Welke privacydocumenten heb je nodig als mondzorgaanbieder?

Deze documenten zijn – over het algemeen – verplicht voor iedere zorgaanbieder, aangezien er wordt gewerkt met gezondheidsgegevens. Gezondheidsgegevens worden door de AVG gekwalificeerd als bijzondere persoonsgegevens, waar extra waarborgen voor gelden en waar aldus voorzichtig mee om moet worden gegaan. Door de verschillende privacydocumenten te hanteren in de organisatie van de praktijk wordt de privacy zoveel mogelijk gewaarborgd én wordt voldaan aan de verplichtingen die in dat kader gelden op grond van de AVG. In dit artikel gaan wij in op de vijf belangrijkste privacydocumenten voor mondzorgaanbieders.

1. Privacyverklaring

De AVG kent een informatieplicht voor verwerkingsverantwoordelijken. Mondzorgaanbieders zijn – als verwerkingsverantwoordelijke – verplicht om betrokkenen schriftelijk te informeren over wat er met hun persoonsgegevens gebeurt en waarom. De betrokkenen kunnen patiënten zijn, maar ook eigen medewerkers. Aan deze informatieplicht kan worden voldaan door een privacyverklaring te hanteren.

In de AVG is opgenomen welke onderwerpen in de privacyverklaring moeten worden opgenomen. Dit betreft onder andere:

• de contactgegevens van de mondzorgaanbieder en de Functionaris Gegevensbescherming (FG);
• de doeleinden en rechtsgronden op basis waarvan persoonsgegevens worden verwerkt;
• welke rechten betrokkenen hebben;
• hoe lang persoonsgegevens worden bewaard
• dat betrokkenen een klacht kunnen indienen bij de Autoriteit Persoonsgegevens.

Verder moet de privacyverklaring toegankelijk zijn voor betrokkenen. Er kan het beste aan dit vereiste worden voldaan door de privacyverklaring op de website te plaatsen. Zo is het document makkelijk vindbaar en toegankelijk voor alle betrokkenen. De privacyverklaring hoeft niet te worden ondertekend door betrokkenen, maar is van toepassing door de publicatie.

2. Privacybeleid

Naast de informatieplicht is er ook een verantwoordingsplicht vanuit de AVG. De verantwoordingsplicht houdt in dat zorgaanbieders moeten kunnen aantonen dat zij aan de AVG voldoen. Hieraan kan worden voldaan door middel van een privacybeleid. Het privacybeleid is – anders dan de privacyverklaring – een intern document. Het is dus niet vereist om dit openbaar te maken op de website, maar het is wel mogelijk. Indien een mondzorgaanbieder het privacybeleid graag openbaar wenst te maken, is het van belang om de bepalingen over werkwijze rondom beveiliging van persoonsgegevens te verwijderen. Dit zodat deze informatie niet in verkeerde handen terecht komt.

Een privacybeleid is verplicht wanneer dit ‘in verhouding staat tot de verwerkingsactiviteiten’. Nu mondzorgaanbieders veel medische (en daarmee bijzondere) persoonsgegevens verwerken, wordt algemeen aangenomen dat zij over een privacybeleid moeten beschikken.

In het privacybeleid dienen onder meer de volgende aspecten te worden opgenomen:

• de categorieën van persoonsgegevens die de mondzorgaanbieder verwerkt;
• met welk doel en welke rechtsgrond dit gebeurt;
• welke rechten betrokkenen hebben en hoe uitvoering wordt gegeven aan een verzoek;
• hoe de mondzorgaanbieder voldoet aan de AVG-beginselen;
• wat de bewaartermijnen van persoonsgegevens zijn;
• welke beveiligingsmaatregelen zijn getroffen.

Het privacybeleid dient schriftelijk te zijn en er dient jaarlijks te worden bekeken of de informatie uit het privacybeleid nog actueel is.

3. Verwerkingsregister

Het verwerkingsregister geeft informatie rondom alle verwerkingen binnen de organisatie. Een verwerkingsregister is pas verplicht indien een organisatie meer dan 250 medewerkers heeft, tenzij er onder meer sprake is van (stelselmatige) verwerking van bijzondere persoonsgegevens. Zoals eerder vastgesteld werken mondzorgaanbieders veel met medische (bijzondere) persoonsgegevens. Voor mondzorgaanbieders geldt hierdoor de verplichting om een verwerkingsregister te hebben, ook als de organisatie minder dan 250 medewerkers heeft.

