Is uw praktijk klaar voor de AVG?

donderdag 19 april 2018
timer 6 min
Vanaf 25 mei 2018 wordt de nieuwe Europese privacywet gehandhaafd. Lees in dit artikel wat de AVG inhoudt en wat u moet regelen.

In de afgelopen ruim 20 jaar is de wereld sterk veranderd. Steeds meer organisaties verwerken steeds meer gegevens en ook het internet heeft zich in die jaren sterk ontwikkeld. De Wet Bescherming Persoonsgegevens ( Wbp ) voldoet dus niet meer, evenals de wetten en regels op het gebied van privacy in de overige landen van de Europese Unie (EU). Deze zijn allemaal gebaseerd op de Europese privacyrichtlijn uit 1995. Daarom hebben de EU-lidstaten nieuwe privacywetgeving opgesteld ; de Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei 2018 gehandhaafd wordt  

 

Wat zijn de verschillen tussen de Wbp en de AVG?   

In grote lijnen zijn de  Wbp en de AVG hetzelfde, maar op sommige punten is de AVG wat strenger. Voornamelijk bij het verwerken van gegevens zijn de privacyrechten versterkt en uitgebreid. Zo krijgen mensen meer mogelijkheden om invloed uit te oefenen op de verwerking van hun gegevens.  

 

Recht op vergetelheid

Patiënten hebben door de Wbp nu al het recht om u te vragen hun persoonsgegevens te verwijderen, maar onder de AVG kunnen zij eisen dat u de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van u hebben gekregen.  

 

Dataportabiliteit  

Bij dit recht moet u ervoor zorgen dat patiënten de gegevens die zij u hebben verstrekt ge makkelijk kunnen ver krijgen en in een begrijpelijk en toegankelijk formaat, zodat zij deze kunnen doorgeven aan een andere organisatie als ze dat willen.    


Toestemming   

U moet in een aantal gevallen kunnen bewijzen dat u toestemming heeft van uw patiënten voor de verwerking van hun gegevens. Het moet voor patiënten net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. Volgens prof. mr G.- J.Zwenne (hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden en advocaat bij Brinkhof te Amsterdam en in die hoedanigheid adviseur van onder andere Infomedics) is bij een tweepartijenovereenkomst met een factoringmaatschappij uitdrukkelijke toestemming van uw patiënten vereist, maar geen verwerkersovereenkomst. In geval van een driepartijenovereenkomst (vooralsnog alleen mogelijk bij Infomedics) is geen uitdrukkelijke toestemming van uw patiënten vereist, wel het afsluiten van een verwerkersovereenkomst  

 

Privacyverklaring  

Onder de AVG heeft u informatieplicht. Dat betekent dat u verplicht bent om patienten duidelijk te informeren over wat u met hun persoonsgegevens doet. U kunt hiervoor een privacyverklaring gebruiken, ook wel privacy statement genoemd. De beste manier om er zeker van te zijn dat uw informatie voor de meeste patienten goed vindbaar is, is het publiceren van een privacyverklaring op uw website.   

 

In een privacyverklaring moet onder andere staan:   

- Uw praktijkgegevens;  

- Doeleinden en rechtsgronden voor de verwerking;

- Gebruik van cookies op de website;   

- Duur van de opslag;  

- Recht op inzage, correctie en verwijdering van de persoonsgegevens;

- Het recht om een klacht in te dienen bij de AP;  

- Beveiliging van de persoonsgegevens. 


Wat als ik niet aan de wet voldoe?

Bij overtreding van de AVG, kan de Autoriteit Persoonsgegevens (AP) een boete opleggen. De boetebevoegdheid van de AP is er al sinds 2016, maar met de komst van de AVG is deze officieel en kan de AP boetes opleggen van maximaal 20 miljoen euro of 4% van de jaaromzet.

 

Wat moet ik doen om aan de AVG te voldoen?   

De AVG vraagt veel meer dan de Wbp van uw organisatie om aan te tonen dat uw verwerking van persoonsgegevens aan de regels van de AVG voldoen. Zo moet u kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals: rechtmatigheid, transparantie, doelbinding en juistheid.  


Enkele maatregelen die u daarom volgens de AVG zult moeten uitvoeren zijn:   

- het bijhouden van een register van verwerkingen;    

- het bijhouden van een register van datalekken;  

- de uitvoering van een Data Prot ection Impact Assessment (DPIA);  

- verwerkersovereenkomsten sluiten. Heeft u verwerking van persoonsgegevens uitbesteed aan een verwerker, bijvoorbeeld aan een factoringmaatschappij, dan kan het zijn dat u daarmee een verwerkersovereenkomst moet afsluiten. Hierin wordt onder andere vastgelegd, waar de persoonsgegevens voor mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden, waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een audit uit te voeren en of de verwerker subverwerkers mag inschakelen voor de verwerking;   

- de argumentatie formuleren waarom u wel of niet een Functionaris Gegevensbescherming aan stelt;  

- technische en organisatorische maatregele n ter bescherming van persoonsgegevens  

  

Enkele voorbeelden van technische en organisatorische maatregelen die u kunt nemen:  

1. Plan uw eerste risico - evaluatie met uw hele team en voer een structureel werkoverleg in met ‘informatieveiligheid’ als vaste item op de agenda  

2. Werk uw informatiebeveiligingsbeleid uit en zorg dat het een levend document wordt  

3. Voer clean desk policy in en laat geen wachtwoorden rondslingeren op prikborden of op notities achter de receptie/balie  

4. Breng leveranciers die met patiëntgegevens in aanraking komen in kaart, maak afspraken en leg deze vast in verwerkersovereenkomsten.  

