Klaar voor de AVG

Vanaf 25 mei 2018 moeten praktijken voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Wat gaat er precies veranderen?

Tekst: Andrea Linschoten

Wat is de AVG?

De Algemene Verordening Gegevensbescherming vervangt de Nederlandse Wet bescherming persoonsgegevens (Wbp). Als praktijkhouder krijgt u meer verplichtingen, waarbij u met documenten moet gaan aantonen dat u hieraan voldoet. Ook worden privacyrechten van uw patiënten versterkt en uitgebreid.

Over welke gegevens gaat de AVG?

De AVG ziet toe op de verwerking van alle patiëntengegevens, ook de niet-
digitale. Daarnaast vallen andere persoonsgegevens onder de werking van de AVG, zoals personeelsdossiers van medewerkers en sollicitanten.

Hoe kunt u voldoen aan de AVG?

  • U vraagt voortaan uitdrukkelijk toestemming aan uw patiënt om zijn gegevens te mogen gebruiken.
  • U kunt aantonen dat u privacybeleid heeft en dat u dat uitvoert en bijhoudt.
  • U zorgt ervoor dat uw medewerkers zich continu bewust zijn van privacy- gevoelige situaties.
  • U analyseert jaarlijks uw risico’s.
  • U houdt een verwerkingsregister bij. Daarin staat welke persoonsgegevens u gebruikt, voor welk doel u ze gebruikt, waar ze worden opgeslagen en met wie u ze deelt.
  • U sluit overeenkomsten met partijen die persoonsgegevens van u ontvangen.
  • U brengt uw digitale beveiliging op orde en houdt die bij.
  • U slaat alle incidenten op die uontdekt, bij uzelf en bij anderen.
  • In de gezondheidszorg bent u meestal verplicht een Functionaris Gegevensbescherming aan te stellen.

Welke rechten heeft de patiënt?

De patiënt mag:

  • inzien welke persoonlijke gegevens u heeft opgeslagen;
  • zijn persoonlijke gegevens wijzigen als die fout zijn;
  • alle gegevens die u over hem opslaat over (laten) dragen naar een andere zorgverlener;
  • informatie krijgen over hoe u zijn gegevens opslaat en wat u daarmee doet;
  • de gegevens die u over hem opslaat laten verwijderen.

Wat gebeurt er als u niet (op tijd) aan de AVG voldoet?

De AVG is al van kracht, maar u heeft tot 25 mei 2018 de tijd om uw praktijk hierop aan te passen. Vanaf die datum kan de Autoriteit Persoonsgegevens handhaven: controleren of u aan de verplichtingen voldoet en zo nodig maatregelen treffen. Zo kan de autoriteit een boete opleggen, bijvoorbeeld als u niet of te laat een datalek meldt.

Ondersteuning door VvAA

Met het VvAA Privacypakket kunnen praktijkhouders de privacy van patiënten regelen, inzicht krijgen in de AVG en voldoen aan NEN7510, de norm voor Informatiebeveiliging.

Het Privacypakket kent drie varianten: basis (geeft duidelijkheid of uw praktijk AVG-proof is), comfort (maakt praktijk AVG-proof en bespaart tijd door onder meer automatisch opgesteld beleid en kant-en-klaar verwerkings- en incidentenregister) en compleet (AVG-proof, tijd besparen en complete informatieveiligheid door onder meer continue hulp bij vragen, certificeerbare systeem up-to-date houden en na certificering gebruikmaken van Vecozo).

Meer informatie over de AVG en VvAA Privacypakket via vvaa.nl/avg