Informatie van uw huisartsenkring Aan- en afmelden  -  Bekijk online
LHV
AVG special
 
12 april 2018
Algemene Verordening Gegevensbescherming (AVG): wat moet u weten?

Per 25 mei moet u voldoen aan de eisen van de AVG. De oude ‘Wet bescherming persoonsgegevens’ (Wbp) vervalt dan. Dat zit zo. Iedere lidstaat in de EU heeft nu nog zijn eigen privacywetgeving, gebaseerd op de privacyrichtlijn uit 1995. Internet stond toen echter nog in de kinderschoenen. De richtlijn is daarom de afgelopen jaren herzien en de wet die daar nu bij hoort, geldt binnen de gehele EU. De nieuwe wet is op 24 mei 2016 van kracht geworden, met een overgangstermijn van twee jaar. Per 25 mei 2018 moet u zich dus houden aan deze wet.

Waaraan moet u precies voldoen?

De eerste drie bepalingen hieronder moet u direct regelen, voor de laatste twee ligt dat anders.
Na de bepalingen geven we u een aantal tips voor scholing rond dit thema.

1. Het publiceren van een privacyverklaring
Onder de AVG heeft u een informatieplicht. Dat betekent dat u verplicht bent om nieuwe en bestaande klanten duidelijk te informeren over wat u met hun persoonsgegevens doet. In de praktijk is een online privacyverklaring de meest handige manier om hieraan te voldoen.
Patiënten hebben onder meer het recht hun persoonsgegevens in te zien, deze te laten aanvullen, corrigeren, verwijderen of af te schermen. Op de LHV-website leest u
hoe u dit het beste vorm en inhoud kunt geven. Daar staat ook een voorbeeld dat u kunt gebruiken voor uw eigen situatie.
Patiënten kunnen vragen hun gegevens te verwijderen, maar daar hoeft u niet zonder meer aan te voldoen. Op de website van de Autoriteit Persoonsgegevens vindt u de
regeling voor verwijdering van gegevens uit medische dossiers.

2. Het bijhouden van een verwerkingsregister
Het verwerken van persoonsgegevens mag niet zomaar gebeuren. Daar moet een gegronde reden voor zijn. U dient daarom een verwerkingsregister bij te houden waarin de gegevenscategorieën staan die u vastlegt, met de grondslag daarvoor. Bijvoorbeeld omdat u wettelijk verplicht bent de gegevens te verwerken of de verwerking noodzakelijk is met het oog op de behandeling van de patiënt. Patiënten krijgen het recht op beperkt gebruik van deze gegevens. Op de LHV-website vindt u een voorbeeld van een verwerkingsregister.

3. Het afsluiten van verwerkersovereenkomsten
Wanneer u persoonsgegevens laat verwerken door andere verwerkers, moet u hierover afspraken vastleggen. Denk bijvoorbeeld aan uw HIS-leverancier, IT-leverancier of salarisadministratie (als die is uitbesteed aan derden). Het vastleggen van afspraken moet dus met iedereen die geen medewerker of ingehuurd personeel is en die toegang heeft tot de persoonsgegevens. Deze specifieke afspraken kunnen in een aparte overeenkomst, een zogenoemde verwerkersovereenkomst, of in een bestaande overeenkomst worden opgenomen.
In de praktijk zult u deze verwerkersovereenkomsten waarschijnlijk van uw leveranciers krijgen. Zorgdomein heeft er al een verspreid. Mogelijk heeft uw HIS-leverancier dat ook al gedaan. U kunt de LHV website raadplegen of een aan u voorgelegde overeenkomst laten toetsen door de LHV. 

4. Het – indien nodig – uitvoeren van een Data protection impact assessment (DPIA)
Een DPIA – gegevensbeschermingseffectbeoordeling – is alleen verplicht als een gegevensverwerking voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt) waarschijnlijk een hoog privacyrisico oplevert. Dit kan bijvoorbeeld het geval zijn als u met een nieuw HIS gaat werken. Ook voor bestaande gegevensverwerking raadt de Autoriteit Persoonsgegevens aan om periodiek (bijvoorbeeld eens per drie jaar) een DPIA uit te voeren c.q. te laten uitvoeren.
Meer hierover vindt u op de website van de Autoriteit Persoonsgegevens. Er is geen format voor een DPIA.

5. Het – indien nodig – aanstellen van een functionaris Gegevensbescherming
Bij grootschalige gegevensverwerking of bij aansluiting op een elektronisch netwerk waarbij persoonsgegevens uitgewisseld kunnen worden met een andere zorgaanbieder (bijvoorbeeld LSP of DRS), moet de zorgaanbieder ook een functionaris voor gegevensbescherming (FG) aanstellen. Over de vraag wat grootschalige verwerking is, bestaat nog veel onduidelijkheid. Het hangt af van de omvang van de organisatie. De LHV is al enige tijd in overleg met de Autoriteit Persoonsgegevens of dit voor huisartsen nodig is of niet. Er is op het moment van deze nieuwsbrief nog steeds geen helderheid. De LHV zet in op de gedachte dat een FG niet noodzakelijk is. Wij adviseren de huisartsen terughoudend te zijn bij het aanstellen van zo’n functionaris.

Scholing
Meer weten over dit onderwerp? We wijzen u graag op het (geaccrediteerde)
webinar van de LHV op dinsdag 8 mei van 19.30 tot 20.30 uur.

Scholing in de regio: Medrie heeft op dit moment nog
plaatsingsmogelijkheden op 19 en 25 april. LET OP: op 19 april is ook de ALV van de kring!

LHV-Huisartsenkring Zwolle/Flevo/Vechtdal
038 - 46 01 251  |  huisartsenkringzfv@lhv.nl  |  zfv.lhv.nl
Twitter Youtube
Lidnummer: 0046, u ontvangt deze email op h.vd.ploeg@lhv.nl