5. Verstuur geen patiëntgegevens via e-mail of Whatsapp of een andere onbeveiligde verbinding  

6. Zorg dat uw software en beveiliging (firewall, antivirus) up-to-date zijn,    

7. Laat uw IT professioneel beheren.    

8. Lock uw computer als u even wegloopt (en zorg dat medewerkers dat ook doen).    

9. Schakel computers uit als u ‘s avonds naar huis gaat en werk vanuit huis alleen via VPN.  

  

Meer informatiebronnen over de AVG  

- Op de website van de AP staat veel informatie over de invoering van de AVG. Onder andere een 10 - stappenplan.  

- Op deze website vindt u veel pragmatische artikelen : www.zbc.nu .  

- Op www.medischondernemen.nl staan de blogs John van der Zwaan van Qfast . Hij geeft praktische tips om uw praktijk niet alleen veiliger in te richten maar ook uw medewerkers bewuster laten worden van dataveiligheid.   

- Het boekje Grip op de AVG, de nieuwe privacywet voor niet-juristen ( Versmissen / Terstegge /Krijgsman, 2017, Wolters Kluwer ) is een handig naslagwerk. 

- https://hulpbijprivacy.nl/  

- Uw branchevereniging kan u ook van informatie voorzien.

 

Gert Elders is privacy officer bij Infomedics (gelders @infomedics.nl)   

Reactie toevoegen

Over tekstopmaak

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.
Is uw praktijk klaar voor de AVG?

Categorieën

Geschreven door

Bij het thema van dit artikel betrokken organisaties

Lees verder - met dit thema

Klaas Rozemond (docent strafrecht): ‘Vervolg het Expertisecentrum Euthanasie en niet de individuele arts’
flash_onNieuws

Klaas Rozemond (docent strafrecht): ‘Vervolg het Expertisecentrum Euthanasie en niet de individuele arts’

26 aug 2020 timer4 min
Onlangs deed een medisch tuchtcollege twee uitspraken in euthanasiezaken bij mensen met dementie. Bij één zaak…
Lees verder »
Leidraad helpt huisartsen bij vormgeven regionale samenwerking
flash_onNieuws

Leidraad helpt huisartsen bij vormgeven regionale samenwerking

25 aug 2020 timer3 min
Veel kwesties in de huisartsenzorg kunnen beter op regionale schaal geregeld worden. De huisartsenkoepels LHV en…
Lees verder »
Reportage over bron- en contactonderzoek: 'De GGD heeft weinig slagkracht'
flash_onNieuws

Reportage over bron- en contactonderzoek: 'De GGD heeft weinig slagkracht'

13 aug 2020 timer4 min
Volkskrant-journalist Marjolein van de Water raakte besmet met het coronavirus. In een reportage beschrijft ze…
Lees verder »
Hoe veilig zijn de gegevens van uw patiënten en patenten?
flash_onNieuws

Hoe veilig zijn de gegevens van uw patiënten en patenten?

3 aug 2020 timer4 min
Cybercriminaliteit stijgt. Patiënten moeten erop kunnen vertrouwen dat hun gegevens bij u in veilige handen zijn.…
Lees verder »
Coöperaties van fysio’s: netwerken in tijden van corona én daarna
flash_onNieuws

Coöperaties van fysio’s: netwerken in tijden van corona én daarna

6 jul 2020 timer4 min
Pieter Flaton (Fysiogroep Haaglanden) en Alex Hoen (Coöperatie Fysiotherapeuten Midden Holland) deelden tijdens de…
Lees verder »
Erik van Dam (VvAA) over Opdrachtgeversverklaring: ‘De zorg is geen koekjesfabriek met een resultaatverplichting’
flash_onNieuws

Erik van Dam (VvAA) over Opdrachtgeversverklaring: ‘De zorg is geen koekjesfabriek met een resultaatverplichting’

26 jun 2020 timer6 min
Minister Koolmees (SZW) maakte vorige week bekend dat hij de Wet Minimumbeloning Zelfstandigen (Wmz) en de Wet…
Lees verder »
Brancheorganisaties in actie voor behoud vrije artsenkeuze
flash_onNieuws

Brancheorganisaties in actie voor behoud vrije artsenkeuze

18 jun 2020 timer3 min
Minister De Jonge bereidt een voorstel voor een wetswijziging voor waarin de vrije artsenkeuze, vastgelegd in…
Lees verder »
Huisarts Rinske van de Goor tegen afschaffing vrije artsenkeuze: ‘Goede zorg is dat je een relatie opbouwt’
flash_onNieuws

Huisarts Rinske van de Goor tegen afschaffing vrije artsenkeuze: ‘Goede zorg is dat je een relatie opbouwt’

16 jun 2020 timer2 min
Het is wetenschappelijk bewezen dat een langdurige relatie tussen arts en patiënt leidt tot betere zorg, stelt…
Lees verder »