Hoe staat het ervoor met de AVG?

Hoe staat het ervoor met de AVG?

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Martin Rozeboom en Milou Jansen van de KNMT gaven tijdens Praktijk Anno Nu een update van de stand van zaken rond de AVG.

Bekendheid AVG

Onderzoek door KPMG heeft uitgewezen dat vier maanden na invoering 98% van de Nederlanders opde hoogte was van de AVG. De Autoriteit Persoonsgegevens (AP), die toezicht houdt op de naleving van de privacywetgeving, heeft sinds de invoering van de AVG duizenden klachten en tips binnengekregen. Het aantal mensen dat een inzageverzoek wil gaan doen of een verzoek wil doen om persoonsgegevens bij hun zorgaanbieder te laten verwijderen, is echter klein.

Taken AP

De AP heeft verschillende taken, waaronder het bevorderen van de naleving van de AVG. Dit gebeurt door het geven van voorlichting en advies, de behandeling van klachten en wetgevingsadvies. Voor zorg is op de website van de AP een aparte pagina beschikbaar. De AP kijkt vooral naar klachten die erg ingrijpen op de privacy van de klager of grote groepen mensen betreft. Bij overtreding van de privacywet kan in het uiterste geval een boete of een last onder dwangsom worden opgelegd.

Risicogericht toezicht

De AP houdt ook risicogericht toezicht. Hierbij ligt in 2018-2019 de focus op de overheid, de zorg, de handel in persoonsgegevens en datalekken. Bij de zorg wordt er gelet op de beveiliging van patiëntgegevens. Een e-mail moet versleuteld aan patiënten gestuurd worden; er mag alleen een ‘gewone’ mail gestuurd worden als er geen gezondheidsgegevens in staan. Daarnaast wordt gekeken of de verwerking gebaseerd is op de juiste grondslag.

Voor tandartsen is dit meestal geen probleem, omdat er een behandelingsovereenkomst aan ten grondslag ligt. Ook wordt er gecontroleerd of een aantal verplichtingen uit de AVG worden nagekomen, zoals het hebben van een privacy-beleid, een privacy- en cookieverklaring en een ingevuld verwerkingsregister. En eventueel de aanstelling van een functionaris gegevensbescherming.

Onduidelijkheden

Er zijn nog een aantal onduidelijkheden in de AVG. Zo was niet duidelijk of voor het overdragen van declaraties aan een factoringbedrijf de toestemming van de patiënt nodig is. De AP heeft nu bevestigd dat dit niet het geval is; voor factoring is dus geen toestemming van de patiënt nodig. Over de verplichte aanstelling van een functionaris voor de gegevensbescherming (FG) heeft de AP onlangs een nadere duiding gegeven. De aanstelling van een FG is verplicht indien:

  • de praktijk meer dan 10.000 patiënten heeft ingeschreven of als die gemiddeld meer dan 10.000 patiënten per jaar behandelt;
  • en de gegevens van deze patiënten in één informatiesysteem staan.

Tandtechnische laboratoria

Over tandtechnische laboratoria heeft de AP aangegeven dat zij daar geen uitspraak over doen. Sommige tandtechnische laboratoria zien zichzelf wel als verwerker en sommige als verwerkingsverantwoordelijke. De KNMT gaat hierover nog in gesprek met vertegenwoordigers uit de tandtechnische branche om duidelijkheid te krijgen. Belangrijk is in ieder geval dat je een (hoofd)overeenkomst hebt.

Datalekken

Datalekken komen erg vaak voor. Als je een datalek heb gehad, moet je dit vastleggen in een datalekkenregister. Als het lek risico’s met zich meebrengt voor de rechten en vrijheden van de betrokkene, moet het binnen 72 uur bij de AP gemeld worden. Ook moet beoordeeld worden of het datalek ook aan de betrokkene gemeld moet worden. Melding van een datalek leidt bijna nooit tot een onderzoek. Je krijgt ook altijd de tijd om maatregelen te nemen. De AP richt zich op dit moment vooral op grote instellingen en zal zich naar verwachting meer met kleine praktijken bezighouden als ze signalen krijgt dat daar risico’s zijn.

In 2017 zijn er zo’n 3000 meldingen van datalekken binnengekomen. Voor het overgrote deel betrof dit berichten zoals e-mails die naar een verkeerd adres waren gestuurd.

Informatiebeveiliging

Je bent verplicht om passende technische en organisatorische maatregelen te treffen om alles binnen de praktijk op een goede manier te beveiligen. Dat is vastgelegd in de NEN-norm 7510 (Informatiebeveiliging in de zorg). Deze bevat een hele lijst met maatregelen, die je niet allemaal hoeft te nemen. Op basis van een risicoanalyse moet je een beleidsplan hebben hoe je er mee omgaat. Op de website van de KNMT is hiervoor een checklist opgenomen. Een andere NEN-norm is 7512: Vertrouwensbasis voor gegevensuitwisseling. Die gaat erover dat als je met iemand mailt, je ook zeker moet weten dat diegene is, wie hij zegt dat hij is. Je moet op basis van de inhoud van een mail bepalen hoe je die gaat beveiligen.

In NEN 7513 (Logging – vastleggen van acties op elektronische patiëntendossiers) gaat het erom dat je moet vastleggen wie wat gedaan heeft in de praktijk als het gaat om verwerking van persoonsgegevens. Een deel hiervan wordt gefaciliteerd door softwareleveranciers.

De AP zegt al langer dat e-mailen veilig moet, maar niemand weet precies hoe dat moet. Binnenkort komt daar een normenkader voor.

Wat komt er nog aan?

De tendens is dat er steeds meer gegevens worden uitgewisseld door zorgverleners onderling. Een voorbeeld hiervan is de richtlijn Overdracht van medicatiegegevens in de keten, waardoor je op de hoogte kan zijn van de medicatie die een patiënt gebruikt. De mogelijkheid wordt nu onderzocht om elektronisch gegevens uit te wisselen met bijvoorbeeld een huisarts of apotheek.

Andere ontwikkelingen zijn digitale inzage van het zorgdossier en het beschikken over een persoonlijke gezondheidsomgeving (PGO), waarmee een patiënt zijn eigen gezondheidsdossier kan beheren. Een patiënt kan dan bijvoorbeeld meetwaarden van zijn bloeddruk zelf opnemen in zijn PGO.

Wat kun je zelf doen?

Zelf kun je ook nog het een en ander doen aan de veiligheid. Wees bedacht op phishing-mails en zorg voor software waarmee kwaadaardige berichten worden tegengehouden. Ook het hebben van een goede back-up is belangrijk. Let ook op informatie op papier, laat geen dossiers liggen.

Verslag door Yvette in ’t Velt van de workshop Doe de AVG-check door Martin Rozeboom en Milou Jansen tijdens Praktijk Anno Nu 2018.

Martin Rozeboom (adviseur ICT en Mondzorg) en Milou Jansen (adviseur juridische zaken) zijn gespecialiseerd in de Algemene Verordening Gegevensbescherming (AVG). Beiden werken bij de KNMT.

Lees meer over: Ondernemen, Wet- en regelgeving/