Europese verordening AVG: Privacy verandert van ‘tell me” naar “show me”

Europese verordening AVG: Privacy verandert van ‘tell me” naar “show me”

Alle mondzorgprofessionals werkzaam binnen de tandheelkunde hebben te maken met bijzondere persoonsgegevens. Om die reden zult u 25 mei 2018 in uw agenda hebben omcirkeld. Heeft u dat al gedaan? Op 25 mei 2018 is het namelijk echt zover. Dan is de Algemene Verordening Gegevensbescherming (AVG) op uw mondzorgorganisatie van toepassing.

Die AVG beoogt simpel gezegd de manier waarop organisaties omgaan met privacy te veranderen van ‘tell me’ naar ‘show me’. Dit houdt in dat u moet vastleggen op welke manier u over privacy heeft nagedacht en dit vervolgens ook moet kunnen laten zien. Uw verantwoordingsplicht komt daarmee centraal te staan.

Hoe ver bent u al met het treffen van maatregelen? Hieronder zetten wij op een rijtje wat er allemaal op u af gaat komen.

Functionaris voor de gegevensbescherming: LSP? Aan de FG!

Eén van de belangrijkste verplichtingen op grond van de AVG is de verplichting om een Functionaris Gegevensbescherming (FG) aan te wijzen. Vermeldenswaardig is het feit dat de Nederlandse wetgever deze verplichting zo belangrijk vindt voor zorgaanbieders, dat zij niet heeft willen wachten tot 25 mei 2018. Met het Besluit elektronische gegevensverwerking door zorgaanbieders, waarmee het hebben van een FG in de zorgsector verplicht wordt gesteld, heeft de wetgever op de komst van de AVG vooruitgelopen. Op grond van dit besluit bent u verplicht een FG aan te wijzen als u bent aangesloten op een elektronisch uitwisselingssysteem (zoals het LSP, of het systeem DRS dat vanaf 2018 door CZ – en later waarschijnlijk de overige verzekeraars -verplicht wordt gesteld voor gecontracteerde zorgaanbieders) of als u een ‘instelling’ bent als bedoeld in de Wet kwaliteit, klachten en geschillen zorg die op grote schaal gegevens verwerkt. Van een instelling is snel sprake, bijvoorbeeld al als u samen met anderen in een maatschap een praktijk heeft. Dit besluit is vorige week gepubliceerd in het Staatsblad en treedt 1 januari aanstaande in werking. Vanaf die datum zult u als u aan de criteria voldoet binnen uw praktijk een FG moeten aanwijzen.

Privacy assessments

Ook nieuw is de verplichting een Data Protection Impact Assessment (DPIA) te doen oftewel: een gegevensbeschermingseffectbeoordeling. De bedoeling van dit onderzoek is om bestaande privacyrisico’s in kaart te brengen en om eventueel maatregelen te treffen die deze risico’s wegnemen. Een DPIA is op grond van de AVG verplicht voor mondzorgorganisaties die op grote schaal gezondheidsgegevens verwerken. Wanneer precies sprake is van een ‘grootschalige’ verwerking heeft de wetgever niet duidelijk gemaakt. Volgens de Autoriteit Persoonsgegevens vallen éénpitters hier in ieder geval niet onder, maar voor de grote klinieken zal dit waarschijnlijk wel gaan gelden. Maar de Autoriteit Persoonsgegevens (AP) mag een DPIA ook verplicht stellen voor andere situaties en van die mogelijkheid heeft zij gebruik gemaakt (dit is ook te vinden via de website van de AP). Een DPIA is ook verplicht voor organisaties die bijzondere persoonsgegevens verwerken van een kwetsbare groep personen. Aangezien gezondheidsgegevens, bijzondere persoonsgegevens zijn en aangezien patiënten kwalificeren als kwetsbare personen is de kans heel groot dat straks alle zorgorganisaties, ook in de mondzorg, een DPIA moeten uitvoeren.

