pharmapartners integrale eerstelijnszorg ict voor het hele gezin
Nieuws overzicht
Deel op:

AVG 2018: hier moeten zorgorganisaties rekening mee houden

In 2001 is de Wet bescherming persoonsgegevens (WBP) geïntroduceerd om de privacy van personen beter te waarborgen. Inmiddels is deze wetgeving uitgebreid naar de Algemene Verordening Gegevensbescherming (AVG). De AVG bouwt voort op de regels van de WBP en stelt strengere eisen aan transparantie, aantoonbaarheid en het kunnen afleggen van verantwoording. Maar wat betekent de AVG nou precies voor u?

Wat houdt de AVG-wetgeving in 2018 in?

Van organisaties wordt verwacht dat zij hun zaken op orde hebben als het gaat om de verwerking van persoonsgegevens. Dit betekent dat zij in kaart hebben gebracht welke persoonsgegevens zij allemaal verwerken, voor welke doelen, hoe lang ze die bewaren, welke medewerkers daarin mogen kijken, hoe ze beveiligd zijn en onder welke voorwaarden deze persoonsgegevens mogen worden uitgewisseld met andere organisaties. De digitale mogelijkheden vragen dan ook om extra alertheid wat betreft de verstrekking en opslag van gevoelige gegevens. Vanaf mei 2018 zal er in lijn met de AVG bij organisaties strenger gehandhaafd worden door de Autoriteit Persoonsgegevens. Kortom, werkt u met persoonlijke informatie van cliënten? Dan moet u actie ondernemen om dit proces inzichtelijk(er) te maken. Als er sprake is van nalatigheid geeft de Autoriteit Persoonsgegevens u in eerste instantie ruimte voor verbetering. Vindt er geen verbetering plaats dan kan er een boete volgen. De boete voor het niet nakomen van de regels kan oplopen tot 20 miljoen euro, of 4% van uw omzet.

Wat verandert er in de AVG in vergelijking met de WBP?

Hoofdzakelijk komen er meer aantoonbaarheidseisen en meer bevoegdheden voor toezichthouders. Daarnaast zijn de rechten van cliënten in de Algemene Verordening Gegevensbescherming verder uitgebreid, zo kennen wij nu al:

  • Het recht op inzage en afschrift;
  • Het recht op correctie;
  • Het recht om gegevens af te schermen;
  • Het recht op verzet (bezwaar).

Hier komt vanaf 25 mei bij:

  • Het recht op verwijderen, en;
  • Het recht op data-portabiliteit, oftewel cliënten hebben het recht om hun eigen persoonsgegevens op te vragen en in een technisch leesbare vorm mee te nemen naar een andere zorgverlener (bijvoorbeeld het medovd standaard).

Daarnaast stelt de AVG ten opzichte van de WBP o.a.:

  • Strengere eisen aan transparantie en aantoonbaarheid.
  • Aangescherpte beveiligingseisen voor de verwerker.
  • Een Functionaris voor de Gegevensbescherming (FG) verplicht

Meer informatie hierover vindt u in het stappenplan The Road to… Algemene Verordening Gegevensbescherming.

Gevolgen van de wetgeving voor zorgverleners

Om zorgvuldige verwerking van privacygevoelige gegevens in de zorg te stimuleren, gaat de Autoriteit Persoonsgegevens strenger controleren. Organisaties die werken met persoonsgegevens moeten op schrift kunnen aantonen dat ze voldoen aan de wettelijk gestelde eisen. Het belangrijkste is dat zij verantwoording kunnen afleggen van de keuzes die ze maken. Het privacybeleid van een organisatie moet transparant en aantoonbaar zijn.

Welke zaken moet u op orde hebben om aan de AVG te voldoen?

In de praktijk blijkt dat lang niet alle organisaties klaar zijn voor de AVG. Naast de voorgaande documentatie- en transparantieverplichtingen kent de AVG ook enkele algemene privacy beginselen waaraan u zich dient te houden, namelijk:

  • De persoonsgegevens dienen te worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.
  • De persoonsgegevens dienen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verzameld en mogen vervolgens niet verder op een met die doeleinde onverenigbare wijze worden verwerkt.
  • De persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
  • De persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Alle redelijke maatregelen moeten worden genomen om persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of rectificeren.
  • De persoonsgegevens mogen niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
  • De persoonsgegevens dienen door middel van passende technische en organisatorische maatregelen te worden beveiligd tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Kortom

De inhoud en eisen van de Algemene Verordening Gegevensbescherming zorgt in relatie tot de wet bescherming persoonsgegevens niet voor verrassingen. Wel vraagt het zorgorganisaties nog bewuster om te gaan met persoonsgegevens. De handhaving die vanaf 25 mei 2018 van start gaat is een goed moment om de zaken onder controle te krijgen. Het belangrijkste is uiteindelijk dat organisaties op beleidsmatig niveau nadenken over een veilige en juiste omgang met persoonsgegevens.

Wat doet PharmaPartners voor u?

PharmaPartners helpt u graag op weg. Dit doen we onder andere door middel van met een 10-stappenplan: The Road to… Algemene Verordening, dat we op 4 april 2018 beschikbaar stellen. Via www.privacywetgevingtussendeoren.nl is daarnaast een infographic beschikbaar met daarin de wetgeving over het verwerken van persoonsgegevens in de zorg tussen 2001 en 2020 op een rij: waar staan we op dit moment en welke veranderingen staan gepland? Wat moet u al geregeld hebben? En wat zijn de risico’s als u niet aan de wetgeving voldoet?

Iedere organisatie moet eigenlijk al concrete stappen hebben gezet op het gebied van privacy, de rechten van cliënten en de bescherming van
persoonsgegevens. Nog niet begonnen? Of al in het proces maar behoefte aan een checklist? PharmaPartners helpt u graag op weg met dit
stappenplan: The Road to… Algemene Verordening Gegevensbescherming.

Op ons klantportaal mijn.pharmapartners.nl vinden onze klanten op de pagina ‘Wetgeving’ alle relevante informatie rondom privacywetgeving. Heeft u nog aanvullende vragen, dan kunt u deze stellen via privacy@pharmapartners.nl.

Remco Bakker is Data Protection Officer bij PharmaPartners en houdt zich vanuit die rol dagelijks bezig met informatiebeveiliging en privacywetgeving.
Email: remco.bakker@pharmapartners.nl
LinkedIn:
www.linkedin.com/in/remco-bakker

Download ""