7 tips voor invoering van de AVG in uw zorgonderneming

22 februari 2018 - De Algemene verordening gegevensbescherming (AVG) wordt vanaf 25 mei 2018 gehandhaafd en vervangt daarmee definitief de Wet bescherming persoonsgegevens. De AVG verlangt veel meer van u als praktijkhouder. Zeven tips om uw praktijk AVG-proof te maken: 

Tip 1: Denk niet: ‘Ik ga al zorgvuldig met patiëntengegevens om, dus hoef ik niets met de nieuwe privacywet’

Waar uw beroepsgeheim gaat over vertrouwelijkheid van informatie, verplicht de AVG u vooral te kunnen aantonen dat u zich als zorgaanbieder aan de privacyregels van de AVG houdt. Het feit dat u nooit informatie over patiënten aan derden verstrekt zonder toestemming is niet voldoende. U moet voortaan echt met documenten aantonen dat u aan de privacyregels van de AVG voldoet. Zowel aan uw patiënten als aan de Autoriteit Persoonsgegevens. 
 
Bovendien is het belangrijk om te weten dat de AVG niet alleen gaat over patiëntgegevens, maar ook over de gegevens van uw medewerkers, opdrachtnemers, sollicitanten en stagiaires.
 
Dus gebruikt u persoonsgegevens of slaat u ze op? Dan ontkomt u er niet aan om uw onderneming AVG-proof te maken. 

Tip 2: Trek tijd en geld uit om aan de AVG te voldoen

Denk vooral niet te licht over de implementatie van de AVG. Echt AVG-proof worden kost tijd, geld en energie. Ter indicatie: De Goudse Verzekeringen was bij de implementatie alleen al ongeveer € 16,60 per klant kwijt aan inzet van mensen en het AVG-proof maken van de organisatie. Bovendien zult u na de implementatie uw privacybeleid ook geregeld moeten updaten, bijvoorbeeld als u met nieuwe gegevens of systemen gaat werken. 

Er zijn genoeg redenen om voldoende tijd, geld en energie in de AVG te stoppen:

  • U investeert in de vertrouwensrelatie met uw patiënt. Patiënten verwachten dat u zich aan de regels houdt en er alles aan doet om hun privacy te waarborgen. Door de AVG serieus te nemen, investeert u zichtbaar in de vertrouwensrelatie met uw patiënt.
  • U beperkt het risico op een (tucht)klacht bij een datalek. Bij een datalek moet u een patiënt direct informeren als dit voor hem gevolgen heeft of kan hebben. Niet alleen volgens de AVG, maar ook op grond van de Wkkgz. U loop een groot risico op een klacht, bijvoorbeeld bij het tuchtcollege, als u de patiënt niet kunt aantonen dat u uw privacybeleid op orde heeft. 
  • U bent beter voorbereid als er iets mis gaat. Als u onvoldoende maatregelen heeft genomen kan uw zorgverlening in het geding komen. Bijvoorbeeld als u door een hack of door diefstal van uw computers niet meer bij uw dossiers kunt. Of als gegevens verloren gaan omdat u geen back-up heeft. 
  • U voorkomt een boete. Vanaf 25 mei worden er boetes uitgedeeld als u niet kunt aantonen wat uw privacybeleid is. Of als u te laat een datalek meldt. De voorzitter van de Autoriteit Persoonsgegevens, Aleid Wolfsen, is daar helder over: ‘De AVG is al sinds mei 2016 van kracht, [vanaf 25 mei 2018, red. ] wordt hij echt gehandhaafd. Ondernemers kregen twee jaar de tijd om zich hierop voor te bereiden. Er is geen excuus om straks niet zorgvuldig met privacygegevens om te gaan. Die boetes zijn een noodzakelijk kwaad. Het is net als met fout parkeren: wanneer niemand een boete krijgt, houdt niemand zich aan de regels.

Tip 3: Leg een verwerkingsregister aan

Omdat u medische gegevens verwerkt moet u een ‘verwerkingsregister’ bijhouden. In dit verwerkingsregister beschrijft u heel precies welke (medische) gegevens u opslaat en voor welke doelen u deze opslaat en gebruikt. Ook legt u vast hoelang u deze gegevens bewaart. Daarnaast beschrijft u in dit register ook alle technische en organisatorische maatregelen die u hebt genomen om de persoonsgegevens die u verwerkt te beveiligen.
 
