Auteur van dit artikel
Charlotte Karman
Charlotte Karman

ckarman@ggznederland.nl

bekijk op GGZ Connect

Nieuwe privacywetgeving: bent u al AVG-proof?

Nieuwe privacywetgeving: bent u al AVG-proof?

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Organisaties die persoonsgegevens verwerken, zoals zorgaanbieders, krijgen dan meer verplichtingen.

Heeft u op dit moment al voldoende voorbereidingen getroffen? We helpen met een check zodat u kunt zien of u al op de goede weg bent. Dit doet GGZ Nederland aan de hand van het AVG 10-stappenplan van de Autoriteit Persoonsgegevens[1] en relevante aanvullingen, met de belangrijkste (nieuwe) verplichtingen.

  1. Bewustwording
    Zijn de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte van de nieuwe privacyregels? Er moet worden ingeschat wat de impact van de AVG is op de huidige werkwijze, protocollen, processen en diensten en welke aanpassingen nodig zijn om aan de AVG te voldoen.
  1. Rechten van betrokkenen
    Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Op de website van de Autoriteit Persoonsgegevens is informatie te vinden over de nieuwe en verbeterde rechten, ook specifiek voor zorgaanbieders, zie hiervoor:
  1. Verantwoordingsplicht

a). Overzicht verwerkingen:
Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. GGZ Nederland heeft voor haar leden een model/handreiking ontwikkeld die behulpzaam kan zijn of als voorbeeld kan dienen bij het registeren van verwerkingsactiviteiten, zie hiervoor:

b). Privacybeleid/gegevensbeschermingsbeleid
De AVG stelt het opstellen van privacybeleid/gegevensbeschermingsbeleid verplicht als onderdeel van de verantwoordingsplicht (als dat in verhouding staat tot de verwerkingsactiviteiten die een zorgaanbieder verricht). Zorgaanbieders verwerken bijzondere persoonsgegevens (gegevens met betrekking tot de gezondheid) en zijn daarom in principe verplicht dergelijk beleid op te stellen.
GGZ Nederland heeft een voorbeeld ontwikkeld voor een praktische en toegankelijke uitwerking van de vanaf 25 mei 2018 geldende privacyregels neergelegd in de AVG. Met het aanpassen van dit model privacyreglement aan het beleid van en uitvoeringspraktijk in uw organisatie, voldoet u aan de verplichting om privacybeleid op te stellen (voor wat betreft de gegevensverwerking die zich richt op de zorgrelatie tussen zorgaanbieder en cliënten), zie hiervoor:

  • Model privacyreglement januari 2018
    Het model privacyreglement is beleidsneutraal omschreven en geeft slechts aan waar aan gedacht moet worden met het opstellen van beleid met het oog op de AVG.
  1. Data protection impact assessment (DPIA)
    Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. GGZ Nederland heeft voor haar leden een handleiding DPIA opgesteld om te bepalen wanneer, wie en hoe een DPIA moet worden uitgevoerd en een model voor het uitvoeren van de DPIA en het opstellen van het bijbehorende rapport, zie hiervoor:

Komt straks uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.

  1. Privacy by design en privacy by default
    Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.

Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door niet meer gegevens te vragen dan nodig is.

  1. Functionaris voor gegevensbescherming (FG)
    Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Indien het verwerken van gegevens over de gezondheid een kernactiviteit is van de zorgaanbieder en er sprake is van een dergelijke verwerking op grote schaal, bent u verplicht een FG aan te stellen. GGZ Nederland heeft voor haar leden een handleiding gebruik Functieprofiel Functionaris voor Gegevensbescherming en een Functionaris voor Gegevensbescherming ontwikkeld die behulpzaam kunnen zijn bij het aanstellen van een functionaris voor gegevensbescherming, zie hiervoor:

Heeft u nog geen FG aangesteld binnen de organisatie? Doe dit dan zo snel als mogelijk.

Let op: Organisaties moeten hun functionaris voor de gegevensbescherming (FG) met een nieuw webformulier aanmelden bij de Autoriteit Persoonsgegevens (AP). Organisaties die hun FG al eerder hebben aangemeld, moeten dat opnieuw doen. FG-aanmeldingen die niet via het online aanmeldingsformulier zijn gedaan, komen na 25 mei 2018 te vervallen, zie hiervoor:

  1. Meldplicht datalekken
    De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.
  1. Verwerkersovereenkomsten
    Heeft u uw gegevensverwerking uitbesteed aan een verwerker? (nu nog 'bewerker' genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Het sluiten van een verwerkersovereenkomst is wettelijk verplicht als een zorgaanbieder een derde partij inschakelt die persoonsgegevens verwerkt namens de zorgaanbieder, bijvoorbeeld de leverancier van het cliënten/patiëntendossier. Actiz, GGZ Nederland, NFU, NVZ en VGN verenigd in de Brancheorganisaties Zorg (BoZ) hebben in het kader van de inwerkingtreding van de AVG een standaard modelverwerkersovereenkomst ontwikkeld waar u gebruik van kunt maken, zie hiervoor:
  1. Toestemming
    Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
  1. Informatie
    Op basis van de AVG moeten verantwoordelijken (zorgaanbieders/hulpverleners) hun betrokkenen informatie geven over de verwerking van persoonsgegevens. Deze informatie moet in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm worden verstrekt en bovendien in een duidelijke en eenvoudige taal. In tegenstelling tot de Wet bescherming persoonsgegevens dient de zorgaanbieder de betrokkene over meer onderwerpen te informeren dan voorheen.

Voor uitgebreide informatie over de AVG verwijzen wij u naar de handleiding Algemene verordening gegevensbeschermig (AVG) en Uitvoeringwet Algemene verordening gegevensbescherming. De Handleiding is een bruikbaar hulpmiddel om meer te weten te komen over de AVG en voorziet in verdere verdieping om als organisatie de maatregelen die de AVG vereist, te kunnen implementeren. Zie hiervoor:

Vragen
GGZ Nederland heeft een helpdesk, uitsluitend voor haar leden, die hen helpt juridische problemen op het terrein van zorg en recht op te lossen. Ook voor vragen over de AVG: zorgenrecht@ggznederland.nl.

Platform
Bent u voor uw organisatie aan de slag met de AVG en wilt u graag vragen met andere zorgaanbieders bespreken en informatie uitwisselen? Op ons platform GGZ Connect hebben wij een (besloten) groep aangemaakt. Wilt u hieraan deelnemen? Geef dit aan via zorgenrecht@ggznederland.nl. Het is wel noodzakelijk dat uw organisatie lid is van

GGZ Nederland en dat u geregistreerd bent op GGZ Connect, dit kunt u doen via het platform. Hierna kunnen wij u toevoegen aan deze (besloten) groep.

Bent u functionaris voor gegevensbescherming (FG) voor uw organisatie en wilt u graag vragen met andere FG’s bespreken en informatie uitwisselen? Op ons platform GGZ Connect hebben wij een (besloten) groep aangemaakt. Wilt u hieraan deelnemen? Geef dit aan via zorgenrecht@ggznederland.nl. Het is wel noodzakelijk dat uw organisatie lid is van GGZ Nederland en dat u geregistreerd bent op GGZ Connect, dit kunt u doen via het platform. Hierna kunnen wij u toevoegen aan deze (besloten) groep.



[1] Bron 10 stappenplan: www.autoriteitpersoonsgegevens.nl