Het verwerkingsregister is vormvrij, maar veel zorgaanbieders gebruiken Excel hiervoor. Verder dient onder andere het volgende te worden opgenomen in dit document:

• de categorieën van verwerkingsactiviteiten;
  • Bijvoorbeeld het medisch dossier, declaraties, personeelsadministratie, cliënttevredenheidsonderzoeken;
• doeleinde (van de betreffende categorie);
• welke persoonsgegevens worden verwerkt (van de betreffende categorie);
• de betrokkenen / ontvangers (van de betreffende categorie);
• bewaartermijn (van de betreffende categorie).

Er dienen geen persoonsgegevens zelf in het verwerkingsregister te worden opgenomen, enkel een duiding van de categorie is voldoende, zoals: ‘NAW-gegevens, medische gegevens’.
Tot slot moet het verwerkingsregister schriftelijk en actueel zijn. Indien een verwerking stopt binnen de organisatie, dient dit ook te worden opgenomen in het verwerkingsregister.

4. Datalekregister

Uit de AVG vloeit de verplichting voort om datalekken te documenteren. Dit kan middels een datalekregister. Ook het datalekregister is vormvrij, maar dient wel schriftelijk te zijn. Indien er sprake is van een datalek, moeten er een aantal aspecten worden opgenomen in het datalekregister, waaronder:

• of het datalek is gemeld bij AP / betrokkenen (en waarom wel / niet);
• wat de aard is van het datalek met een omschrijving daarvan;
• om hoeveel betrokkenen het gaat;
• wanneer het datalek heeft plaatsgevonden;
• om welk soort persoonsgegevens het gaat (dus bijvoorbeeld cliëntgegevens);
• welke gevolgen het datalek heeft;
• welke maatregelen zijn getroffen om het datalek te beperken / corrigeren.

Naast het opnemen van de datalek in het datalekregister is het ook van belang om corrigerende maatregelen te nemen en eventuele meldingen te doen.

5. Verwerkersovereenkomst

Op het moment dat een mondzorgaanbieder gebruik wil maken van de diensten van een verwerker, dient er een verwerkersovereenkomst te worden gesloten. Een verwerker is een organisatie die in opdracht van de mondzorgaanbieder persoonsgegevens verwerkt. Hierbij kan bijvoorbeeld worden gedacht aan een salarisadministratiekantoor. De primaire opdracht ziet op het verwerken van de persoonsgegevens, waarbij de verwerker geen zeggenschap heeft over de verwerking. De verwerker moet handelen naar de instructie van de verwerkingsverantwoordelijke (lees: in dit geval de mondzorgaanbieder).

Het is raadzaam om in de overeenkomst over de volgende aspecten afspraken te maken:

• de duur van de verwerking;
• de aard van de verwerking;
• de categorieën persoonsgegevens en betrokkenen;
• de rechten en plichten van de verwerker / de verwerkingsverantwoordelijke;
• welke beveiligingsmaatregelen de verwerker moet nemen en wat de afspraken zijn als zich een datalek bij de verwerker voordoet;
• hoe wordt omgegaan met subverwerkers (verwerkers die de verwerker zelf inschakelt);
• de aansprakelijkheid;
• wat er met de persoonsgegevens gebeurt als de verwerkersovereenkomst eindigt.

Er wordt in de praktijk vaak een standaardverwerkersovereenkomst aangeboden. Het is goed om hierbij nauwkeurig te kijken in hoeverre deze overeenkomst overeenkomt met een eventueel eigen format van de verwerkersovereenkomst. Op die manier kunnen eventuele verschillen worden besproken met de andere partij.

Tot slot

Naast het opstellen van de bovenstaande documenten is het ook van belang om de documenten actueel te houden. Uiteraard dient er ook overeenkomstig de opgestelde documenten te worden gehandeld. Op die manier zijn er al veel waarborgen omtrent de privacy in uw mondzorgorganisatie ingebouwd.

Door:
mr. Demi van Rossenberg en mr. Silke van Dijk, Eldermans|Geerts
Advocaten | Zorgmakelaars | Juristen | Adviseurs in de zorg