De Autoriteit Persoonsgegevens (AP) gebruikt uw verwerkingsregister om te checken of u de privacy van uw patiënten goed op orde hebt. U moet dit register ook direct kunnen laten zien als de AP daar om vraagt. 

Tip 4: Zorg voor een goede privacyverklaring

Zodra u gegevens van een patiënt gaat opslaan en gebruiken, moet u hem daarover schriftelijk informeren. Via een privacyverklaring moet u aangeven: 
  • waarom u zijn gegevens opneemt in het dossier
  • voor welk doel 
  • hoe lang u deze bewaart
  • aan wie u deze gegevens verstrekt
  • welke rechten uw patiënt heeft over deze gegevens.
Deze privacyverklaring moet u niet alleen op uw website plaatsen, maar ook op papier kunnen overhandigen. Bijvoorbeeld via de folder over uw praktijk. Patiënten die al op de hoogte zijn van hoe u patiëntgegevens verwerkt, hoeft u niet opnieuw te informeren. Bij nieuwe patiënten hangt het van de manier van aanmelden af, wanneer u hen informeert: 

  • Als patiënten zich inschrijven of aanmelden via uw website, dan kunt u hen direct wijzen op de privacyverklaring op uw website;  
  • Als patiënten zich inschrijven of aanmelden via de balie, dan kunt u de privacyverklaring in uw folder overhandigen. Maar u kunt er ook voor kiezen om de privacyverklaring door te nemen tijdens het kennismakingsgesprek. En heeft u bijvoorbeeld toestemming van de patiënt nodig voor gegevensverstrekking, bijvoorbeeld voor het versturen van gegevens naar een factureringsmaatschappij? Dan is dat een goed moment om uitleg te geven. Zo investeert u ook in de vertrouwensrelatie.

Tip 5: Neem een collectieve functionaris gegevensbescherming

De functionaris voor de gegevensbescherming (FG) houdt binnen uw organisatie toezicht op de toepassing en naleving van de AVG. De FG is ook de contactpersoon voor de Autoriteit Persoonsgegevens. En hij adviseert u over uw verplichtingen. 
 
Als zorgaanbieder bent u verplicht een FG aan te stellen als u op grote schaal gezondheidsgegevens verwerkt. Of u er sprake is van ‘grote schaal’ hangt af van de hoeveelheid gegevens die u verwerkt en het aantal medewerkers dat u in dienst heeft. 
 
Het is nog niet helemaal duidelijk in welke gevallen zorgaanbieders met een eigen praktijk aan deze verplichting moeten voldoen. De Autoriteit Persoonsgegevens stelt dat ziekenhuizen in elk geval verplicht zijn een FG aan te stellen, maar een individueel werkende arts niet. Er wordt nog gewerkt aan een praktische richtlijn.
 
Maar zelfs als u niet verplicht bent een FG te hebben, kan dit wel in uw belang zijn. Bij een FG kunt u namelijk altijd terecht voor advies, bijvoorbeeld als een patiënt u ingewikkelde privacyvragen stelt. Of als u twijfelt of u een datalek moet melden. 
 
Om de kosten hoeft u het niet te laten. Want u kunt er bijvoorbeeld ook voor kiezen om met een aantal zorgaanbieders samen een collectieve FG aan te stellen. Ook zijn er beroepsorganisaties die overwegen een collectieve FG te regelen voor hun leden. Vraag dus na wat uw beroepsvereniging voor u kan betekenen. 
 
Online zijn er trouwens ook veel AVG-privacypakketten te koop die u helpen met de implementatie van de AVG. Let er dan op of dit privacypakket ook een collectieve FG’er aanbiedt. In het VvAA Privacypakket Comfort en Compleet krijgt u er in elk geval een collectieve FG bij. 