Verwerkers

Besteedt u persoonsgegevens uit aan derden? Dan kan het zo zijn dat het gaat om een verwerkingsverantwoordelijke-verwerker relatie. In dat geval is een verwerkersovereenkomst verplicht. Denk bij een verwerker bijvoorbeeld aan de ICT bedrijven die uw systemen beheren of aan een administratiekantoor dat de boekhouding doet. Het is het goed om te bekijken of u een verwerkersovereenkomst heeft met uw verwerkers (vroeger bewerkers genoemd), en zo ja om deze overeenkomst er nog eens op na te slaan. In de verordening staan bepaalde onderwerpen genoemd die in de overeenkomst met de verwerker moeten worden opgenomen. Zoals het feit dat een datalek door de verwerker moet worden gemeld of dat een verwerker een register moet bijhouden met daarin de gegevens die hij in opdracht verwerkt.
N.B. Factoringbedrijven zijn geen verwerker in de zin van de AVG.

Toestemming en verwerkingsregister

Onder de AVG moeten instellingen, waaronder zorgaanbieders, de AP kunnen laten zien dat zij over toestemming beschikken van hun patiënten om de informatie over hun gezondheid te gebruiken. Dat maakt onderdeel uit van de ‘verantwoordingsplicht’ die organisaties hebben. Hoe moet worden aangetoond dat je als organisatie toestemming hebt ontvangen? De AVG stelt hieraan twee eisen:

  1. De toestemming moet ‘geïnformeerd’ en ‘specifiek’ zijn gegeven. Goed is om na te gaan op welke manier toestemming door uw organisatie wordt ontvangen en geregistreerd en dit (mocht dat nodig zijn) aan te passen.
  2. Naast de toestemming van uw patiënten moet u als zorgprofessional ook registreren welke gegevens u allemaal heeft (de categorieën) en voor welke doeleinden u deze bewaart of gebruikt. Reden hiervoor is dat zorgorganisaties gezondheidsgegevens verwerken, en dan is het hebben van een verwerkingsregister wettelijk verplicht. Het loont om vóór 25 mei de administratie hierop aan te passen.

Rechten betrokkenen

De AVG geeft uw patiënten meer rechten. Zo hebben zij onder meer het recht op rectificatie als de persoonsgegevens onjuist zijn, het recht op het wissen van gegevens als de patiënt wil dat u die gegevens niet langer heeft en ook hebben patiënten het recht bezwaar te maken tegen verwerkingen van persoonsgegevens die hen betreffen. Die nieuwe rechten hebben ook gevolgen voor u als mondzorgprofessional. U zult namelijk steeds in actie moeten komen wanneer iemand die rechten aanwendt. Wanneer bijvoorbeeld een patiënt vraagt welke (bijzondere) persoonsgegevens u van hem of haar heeft (recht op inzage), moet u dat kunnen laten zien (overigens zonder al te veel vertraging). Ook nieuw is het ‘recht op dataportabiliteit’ wat kort gezegd inhoudt dat iemand het recht heeft om zijn persoonsgegevens van u te ontvangen in een ‘gestructureerd gebruikelijke machineleesbare vorm’.

Tot slot

Het is aan te raden om de ontwikkelingen goed in de gaten te houden. Zo worden in ieder geval nog door de AP richtlijnen gepubliceerd over de uitleg van bepaalde begrippen. Van belang is dat elke organisatie zich bewust moet zijn van de komst van verordening en daarop moet inspelen. Dit kan een hoop leed besparen.

Wij beseffen ons goed dat er in een korte periode veel op zorgaanbieders af komt en het niet duidelijk is aan welke verplichtingen u precies moet voldoen. Om u daarbij behulpzaam te zijn is een tool ontwikkeld waarbij u aan de hand van een aantal korte vragen een indicatie krijgt van de verplichtingen die u in de toekomst worden opgelegd en de zaken die u wel of niet moet regelen. Deze tool is te raadplegen op de website van Eldermans|Geerts.

Door: Eldermans|Geerts – advocaten, zorgmakelaars en juridisch adviseurs

Schrijf je in voor onze nieuwsbrief

Wat is je functie? *

Lees meer over: Ondernemen, Wet- en regelgeving