Het is alweer drie jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) werd ingevoerd. In mei 2018 stapte de Europese Unie over naar één privacywet, met grote gevolgen voor veel sectoren. Zo ook voor de eerstelijnszorg. Toch zien we dat niet alle huisartsen, apothekers, tandartsen, fysiotherapeuten en andere eerstelijnszorgverleners hun privacybeleid voldoende hebben aangescherpt. De belangrijkste AVG-eisen – waarmee jij een behoorlijke boete kunt voorkomen – zetten we voor je op een rij!
1: Informatieverplichtingen
Als zorgorganisatie ben je verplicht om je patiënten te informeren over wat je gaat doen met hun persoonsgegevens. Daarbij moet je tenminste meenemen: welke persoonsgegevens je verwerkt, waarom je dat doet (dus voor welke doeleinden) en of je gegevens deelt met andere organisaties. De handigste manier om dit aan te pakken, is door een online privacyverklaring op te stellen. Let wel; deze moet aan een aantal voorwaarden voldoen.
2: Aantonen toestemming van patiënt
Naast de informatieverplichting, moet je uiteraard ook toestemming hebben van je patiënt voor het verwerken van zijn of haar gegevens. En dat niet alleen; je moet die toestemming ook kunnen aantonen bij de Autoriteit Persoonsgegevens (AP). Hierin geef je ook aan op basis van welke informatie de toestemming is verleend. Vraag je bijvoorbeeld online om toestemming? Dan leg je dit websitebezoek vast én combineer je dit met een kopie van de verstrekte informatie. Bekijk hier welke data hier precies in moet staan.
3: Register van verwerkingsactiviteiten
Onder de AVG is vrijwel elke organisatie verplicht om een verwerkingsregister bij te houden. Toch zien we bij veel zorgorganisaties dat er onduidelijkheid heerst over het opstellen van een register van verwerkingsactiviteiten. Ook zorgverleners met minder dan 250 medewerkers zijn vaak verplicht om dit te doen. In een verwerkingsregister staat informatie over de persoonsgegevens die je verwerkt. Bekijk hier wat je als verantwoordelijke nog meer in het register moet zetten.
4: Data Protection Impact Assessment
Vrijwel elke huisarts of apotheker verwerkt gegevens met een hoog privacyrisico. Grote kans dus dat jij ook verplicht bent om een Data Protection Impact Assessment (DPIA) te doen. Hiermee breng je continu – dus niet eenmalig – de privacyrisico’s van je gegevensverwerking in kaart. Je beschrijft de gegevensverwerking, beoordeelt de risico’s en neemt maatregelen om deze aan te pakken.
5: Functionaris gegevensbescherming aanstellen
Ook bij de Functionaris gegevensbescherming (FG) zien we dat er veel onduidelijkheid heerst binnen de eerstelijnszorg. De AVG stelt dat het hebben van een FG verplicht is als je aan deze voorwaarden voldoet. Een FG is iemand die toezicht houdt op de toepassing en naleving van de AVG. Van diegene wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van privacywetgeving en van de praktijk van gegevensbescherming. Ook moet hij of zij begrip hebben van IT en informatiebeveiliging. Is er bij jou intern niemand die hier volledig aan voldoet? Dan kan onze Security Officer hierbij helpen.
Hulp nodig?
Kom jij erachter dat je nog niet aan alle bovenstaande eisen voldoet? Dan riskeer je een boete. De AP kan organisaties die de AVG overtreden namelijk een boete opleggen van maximaal 20 miljoen euro óf 4% van de wereldwijde jaaromzet. Een consequentie die je natuurlijk met man en macht wil voorkomen. Heb je hier hulp bij nodig? Neem dan gerust contact op onze ICT-adviseurs Eerstelijnszorg. Zij helpen je graag verder!