Na 10 vragen weet je of je klaar bent voor de nieuwe privacywetgeving

Met de privacywetgeving die sinds 1 januari 2016 geldt, zijn organisaties in de zorg verplicht zorgvuldig om te gaan met de privacy van cliënten, en moeten zij het risico op datalekken beperken. Daarnaast is er een meldplicht voor datalekken. Vanaf 25 mei 2018 wordt de Europese privacywetgeving van kracht (de AVG ofwel GDPR), waarmee de eisen nog verder worden aangescherpt!

Niet voldoen aan de wettelijke eisen kan leiden tot forse boetes (zie Autoriteit Persoonsgegevens). Maar misschien kost de mogelijke reputatieschade nog veel meer dan een boete. Er zijn in de pers in de laatste jaren al veel voorbeelden breed uitgemeten.

Voor 25 mei moet je een aantal zaken geregeld hebben.
Weet je bijvoorbeeld dat je een verwerkersovereenkomst moet opstellen met organisaties die je gegevens (van cliënten, maar ook van personeel) opslaan?
je moet een verwerkersovereenkomst afsluiten met je software-leverancier, het bedrijf dat je salarisadministratie verzorgt, het bedrijf dat je gegevens in de Cloud opslaat, enzovoorts. Is er een verwerkersovereenkomst nodig, dan moet je zorgen dat er een komt, die aan bepaalde eisen voldoet, en dat náást de gebruikelijke overeenkomst.

Checklist

Het is lastige materie, daarom hier een handige checklist, waarmee je in tien vragen helder heeft of je zorgorganisatie klaar is voor de AVG.

Vraag 1: is iedereen op de hoogte van de (nieuwe) privacywet?

U dient op de hoogte zijn van de nieuwe privacyregels. Maar ook uw medewerkers moeten de betekenis van de regels kennen en weten hoe ze zich dienen te gedragen als gevolg van de AVG. Er staan namelijk hoge boetes op overtredingen.

Vraag 2: heb je een privacyverklaring gepubliceerd (op de website)?

Je bent verplicht de cliënt te informeren hoe je omgaat met zijn gegevens. je kunt daarvoor een samenvatting van het verwerkingenregister (zie vraag 5) gebruiken. Uitleg vind je hier op de website van de Autoriteit Persoonsgegevens.

Vraag 3: kunnen de verbeterde privacyrechten goed worden uitgevoerd?

Cliënten hebben het recht hun persoonsgegevens in te zien, deze te laten aanvullen, corrigeren, verwijderen of af te schermen. Daarnaast hebben cliënten het recht bezwaar te maken tegen de verwerking van bepaalde gegevens. Ook nu geldt al dat je op verzoek van de cliënt het dossier overdraagt aan een andere zorgaanbieder. Dit geldt ook onder de WGBO. Maar onder de AVG ben je óók verplicht om het dossier volledig over te dragen aan de cliënt.

Vraag 4: heb je verwerkersovereenkomsten opgesteld?

Uitbesteden brengt ook verplichtingen met zich mee. Je bent namelijk ‘Verantwoordelijke’ als je jouw gegevensverwerking uitbesteed aan een andere partij -in de AVG benoemd als ‘verwerker’, denk bijvoorbeeld aan je software-leverancier, IT-leverancier of salarisadministratie als deze is uitbesteed aan derden. Je moet beoordelen of de overeengekomen maatregelen in bestaande contracten met deze partij voldoen aan de vereisten in de AVG. Je neemt ze natuurlijk ook op in nieuwe contracten. De afspraken leg je vast in een verwerkersovereenkomst, of in een reeds bestaande overeenkomst.

Vraag 5: houd je een verwerkingsregister bij?

Als zorgorganisatie moet je ervoor zorgen dat alle gegevensverwerkingen in kaart worden gebracht. Welke persoonsgegevens verwerk je? Met welk doel? Waar komen de gegevens vandaan? Met wie deel je deze gegevens? Met jouw verwerkingsregister geef je aan dat jouw organisatie in overeenstemming is met de AVG.

Vraag 6: heb je een Data Privacy Impact Assessment (DPIA) uitgevoerd?

Je moet een DPIA laten uitvoeren als jouw gegevensverwerking een hoog privacy-risico met zich meebrengt. Met een DPIA breng je de privacy-risico’s van een gegevensverweking in kaart. En natuurlijk neem je vervolgens de nodige maatregelen om de risico’s te verkleinen. Bij wijzigingen in de gegevensbewerking moet je de DPIA nogmaals uitvoeren.

Meer informatie op de website van de Autoriteit Persoonsgegevens.

Vraag 7: heb je privacy by design/default geïmplementeerd?

Let erop dat de verplichte uitgangspunten van privacy by design en privacy by default worden geïmplementeerd.

• Privacy by design: bij nieuwe opdrachten en diensten zorg je voor een goede bescherming van de persoonsgegevens.
• Privacy by default: neem maatregelen zodat je alleen de persoonsgegevens verwerkt die noodzakelijk zijn.

Vraag 8: moet je een functionaris voor de gegevensbescherming (FG) aanstellen?

Onder de AVG moeten alle organisaties die structureel bijzondere persoonsgegevens verwerken, een functionaris gegevensbescherming (FG) aanstellen. Dat is een interne onafhankelijke adviseur en toezichthouder die betrokken moet worden bij alle beleidsvraagstukken.

Opmerking: De Autoriteit Persoonsgegevens heeft per 1 juni 2018 het begrip grootschaligheid geconcretiseerd: een FG is nodig vanaf 10.000 patiënten. Voorwaarde is wel dat er slechts één informatiesysteem wordt gebruikt.

Vraag 9: heb je een procedure melden datalekken?

De meldplicht datalekken verplicht je datalekken te melden bij de AP. Je moet alle datalekken documenteren. Die meldplicht gaat verder dan de eerdere protocolplicht van de Wet Bescherming Persoonsgegevens (Wbp). Jouw organisatie moet ook kunnen aantonen dat er voldoende passende beveiligingsmaatregelen genomen zijn.

Vraag 10: heb je geldige toestemming voor het verwerken van persoonsgegevens?

Je moet kunnen aantonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. Daarnaast moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.