Algemene verordening gegevensbescherming (AVG)
Met het in werking treden van de AVG is er veel veranderd voor jou als zorgverlener. Natuurlijk bestonden er al veel verplichtingen, maar deze nieuwe wet brengt meer verantwoordelijkheden met zich mee. Daarnaast krijgen je cliënten ook meer en duidelijk omschreven rechten. Door middel van onderstaand stappenplan, willen wij je helpen bij de voorbereiding op de AVG in je praktijk.
In 8 stappen op weg naar de AVG in je praktijk!
1. Maak een privacybeleid en een privacyverklaring
Je dient intern een privacybeleid te publiceren waarin staat wie welke rol heeft bij de omgang met persoonsgegevens in het algemeen en cliëntgegevens in het bijzonder. Het is belangrijk dat medewerkers daarvan op de hoogte zijn. Zij moeten dus regelmatig worden getraind in het zorgvuldig omgaan met persoonsgegevens.
Voor de belanghebbenden binnen en buiten de praktijk maak je een privacyverklaring. Die verklaring moet in eenvoudige taal precies en volledig uitleggen wat je doet met persoonlijke gegevens. Ook moet je mensen wijzen op hun rechten, zoals dat men gegevens mag aanpassen, het dossier mag inzien of zelfs laten vernietigen. Ook staan er contactgegevens in van de contactpersoon voor wat betreft gegevensbescherming (FG). Bovendien moet je de mensen wijzen op de mogelijkheid een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.
2. Zorg voor een datalekregistratie
Een datalek is een incident waarbij vertrouwelijke persoonsgegevens (mogelijk) onterecht verloren zijn gegaan, beschadigd werden of voor onbevoegden beschikbaar waren. Een datalek is natuurlijk niet leuk en iedereen probeert dat te voorkomen. Mocht het toch gebeuren, dan moet je dat datalek goed documenteren. Ook als er geen verplichting bestaat tot het melden van het datalek aan de toezichthouder. Leg goed vast wat de oorzaak was, de gevolgen, wat je hebt gecommuniceerd en wat je hebt veranderd om herhaling te voorkomen. Mocht je vermoeden dat de oorzaak van een datalek bij Incura ligt, neem dan direct contact met ons op.
3. Stel een verwerkingsregister op
Nieuw is dat alle verwerkingen (gebruik en/of opslag) van persoonsgegevens dienen te worden gedocumenteerd in een register. Daarin staan: je praktijknaam, contactpersoon (verantwoordelijk voor gegevensbescherming) en contactgegevens.
Daarnaast beschrijf je de categorieën persoonsgegevens en de doeleinden waarvoor deze worden verwerkt en aan wie ze eventueel worden verstrekt. Tenslotte wordt informatie opgenomen over de bewaartermijn van deze gegevens en hoe deze zijn beveiligd. Leg ook vast hoe en op welk moment gegevens worden verwijderd omdat je deze niet meer nodig hebt.
4. Sluit een verwerkersovereenkomst met je leveranciers
In een dergelijke overeenkomst staan afspraken tussen jou en de leverancier over de omgang met persoonlijke gegevens. Te denken valt aan het doel waarvoor de leverancier gegevens verwerkt, maar ook hoe te handelen bij een datalek. Ook staat er een geheimhoudingsverklaring in en informatie over eventuele sub-verwerkers aan wie diensten door de verwerker zijn uitbesteed. Een leverancier kan je software-aanbieder zijn, maar ook je accountant (salarisadministratie), een waarnemer, de schoonmaker en een externe systeembeheerder/ IT-adviseur.
Hoe Incura haar gegevensbescherming heeft geregeld, kun je vinden in de verwerkersovereenkomst. Daarin staan ook afspraken met betrekking tot eventuele datalekken en audits.
Klik hier voor de verwerkersovereenkomst van Incura.
5. Benoem een Functionaris Gegevensbescherming (FG)
Ook al is het niet helemaal duidelijk of het benoemen van een Functionaris Gegevensbescherming (FG) voor praktijken verplicht is, adviseren wij dit wel. Het gaat tenslotte om gevoelige zorggegevens. Het is goed een vast persoon in je praktijk te benoemen die de centrale contactpersoon is op het gebied van gegevensbescherming. Communicatie en documentatie worden centraal en dus eenduidiger uitgevoerd. Als je een eenmanspraktijk hebt, is de praktijkeigenaar natuurlijk zelf het aanspreekpunt.
6. Onderzoek privacy risico’s
Als je ná 31 mei 2018 een nieuwe gegevensverwerking start waar een risico met betrekking tot persoonlijke gegevens bestaat, dan dien je dat risico te onderzoeken voordat je die gegevensverwerking start. Dat geldt ook wanneer een dergelijke gegevensverwerking wijzigt. Je kunt denken aan wanneer je een praktijk overneemt, je van locatie verhuist of nieuwe software implementeert. In een dergelijk onderzoek (PIA = Privacy Impact Assessment) benoem je risico’s en formuleer je maatregelen om die risico’s te verkleinen.
7. Zorg dat je beveiliging op orde is
Je beveiliging moet op orde zijn en blijven. Die beveiligingsmaatregelen moeten passend zijn bij het risico en de gevoeligheid van de gegevens. Ze kunnen fysiek zijn (afsluitbare ruimten en kasten, opgeruimde bureaus) en digitaal (firewall, virusbeveiliging, encryptie bij communicatie, 2-factor-authenticatie). Zorg bijvoorbeeld dat je bij uit dienst treden van medewerkers direct sleutels inneemt en hun systeemrechten verwijdert.
8. Tref voorbereidingen op de uitgebreide cliëntrechten
Een aantal rechten bestaat al langer, maar nu worden rechten voor cliënten meer nadrukkelijk neergezet. Te denken valt aan het recht op correctie, op inzage en op verwijdering (wissing). Houd bij gegevenswissing rekening met het feit dat bestaande wetgeving soms in tegenspraak is met het recht op gegevenswissing.
Nieuw is een recht op dataportabiliteit, waarbij een cliënt het recht heeft zijn/haar gegevens mee te nemen in een veelgebruikt en leesbaar formaat. Een goed formaat is Excel, Word of pdf. Zorg wel dat er een pdf wordt gemaakt per document en niet één grote pdf met alle documenten.
Voor de goede orde: het gaat hier alleen om informatie die de cliënt zelf aan je heeft aangeleverd. Dus niet om informatie van de zorgverlener, zoals behandelinformatie en diagnoses.
Meer informatie?
Vragen over de AVG kun je stellen per e-mail. Meer informatie over de AVG kun je vinden op de website van de Autoriteit Persoonsgegevens.