3 Acties die zorgorganisaties moeten nemen voor de AVG

4 min. lezen

AVG_zorgaanbieders.jpg

Steeds meer zorgaanbieders zijn actief bezig met hun voorbereidingen voor de naderende AVG-wetgeving. Bij veel organisaties leven er vragen over de concrete invulling van deze privacywet. Helaas is de AVG erg algemeen geschreven. Het interpreteren van de wet is daarom niet eenvoudig. Het ontbreken van jurisprudentie draagt daar ook niet aan bij. Als Regas willen wij een kennispartner zijn voor zorgaanbieders. Daarom hebben we een blog geschreven over drie concrete acties die vrijwel iedere zorgorganisatie moet nemen om te voldoen aan de AVG.

3 Acties die zorgorganisaties moeten nemen voor de AVG

1. Aanstellen Functionaris Gegevensbescherming (FG)
Als zorgaanbieder moet je een FG aanstellen als je op grote schaal bijzondere persoonsgegevens verwerkt, zoals gezondheidsgegevens. De 'grote schaal' kun je bepalen aan de hand van vier criteria:

  1. Het aantal mensen van wie je gegevens verwerkt;
  2. De hoeveelheid gegevens die je verwerkt;
  3. De duur van de gegevensverwerking;
  4. De geografische reikwijdte van de verwerking.

Ziekenhuizen moeten bijvoorbeeld altijd een FG aanstellen omdat zij op grote schaal bijzondere persoonsgegevens verwerken. Individuele artsen hoeven dat niet. De FG hoeft overigens niet bij jouw organisatie werkzaam te zijn. Je mag ook iemand inhuren.

Extra tip: per 1 januari 2018 zijn organisaties die op grote schaal gegevens verwerken en bedoeld worden in de Wet, kwaliteit, klachten en geschillen zorg (Wkkgz), al verplicht om een FG te benoemen.

2. Uitvoeren Data Protection Impact Assessment (DPIA)
Soms levert de verwerking van bepaalde gegevens een hoog privacyrisico op voor de betrokken persoon. In dat geval ben je verplicht een DPIA uit te voeren. Voor individuele zorgverleners is dit overigens niet verplicht.

Je moet een DPIA uitvoeren als je gevoelige gegevens verwerkt, op grote schaal (bijzondere) persoonsgegevens verwerkt of als je gegevens verwerkt over kwetsbare personen. Kwetsbare personen zijn bijvoorbeeld kinderen of wilsonbekwame personen. In het Nederlands wordt een DPIA ook wel gegevensbeschermingseffectbeoordeling genoemd. Een handleiding voor het uitvoeren ervan kun je hier vinden.

3. Aantoonbaar voldoen aan de verantwoordingsplicht
De verantwoordingsplicht wordt ook wel accountability genoemd. Dat houdt in dat je aantoonbaar moet kunnen maken dat je de juiste technische en organisatorische maatregelen genomen hebt om de persoonsgegevens van cliënten te beveiligen. Een voorbeeld hiervan is logging: het bijhouden, per individuele medewerker, wanneer hij of zij een dossier heeft bekeken en van welke cliënt dat dossier is. Andere verplichte maatregelen om te voldoen aan de verantwoordingsplicht zijn:

  • Het bijhouden van een register van verwerkingsactiviteiten;
  • Het uitvoeren van een DPIA;
  • Het bijhouden van een register van opgetreden datalekken;
  • Het aantonen dat iemand daadwerkelijk toestemming gegeven heeft voor een verwerking van gegevens als je voor die verwerking toestemming nodig hebt.

Wij zijn klaar voor de AVG

Zoals je merkt moet er nogal wat gebeuren voordat je als zorgaanbieder 'AVG proof' bent. Niet alleen organisatorisch, maar ook technisch moeten er veel maatregelen genomen worden. Het gebruiken van software die AVG proof is, kan hierbij helpen. Wij zijn druk bezig met de laatste voorbereidingen voor de AVG. Op 25 mei, wanneer de AVG van kracht gaat, voldoet ons ECD aan de privacywet.

Meer informatie over de AVG
Wil je meer weten over de AVG en wat Regas hierin al voorzien heeft? Download dan onze gratis whitepaper!

Disclaimer: deze blog is met de grootste zorg samengesteld. Er kunnen echter geen rechten aan worden ontleend. De blog is uitsluitend bedoeld voor informatiedoeleinden en kan niet worden aangemerkt als een (juridisch) advies in een individuele zaak. 

DOWNLOAD DE AVG WHITEPAPER