met hun gegevens gebeurt moet er uiterlijk 25 mei een privacyverklaring op uw website te staan. Publiceren op de website is voldoende, patiënten hoeven niet rechtstreeks geïnformeerd te worden.

  • Voor een voorbeeld van een privacyverklaring die eenvoudig is aan te passen voor uw eigen praktijk; klik hier (bron: LHV). 
  • Voor het bijbehorende aanvraagformulier Gegevens door patiënt, klik hier (bron: LHV)
4. Datalekken

Al met ingang van 1 januari 2016 is een wijziging van de Wet bescherming persoonsgegevens (Wbp) in werking getreden, die een meldplicht regelt voor datalekken. Deze meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan.

  • Voor een handleiding Datalekken, klik hier.
5. De rechten van de patiënt

Door de komst van de AVG krijgen mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Hun bestaande privacy rechten worden uitgebreid en er gelden twee nieuwe rechten (recht op dataportabiliteit en vergetelheid).
De patiëntrechten in een overzicht:

1. Recht op dataportabiliteit Het recht om persoonsgegevens over te dragen 
2. Recht op vergetelheid Het recht om ‘vergeten’ te worden
3. Recht op inzage Het recht van mensen om de persoonsgegevens die u van hen verwerkt in te zien
4. Recht op rectificatie en aanvulling Het recht om de persoonsgegevens die u verwerkt te wijzigen 
5. Recht op beperking van de verwerking Het recht om minder gegevens te laten verwerken
6. Recht m.b.t. geautomatiseerde besluitvorming en profilering Het recht op een menselijke blik bij besluiten. Dit recht gaat over invloed op besluiten genomen op basis van automatisch verwerkte gegevens.
7. Recht van bezwaar Het recht om bezwaar te maken tegen het verwerken van hun persoonsgegevens.
6. De Functionaris Gegevensbescherming

In de AVG staat dat bij ‘grootschalige gegevensverwerking van bijzondere persoonsgegevens zoals gezondheidsgegevens’ het aanstellen van de Functionaris Gegevensbescherming (verder FG) verplicht is.
Een FG is een natuurlijke persoon die, onafhankelijk, toezicht houdt op de verwerking van (bijzondere) persoonsgegevens. Een FG controleert binnen uw organisatie of de privacywetgeving wordt nagekomen, geeft advies, maakt inventarisaties van de gegevensverwerkingen en houdt deze bij.

Daarnaast is de FG contactpersoon voor de AP en voor patiënten. De FG brengt verslag uit de praktijkhouder(s).

De FG mag een personeelslid zijn of mag worden ingehuurd. Het is wel van belang dat de FG onafhankelijk kan handelen en deskundig is op het gebied van de wetgeving en de praktijk inzake gegevensbescherming.

De verplichting om een FG aan te stellen geldt bij grootschalige gegevensverwerking. Het begrip grootschalig was niet duidelijk gedefinieerd en dat leidde tot misverstanden. De Autoriteit Persoonsgegevens heeft per 1 juni het begrip grootschaligheid geconcretiseerd: een FG is nodig vanaf 10.000 patiënten. Voorwaarde is wel dat er slechts één informatiesysteem wordt gebruikt. Dit betekent waarschijnlijk dat het merendeel van de huisartsenpraktijken niet verplicht is om een FG aan te stellen. Voor de gezondheidscentra moet dit van geval tot geval worden bekeken. Overigens kan ook op vrijwillige basis een (gedeelde) FG worden ingezet. Deze kan helpen de organisatie AVG-proof in te richten. Het advies van RCH is om in ieder geval een aandachtfunctionaris op het AVG-dossier aan te stellen. De AVG gaat er immers van uit dat u de AVG-maatregelen aantoonbaar op orde heeft.

  • Voor een functieprofiel van een FG, klik hier (bron: Ineen).
7. DPIA

DPIA staat voor Data Protection Impact Assessment (verder DPIA, ook bekend als PIA: Privacy Impact Assessment). Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
Vanaf 25 mei 2018 bent u als huisarts verplicht om een DPIA uit te voeren in geval u wijzigingen aanbrengt in de manier waarop u gegevens verwerkt en dit (mogelijk) een verhoogd risico met zich meebrengt.
U kunt een DPIA in twee situaties uitvoeren;

  1. Bij een verandering. Bijvoorbeeld bij: organisatorische verandering (fusie), ICT-verandering (nieuwe techniek, nieuwe HIS leverancier) of verandering met betrekking tot verwerking (samenvoegen van administraties).
  2. In een stabiele situatie. Ook in een stabiele situatie kan een DPIA worden uitgevoerd, om de actuele situatie van de gegevensbescherming in kaart te brengen. Deze DPIA is eenvoudiger, omdat minder vragen relevant zijn. Aanbevolen wordt om op structurele basis, eens in de drie jaar een DPIA uit te voeren.
  • Voor een toelichting op DPIA, klik hier (bron: Ineen).

AVG Regelhulp

Heeft u de toolbox doorlopen? Beantwoord dan de vragen van de Regelhulp-AVG. U komt er via deze test achter of uw praktijk klaar is voor de AVG of wat u eventueel nog moet doen om te voldoen aan de wet.

 

Toetsingsnorm

De norm waar u als verwerkingsverantwoordelijke van (bijzondere) persoonsgegevens in de zorg aan getoetst wordt, is de NEN7510; Informatiebeveiliging in de zorg. Certificering volgens de NEN7510 is op grond van de AVG niet verplicht.

Als verwerkingsverantwoordelijke moet u kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen. Om deze reden is documentatie van uw beleid en procedures essentieel. U moet dus kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens volgens de AVG te beschermen. 

 

Voor meer informatie over AVG kunt u contact opnemen met René van Riel

E: ... 

T: 06 - 537 01 691

 

N.B.:

Deze informatie is met zorg uit betrouwbare bronnen samengesteld. RCH garandeert niet dat de informatie juist, volledig en voor uw situatie passend is. De interpretatie van privacywetgeving is aan verandering onderhevig en hangt af van feiten en omstandigheden.