AVG: Algemene verordening gegevensbescherming

AVG staat voor Algemene verordening gegevensbescherming. Dit is de naam van de nieuwe wet omtrent privacy welke per 25 mei 2018 in de hele Europese Unie van toepassing is. De huidige Wet, Wet bescherming persoonsgegevens (Wbp), geldt dan niet meer, onderstaande wetten blijven wel gelden. De regels over privacy die hierin naar voren komen, worden door de AVG vooral bevestigd en op sommige onderdelen versterkt.

  • Wet op de geneeskundige behandelingsovereenkomst (WGBO);
  • Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
  • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
  • Zorgverzekeringswet (Zvw);
  • Wet marktordening gezondheidszorg (Wmg);
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

In de hele EU is de AVG vooral bekend onder de Engelse naam: General Data Protection Regulation, oftewel GDPR.

Veranderingen voor organisaties

De AVG is met name in het leven geroepen om privacyrechten te versterken en uit te breiden en om zo voor heel Europa dezelfde regels te laten gelden. Voor organisaties houdt dit onder andere het volgende in:

  • Er komt meer nadruk te liggen op de verantwoordelijkheid van organisaties.
    Zo dienen organisaties nog beter als voorheen aan te kunnen tonen dat zij zich aan de wet houden. Organisaties hebben hierin een verantwoordingsplicht. Hiermee dient een organisatie met documenten aan te kunnen tonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de nieuwe wetgeving te voldoen.
  • Verwerkingen van persoonsgegevens hoeven niet meer gemeld te worden bij de Autoriteit Persoonsgegevens.
  • Sommige organisaties zijn verplicht een gegevensbeschermingseffectbeoordeling uit te voeren. In het Engels heet dit de Data protection impact assessment (DPIA). De DPIA is een instrument vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen om vervolgens de nodige maatregelen te nemen om risico’s te verkleinen.
  • Sommige organisaties zijn verplicht een functionaris gegevensbescherming (FG) aan te stellen. Een FG is iemand die binnen een organisatie toezicht houdt op de juiste toepassing en naleving van de AVG.
  • Indien jouw organisatie in meerdere EU-lidstaten actief is, heeft u, doordat de nieuwe wet voor de hele EU geldt, minder administratieve en nalevingskosten, meer rechtszekerheid en hoef je nog maar met één toezichthouder zaken te doen.
Downloads

Veel antwoorden rondom zorgaanbieders en de AVG zijn te vinden op de website van Autoriteit Persoonsgegevens

Onderstaande documenten zijn opgesteld door de LHV:

Vindt nog meer documenten op de LHV-website.

Onderstaande documenten zijn opgesteld door Autoriteit Persoonsgegevens:

AVG | Vraag en antwoord

Hoe gaat Praktijksteun met de nieuwe wetgeving om?

Wij nemen de (nieuwe) privacywetgeving uiteraard serieus. Niet voor niets is ons privacy-projectgroep al voor een lange periode druk bezig met de doorvoering van deze wetgeving, om straks volledig aan alle nieuw gestelde eisen te voldoen. Je kunt hierbij denken aan een AVG Compliance Check maar ook aan maatregelen om op korte termijn NEN 7510 gecertificeerd te zijn. Op deze manier staan wij ervoor garant dat we alle persoonsgegevens, nu en in de toekomst, veilig kunnen borgen.

Welke maatregelen neemt Praktijksteun omtrent de AVG?

Naar aanleiding van de nieuwe privacywetgeving nemen wij, vanuit Praktijksteun, onder meer onderstaande maatregelen:

  • We verwerken niet meer persoonsgegevens dan noodzakelijk is voor het doel van verwerking.
  • De toegang van medewerkers tot persoonsgegevens was, is en blijft zo beperkt als mogelijk.
  • Persoonsgegevens worden niet langer bewaard dan nodig.
  • We gaan de richtlijnen van de NEN 7510 volgen. De NEN 7510 is een belangrijke norm voor informatiebeveiliging in de zorg.
  • We zijn bezig met het opstellen van een informatiebeveiligingsbeleid. Hierin staat onder andere opgenomen tot welke programma’s en systemen medewerkers toegang hebben en vooral ook hoe zij hier toegang tot hebben.
  • Er wordt een Data protection impact assesment (DPIA) uitgevoerd. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
  • Er is een functionaris voor de gegevensbescherming (FG) aangesteld. Dit is iemand die binnen Praktijksteun toezicht houdt op de toepassing en naleving van de AVG.
  • Er wordt een register van verwerkingsactiviteiten bijgehouden. Dit register bevat informatie over de persoonsgegevens die door ons worden verwerkt.
  • Er wordt een privacy- en cookiebeleid opgesteld. Deze worden op korte termijn op onze website geplaatst.
  • Voor de huisartsen met wie wij samenwerken wordt een verwerkersovereenkomst opgesteld (zie “Stelt Praktijksteun een verwerkersovereenkomst op?”)
Welke maatregelen dienen huisartsenpraktijken te ondernemen om patiëntgegevens te beveiligen?