Tip 6: Check of uw leveranciers en software AVG-proof zijn

Ga na of de bedrijven waaraan u IT-diensten uitbesteedt en andere bedrijven die in uw opdracht gegevens verwerken ook voldoen aan de AVG. Afspraken over het verwerken van patiëntgegevens en zaken als geheimhouding moest u volgens de Wbp al vastleggen in de bewerkersovereenkomst. Deze overeenkomsten moet u in elk geval aanpassen aan de nieuwe eisen en de terminologie van de AVG: zo heten deze overeenkomsten volgens de AVG verwerkersovereenkomsten. 
 
De meeste AVG-privacypakketten op de markt bevatten een model-verwerkersovereenkomst. Maar vaak zal uw (software)leverancier zelf met een verwerkersovereenkomst komen. Deze kunt u eventueel tegen betaling laten checken bij VvAA. Mail de overeenkomst dan naar avg-nen@vvaa.nl
 
Een andere eis is dat de software die u gebruikt zo ontwikkeld en doordacht is dat de privacy automatisch gewaarborgd is. De AVG noemt dat privacy by design en privacy by default. Kiest u voor nieuwe software of ICT-diensten? Dan moet u dit in uw selectie meenemen. En een ouder systeem dat niet voldoet, zult u wellicht moeten vervangen. 
 
De beveiliging van uw software moet uiteraard ook voldoen aan de ‘actuele stand van de techniek’. U zult dus moeten (laten) beoordelen of dit zo is. En zo nodig maatregelen treffen. Zo’n beoordeling krijgt u bijvoorbeeld als u een cyber- en datariskverzekering van VvAA afsluit. 
 
Werkt u al volgens de norm NEN 7510? Dan besteedt u al voldoende aandacht aan dit soort informatiebeveiligingsvraagstukken. 

Tip 7: Ga het wiel niet zelf uitvinden

Vrijdag 25 mei is al dichtbij. De tijd gaat dus dringen. Gelukkig zijn er verschillende partijen die het meeste werk voor u uit handen nemen met een AVG-privacypakket. U koopt dan een gespreid bedje. Meestal in de vorm van een set aan beleidskeuzes en juridische documenten. Soms zit er ook een collectieve Functionaris Gegevensbescherming bij. Omdat de veiligheid van persoonsgegevens een voortdurende zorg is, hebben de meeste privacypakketten een abonnementsvorm. 

Online is er veel te vinden, een kleine greep:

Meer weten over de AVG?

Lees ook ons blog De nieuwe privacyregels AVG. Wat betekenen ze voor u?
VvAA Privacypakket

AVG of NEN 7510 ingewikkeld? VvAA maakt het makkelijk.

  • De privacy van uw patiënten goed geregeld
  • Snel inzicht in de AVG, NEN 7510 en wat u nog moet doen
  • Kies het pakket dat bij u past

Bekijk ons aanbod

Meer weten over de AVG?

avg stethoscoop met patiënt gegevens privacy

Wat kunt u van VvAA verwachten?

VvAA informeert u de komende tijd regelmatig over wat de AVG betekent voor uw praktijk. In aanvulling hierop kunt u bij VvAA terecht voor advies en begeleiding voor maatwerk, bijvoorbeeld voor de aanpassing van werkprocessen en documenten en de voorlichting aan personeel. Daarnaast biedt VvAA als vangnet een cyberverzekering

Wat doet VvAA zelf?

De AVG heeft grote impact op financiële dienstverleners zoals VvAA. Wij kunnen ons bedrijf niet uitvoeren zonder bepaalde persoonsgegevens te verwerken. Onze visie op privacy vindt u in ons privacybeleid

Implementatie AVG op koers

Om ons tijdig op de eisen van deze privacywet voor te bereiden heeft VvAA een multidisciplinair AVG-projectteam opgericht, waar ook onze Functionaris Gegevensbescherming (privacy officer) deel van uitmaakt. Met deze multidisciplinaire aanpak verloopt onze dienstverlening per 25 mei 2018 conform de AVG. 

Uw privacy goed geregeld

De bescherming van de privacy van onze leden, klanten en bezoekers van onze website is voor ons van essentieel belang. Voor vragen of opmerkingen over ons privacybeleid kunt u mailen met onze privacy officer via privacy@vvaa.nl