Dag van de Privacy: is uw zorginstelling al klaar voor nieuwe privacywet AVG?
Zondag 28 januari is het de Dag van de Privacy. Een goed moment voor ziekenhuizen en andere zorginstellingen om te kijken hoe het staat met de gegevensbescherming van hun patiënten, cliënten en medewerkers. Immers, over slechts enkele maanden is het al zover, dan treedt de nieuwe privacywet in werking. Organisaties, dus ook zorginstellingen moeten dan aan nieuwe regels voldoen, op straffe van fikse boetes. Waar gaat er precies veranderen en waar moet je als instelling om denken? De Nationale Zorggids verzamelde de belangrijkste feiten en adviezen.
Van Wbp naar AVG
De nieuwe privacywet – de Algemene verordening gegevensbescherming (AVG) – gaat in Nederlandse de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. Onder de AVG wordt de bescherming van persoonsgegevens strenger. Wat gaat er precies veranderen?
Verantwoordingsplicht
Vanaf 25 mei krijgen zorginstellingen meer verantwoordelijkheden in het goed beschermen van de persoonsgegevens van cliënten en patiënten. Zij hebben dan bovendien een verantwoordingsplicht. Dit houdt in dat zij voortaan moeten kunnen aantonen welke technische en organisatorische maatregelen zijn genomen voor de beveiliging van persoonsgegevens. Ook moeten zorginstellingen goede argumenten hebben om bepaalde persoonsgegevens te verwerken.
Toestemming
Onder de AVG mogen persoonsgegevens alleen worden verwerkt en bewaard met toestemming van de persoon zelf, in dit geval dus patiënt of cliënt. Instellingen moeten daarom goed nadenken over de (digitale) toepassingen en systemen die zij inzetten voor de zorg. Waaronder elektronische patiëntendossiers en inlogomgevingen van ziekenhuiswebsites of zorgverzekeraars
Aan de andere kant hebben mensen straks ook het recht om ‘vergeten’ te worden. Zij kunnen dan een verzoek indienen om bepaalde gegevens te laten verwijderen. Over de uitvoering van deze maatregel is nog niet veel duidelijk. Zorginstellingen doen er goed aan om er alvast rekening mee te houden dat het mogelijk moet zijn om gegevens uit hun systeem te wissen.
Wat betekent dit voor zorginstellingen
Per 25 mei aanstaande gelden een aantal nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt. Zorginstellingen zullen vaak een register van verwerkingsactiviteiten moeten bijhouden en een data protection impact assessment uitvoeren. Tevens zal veelal een functionaris voor de gegevensbescherming aangenomen moeten worden.
Ook zullen zorginstellingen zorgvuldige dossiers moeten gaan bijhouden over hun privacybeleid en de praktische uitvoering ervan. Wanneer de Autoriteit Persoonsgegevens (AP) daarom vraagt zullen zij duidelijk moeten kunnen maken welke persoonsgegevens zij in hun systeem hebben opgenomen en waarom, hoe lang zij deze gegevens bewaren en hoe het delen van gegevens met derden is geregeld.
Onder de AVG mogen zorgaanbieders persoonsgegevens blijven verstrekken aan zorgverzekeraars, daarin verandert niets.
Bestaande regels die gewoon blijven gelden
Binnen de zorg zijn er al enkele wetten vastgesteld en die blijven ook gewoon bestaan. Dat betekent dat onder meer de Wet op geneeskundige behandelingsovereenkomsten (WGBO), de Wet kwaliteit, klachten en geschillen zorg (Wkkgz), de Wet marktordering gezondheidszorg (Wmg) en de Zorgverzekeringswet (Zvw) blijven, maar worden bevestigd en versterkt door de AVG. Ook gaan de nieuwe regels van de AVG naast het medisch beroepsgeheim bestaan.
Boetes
Instanties die vanaf 25 mei niet voldoen aan de eisen van de AVG lopen het risico op hoge boetes. De Autoriteit Persoonsgegevens kan boetes uitdelen van 20 miljoen euro of 4 procent van de groepsjaaromzet. Deskundigen betwijfelen of de AP dergelijke forste boetes echt zal opleggen. De organisatie lijkt vooral te willen waarschuwen om op tijd te beginnen met databeveiliging.
TIPS & TOOLS
- ActiZ, GGZ Nederland, NFU, NVZ en VGN hebben in het kader van de inwerkingtreding van de AVG een standaard modelverwerkersovereenkomst ontwikkeld. Meer informatie daarover en de AVG zijn te vinden op de website van GGZ Nederland.
- Voor huisartsen heeft de Landelijke Huisartsenvereniging (LHV) een dossier gemaakt met daarin alle verplichtingen die huisartsen per 25 mei aanstaande hebben. Deze verplichtingen zijn te vinden op de website lhv.nl.
- Lees meer over de implicaties van de AVG voor zorginstellingen op de website van de Autoriteit Persoonsgegevens.
Bron: Autoriteit Persoonsgegevens
Door: Redactie Nationale Zorggids