De LHV heeft een overzichtelijk dossier opgesteld waarin staat wat een huisartsenpraktijk moet doen om aan de AVG te voldoen.

Stelt Praktijksteun een verwerkersovereenkomst op?

De huisartsenpraktijk is verantwoordelijk voor de data in het HIS-systeem en de verlening van toegang tot deze data aan POH-GGZ van Praktijksteun. In lijn van de AVG, houdt dit in dat iedere praktijk een verwerkersovereenkomst dient op te stellen tussen de praktijk en Praktijksteun. Zoals je van ons gewend bent, zorgt Praktijksteun ook nu voor het zoveel als mogelijk wegnemen van de administratieve lasten voor de huisartsenpraktijk. Dit houdt in dat wij een verwerkersovereenkomst aanbieden aan alle praktijken en deze hebben opgesteld met betrekking tot de samenwerking tussen Praktijksteun, de POH-GGZ en de huisarts. Hierin staat onder andere opgenomen welke gegevens op welke plek worden verwerkt. Hierin wordt ook ingegaan op zowel onze verantwoordelijkheden als de verantwoordelijkheden van de huisartsenpraktijk.

Op korte termijn wordt de verwerkersovereenkomst toegestuurd naar alle huisartsen met wie wij samenwerken.

AVG | Voor POH-GGZ

Welke privacy-eisen gelden voor jou als POH-GGZ?

De AVG zorgt, zoals je wellicht al gehoord hebt, voor meer en nieuwe regels rondom verwerking, bescherming en uitwisseling van persoonsgegevens. Voor ons, en dus voor jou als POH-GGZ, is het van belang om je aan de volgende ‘privacy-eisen’ te houden:

  1. Verwerk niet meer persoonsgegevens dan noodzakelijk is voor het doel van de verwerking.
  2. Persoonsgegevens mogen niet langer dan nodig bewaard worden.
  3. Je moet (net als voorheen) patiënten informeren over de persoonsgegevens die je verwerkt. Patiënten hebben het recht om persoonsgegevens in te zien, deze te laten aanvullen, corrigeren, verwijderen of af te schermen. Verder hebben patiënten het recht om bezwaar te maken tegen de verwerking van bepaalde gegevens.
  4. Patiëntgegevens mogen alleen worden gedeeld met toestemming van de patiënt. Met de komst van AVG is het belangrijk dat je ook kunt aantonen dat je de toestemming daadwerkelijk hebt gekregen. Twee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. Om geldige toestemming aan te tonen moet je dan ook kunnen laten zien op basis van welke informatie de betrokken personen toestemming hebben gegeven. Het is dus niet voldoende om alleen de toestemming zelf vast te leggen.
  5. Merk je een inbreuk op in de beveiliging van persoonsgegevens (datalekken)? Deze dienen z.s.m. gemeld te worden bij, in eerste instantie, de praktijk en Praktijksteun.
  6. Er moet een getekende verwerkersoveenkomst zijn tussen de huisartsenpraktijk en Praktijksteun. Praktijksteun ondersteunt de huisartsenpraktijk hierin door proactief een sjabloon voor de verwerkersovereenkomst aan te bieden. Indien hier vragen over zijn vanuit de praktijk zijn wij te bereiken via of 088-2013820.
  7. Iedere huisartsenpraktijk dient een register bij te houden van de verwerking van persoonsgegevens van zowel patiënten als medewerkers. In dit register moet worden geregistreerd welke persoonsgegevens worden verwerkt, met welk doel dit gedaan wordt, hoe de praktijk aan deze gegevens komt en met wie de gegevens worden gedeeld. De Autoriteit Persoonsgegevens kan dit register bij de praktijk opvragen. Voor POH-GGZ volstaat de verwerkersovereenkomst. In de bijlage van deze overeenkomst staan de onderstaande punten benoemd:
  • Praktijksteun (verwerker) assisteert de huisartsenpraktijk (verantwoordelijke) bij het verlenen van zorg aan patiënten met psychische klachten en stoornissen. Werknemers van Praktijksteun voeren deze werkzaamheden uit in de rol van POH-GGZ, zoals gedefinieerd door de Landelijke Huisartsen Vereniging et.al.
  • Praktijksteun verwerkt als onderdeel van deze zorgverlening alle persoonsgegevens met betrekking tot de te behandelen patiënten van de huisartsenpraktijk.
  • POH-GGZ van Praktijksteun die de huisartsenpraktijk ondersteunen bij het verlenen van zorg hebben toegang tot de persoonsgegevens van de te behandelen patiënten.
Wat is als POH-GGZ van Praktijksteun goed om te weten omtrent de AVG?
  • Patiënten hebben recht op (een) kopie(ën) van hun medische gegevens. Hiervoor mag een praktijk onder de AVG geen kosten (meer) in rekening brengen. Onder de huidige Wbp mocht dit wel. Als een patiënt verzoekt om meer dan één kopie van alle gegevens, dan mag de praktijk hiervoor wel een redelijke vergoeding vragen.
  • Er is/wordt een verwerkersovereenkomst afgesloten tussen Praktijksteun en de huisartsenpraktijk met wie wij samenwerken.
  • Voor Praktijksteun is er een Functionaris Gegevensbescherming (FG) aangesteld. Deze persoon controleert of wij ons aan de privacywetgeving houden. Hiernaast geeft hij ons advies en maakt inventarisaties van de gegevensverwerkingen. De FG brengt met regelmaat verslag uit aan de directie van Praktijksteun en houdt contact met de Autoriteit Persoonsgegevens.
  • Er is een Data Protection Impact Assessment (DPIA) uitgevoerd. Met een DPIA worden vooraf de privacyrisico’s van gegevensverwerking in kaart gebracht, bijvoorbeeld het opnemen van medische dossiers in een informatiesysteem. Om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
  • Er wordt een privacy- en cookiebeleid opgesteld. Deze worden op korte termijn op www.praktijksteun.nl geplaatst.
Directe en indirecte persoonsgegevens: Wat houdt dat in en hoe ga ik er mee om?

