Inloggen

Nieuwe privacyregels AVG

Wat betekenen ze voor u?

Per 25 mei 2018 moet uw praktijk voldoen aan de Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). Jurist Annemarie Smilde zet de belangrijkste wijzigingen voor u op een rij. 

De AVG vervangt de Nederlandse Wet bescherming persoonsgegevens (Wbp). Als praktijkhouder krijgt u meer verplichtingen, waarbij u met documenten moet aantonen dat u hieraan voldoet.  

Over welke gegevens in uw praktijk gaat de AVG?
De AVG ziet toe op de verwerking van alle patiëntengegevens, ook de niet-digitale. Daarnaast vallen andere persoonsgegevens onder de werking van de AVG, denk aan de personeelsdossiers van uw medewerkers en sollicitanten

Wat wordt er van u verwacht? 
Een groot deel van de verplichtingen in de AVG stond al in de Wbp. Bovendien zijn de verplichtingen uit andere wetten over het omgaan met patiëntengegevens van kracht.

De belangrijkste verplichtingen voor u zijn: 

  1. Overeenkomsten met bewerkers aanpassen
    Maakt u gebruik van een verwerker die de beschikking krijgt over persoonsgegevens die onder uw verantwoordelijkheid vallen? Bijvoorbeeld een ICT-leverancier, of iemand die de salarisadministratie verzorgt? Dan verplicht de AVG u met deze partijen verwerkersovereenkomsten te sluiten. Werkt u nu met een zogenoemde bewerkersovereenkomst conform de Wbp, dan moet u deze laten aanpassen aan de eisen van de AVG. 

  2. Beschikbare privacyverklaring hebben en publiceren
    In een privacyverklaring informeert u patiënten schriftelijk en in begrijpelijke taal over onder meer: het doel van de verwerking van hun gegevens, aan wie u deze verstrekt en hoe lang u deze bewaart. Dat doet u ook over de wijze waarop patiënten hun rechten kunnen uitoefenen. De privacyverklaring moet u zowel op papier als online beschikbaar stellen.  

  3. Functionaris voor de Gegevensbescherming
    Het hebben van een Functionaris voor de Gegevensbescherming (FG) is soms voor u verplicht. Zo niet, dan is het toch raadzaam een FG aan te wijzen. Dit is een onafhankelijke persoon die uw organisatie adviseert over de naleving van de AVG. Een FG is verplicht wanneer u op grote schaal persoonsgegevens verwerkt. Het is nog niet helemaal duidelijk welke zorgaanbieders hier onder vallen. Hiervoor is niet alleen het aantal zorgverleners in uw praktijk relevant, maar ook bijvoorbeeld deelname aan systemen voor elektronische gegevensuitwisseling, zoals het LSP voor huisartsen, huisartsenposten en apothekers. Een FG kan ook gezamenlijk ingekocht worden. Hier volgt binnenkort meer informatie over op onze website.

  4. Alle datalekken registreren
    Op grond van de AVG bent u verplicht de datalekken te registreren die bij de toezichthouder (de Autoriteit Persoonsgegevens) zijn gemeld.  

  5. Verwerkingsregister aanleggen en bijhouden
    U bent verplicht een zogenoemd verwerkingsregister aan te leggen. Hierin vermeldt u alle soorten persoonsgegevens die u in uw praktijk bewaart, de wijze waarop u deze verwerkt, voor welk doel et cetera.

  6. Uitvoering van Privacy Impact Assessment (PIA) voor toepassing van nieuwe verwerkingssystemen
    Wat zijn de risico’s van verwerkingssystemen? Die moet u vóór invoering analyseren. Denk aan de implementatie van een huisartsinformatiesysteem, website of andere nieuwe software. Pas na uitvoering van de PIA en de implementatie van de assessment, kan de verwerking van de patiëntgegevens starten.

  7. Aantonen dat u privacybeleid heeft, uitvoert en bijhoudt
    Kennis en bewustwording rondom de AVG is belangrijk voor iedereen binnen uw praktijk. Alle medewerkers moeten hiervan dan ook op de hoogte zijn en blijven. Het gaat immers om de juiste manier van gegevens verwerken.

  8. Rechten van patiënten naleven
    Uw patiënten hebben recht op inzage of correctie van hun gegevens. Het recht op correctie en het verwijderen van gegevens in hun eigen dossier. Nieuw is onder andere het recht van een patiënt om de informatie uit zijn dossier te (laten) exporteren in een standaard sjabloon. Dit maakt de overdracht aan een andere zorgaanbieder mogelijk.

Wat gebeurt er als u niet (op tijd) aan de AVG voldoet?
De AVG is al van kracht. De Autoriteit Persoonsgegevens gaan handhaven: controleren of u aan de verplichtingen voldoet en zo nodig maatregelen treffen. Zo kan de autoriteit een boete opleggen, bijvoorbeeld als u niet, of te laat, een datalek meldt.

Wilt u weten wat VvAA voor u kan doen? Stuur een bericht naar uw adviseur. 

VvAA Privacypakket | VvAA-lid Annet Voorburg

AVG of NEN 7510 ingewikkeld? VvAA maakt het makkelijk.

  • De privacy van uw patiënten goed geregeld
  • Snel inzicht in de AVG, NEN 7510 en wat u nog moet doen
  • Kies het pakket dat bij u past

Bekijk ons aanbod

avg stethoscoop met patiënt gegevens privacy

Wat kunt u van VvAA verwachten?

VvAA informeert u regelmatig over wat de AVG betekent voor uw praktijk. In aanvulling hierop kunt u bij VvAA terecht voor advies en begeleiding voor maatwerk, bijvoorbeeld voor de aanpassing van werkprocessen en documenten en de voorlichting aan personeel. Daarnaast biedt VvAA als vangnet een cyberverzekering

Wat doet VvAA zelf?

De AVG heeft grote impact op financiële dienstverleners zoals VvAA. Wij kunnen ons bedrijf niet uitvoeren zonder bepaalde persoonsgegevens te verwerken. Onze visie op privacy vindt u in ons privacybeleid

Implementatie AVG op koers

Om ons tijdig op de eisen van deze privacywet voor te bereiden heeft VvAA een multidisciplinair AVG-projectteam opgericht, waar ook onze Functionaris Gegevensbescherming (privacy officer) deel van uitmaakt. Met deze multidisciplinaire aanpak verloopt onze dienstverlening per 25 mei 2018 conform de AVG. 

Uw privacy goed geregeld

De bescherming van de privacy van onze leden, klanten en bezoekers van onze website is voor ons van essentieel belang. Voor vragen of opmerkingen over ons privacybeleid kunt u mailen met onze privacy officer via privacy@vvaa.nl

 

Meer weten over de AVG?