De nieuwe privacywet AVG: ligt u op schema?

22 januari 2018

Op 25 mei 2018 treedt de Algemene Verordening Persoonsgegevens (AVG) in werking. Dit is de Nederlandse versie van de EU-wet GDPR (General Data Protection Regulation). Deze wet vervangt de Wet Bescherming Persoonsgegevens. Specifieke wetgeving gericht op de zorg, zoals de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) of de Wet op de geneeskundige behandelovereenkomst (WGBO), blijft gewoon van kracht.

Als uw zorgorganisatie zich al helemaal gedraagt naar de huidige wetgeving, verandert er niet zoveel met betrekking tot de gegevensverwerking zelf. Nieuw zijn:

  • de organisatorische maatregelen die u moet nemen om te zorgen dat u de regels structureel naleeft,
  • de verantwoording die u hierover moet kunnen afleggen,
  • de sancties die kunnen worden opgelegd als u zich niet aan de wet houdt.

Dit alles vraagt – ook van u als kleinere zorgaanbieder – toch wel de nodige aanpassingen. Het is belangrijk dat u op tijd begint met deze aanpassingen om op 25 mei AVG-proof te zijn.

 

Persoonsgegevens

Alle informatie die gekoppeld of te koppelen is aan natuurlijke personen, valt onder de AVG. Dat betekent dat u ook de gegevens van uw medewerkers en van zakelijke relaties conform de wet moet beschermen. Omdat de privacy-gevoeligheid van de gegevens van uw cliënten veel hoger is, maakt de wet onderscheid in ‘gewone’ en bijzondere persoonsgegevens, zoals gezondheidsgegevens. De eisen aan het verwerken van deze gegevens zijn hoger. Voldoet u aan deze eisen, dan is het eenvoudig om ook te voldoen aan de eisen met betrekking tot andere persoonsgegevens.

 

Verplichtingen in de AVG

Dit zijn de verplichtingen die de AVG u stelt:

  • De gegevensverwerking zelf (en daaronder valt ook opslag) moet aan een aantal eisen voldoen en u moet van elk soort gegeven kunnen motiveren waarom u dit gegeven verwerkt. Zoals gezegd bevat dit deel van de wet niet veel nieuwe elementen.
  • U moet een verwerkingenregister opstellen en bijhouden van alle verwerkingen waarvoor u verantwoordelijk bent. De wet maakt onderscheid in structurele en incidentele verwerkingen. Organisaties met minder dan 250 medewerkers zijn vrijgesteld van het vastleggen van incidentele verwerkingen.
  • U moet een Functionaris Gegevensbescherming (FG) aanstellen die toeziet op de naleving van de wet door uw organisatie en u hierbij adviseert. De FG neemt niet de verantwoordelijkheid van u over. Kleinere organisaties mogen ook gezamenlijk een FG aanstellen. Vanuit BVKZ gaan we onderzoeken of we u hierbij kunnen ondersteunen.
  • U moet mogelijk een Data Protection Impact Assessment (DPIA) uitvoeren, waarmee u vooraf de privacyrisico’s van uw gegevensverwerking in kaart brengt. Hiermee kunt u vervolgens maatregelen nemen om deze risico’s te verkleinen. Ook als u geen DPIA hoeft uit te voeren, kan dit toch verstandig zijn.
  • Als u voor de gegevensverwerking externe organisaties inschakelt, dient u met deze organisaties verwerkersovereenkomsten af te sluiten. U blijft eindverantwoordelijk.
  • U dient de rechten van betrokkenen (lees: cliënten) na te leven: zij hebben recht op informatie, inzage, verbetering, verwijdering, overdraagbaarheid en bezwaar. Hierop gelden wel uitzonderingen. U dient binnen een redelijke termijn aan verzoeken van betrokkenen te kunnen voldoen. Dat vraagt soms om organisatorische aanpassingen.
  • U dient datalekken te registreren en binnen 72 uur te melden aan de Autoriteit Persoonsgegevens (AP).
  • Bij het ontwikkelen van nieuwe applicaties dient u ‘privacy by design’ toe te passen, wat betekent dat de applicatie ontworpen is om de privacy van betrokkenen optimaal te beschermen.

Begin op tijd

U ziet dat de AVG nogal wat van u vraagt. Begin daarom op tijd. De eerste stap is dat u zich verder verdiept in wat de wet van uw organisatie vraagt. Op website van de Autoriteit Persoonsgegevens vind u meer informatie en een overzicht van veel gestelde vragen, ook voor (kleinere) zorginstellingen. In een volgende stap schetst u de gewenste situatie en vergelijkt deze met de huidige situatie in de organisatie. Daaruit rollen de maatregelen die u gaat nemen om op 25 mei AVG-proof te zijn. De komende periode gaan we kijken hoe we vanuit BVKZ onze leden kunnen ondersteunen hierbij.