Zowel huisartsen als een POH-GGZ, zijn in een huisartsenpraktijk veel bezig met de verwerking van persoonsgegevens. Uiteraard kunnen gegevens zoals een naam, geboortedatum of een burgerservicenummer direct herleiden naar een persoon. Deze gegevens hebben direct betrekking op de betreffende persoon.

Een misverstand is dat indirecte gegevens zoals een IP-adres of telefoonnummer dit niet kunnen. Het is minder duidelijk, maar ze zeggen weldegelijk iets over de persoon achter de informatie. Indirect of via een koppeling met een ander bestand, kunnen deze gegevens daarnaast alsnog verwijzen naar een persoon. Wanneer je als POH-GGZ de naam van een patiënt verandert in een patiëntennummer, kan er dus nog steeds worden nagegaan wat de identiteit van deze persoon is. Hou er daarom altijd rekening mee dat de wet- en regelgeving omtrent verwerking van persoonsgegevens op zowel directe als indirecte persoonsgegevens van toepassing is.

Dient er toch overleg plaats te vinden met collega’s, waarbij het bespreken van persoonsgegevens onontkomelijk is. Bespreek dit dan via een persoonlijk gesprek of telefonisch en niet via de mail. Op deze manier voorkom je dat dat er een foute verzending met persoonsgegevens kan plaatsvinden

Welke gegevens mag ik wel en niet delen met de helpdesk?

Wanneer er vragen zijn over e-health of een POH-GGZ een technisch probleem ervaart met het klaarzetten van een module voor een cliënt, kan er altijd contact worden opgenomen met onze helpdesk. Uiteraard ondersteunen wij in dergelijke vragen of worden technische problemen opgelost.

Voor het oplossen van een vraag of een (technisch) probleem is er informatie nodig. Persoonsgegevens van een cliënt, waar deze vraag of (technisch) probleem op van toepassing is, zijn hierbij in geen enkel geval nodig. Onterecht wordt er gedacht dat de helpdesk dossiers kan inkijken en wijzigen van cliënten, maar dit is niet het geval. Cliëntgegevens mogen nooit worden verspreid met derden, al helemaal niet via de mail.

Wanneer je via de mail een vraag hebt gekregen van een cliënt die je niet zelf kan oplossen, kun je deze vraag uiteraard ook voorleggen aan de helpdesk. Stuur echter nooit een mail van een cliënt direct door naar de helpdesk. In de e-mailwisseling kan privacygevoelige informatie staan, waarbij er bedoeld of onbedoeld ook persoonsgegevens worden verstuurd. Bekijk daarom altijd goed wat je doorstuurt en welke informatie noodzakelijk is om vragen te beantwoorden of problemen op te lossen. Bij problemen met bijvoorbeeld het klaarzetten van een module voor een cliënt, kun je het cliënt ID doorsturen. Deze is te vinden op het online profiel van de cliënt.