De AVG: wat verandert er voor u als zorgaanbieder?

Goede kwaliteit van zorg is zorg die aansluit bij de zorgbehoeften van patiënten. Om uw patiënten te leren kennen, dient u toegang tot privacygevoelige informatie van uw patiënten te hebben. Het is goed voor te stellen dat uw patiënten alleen bereid zullen zijn hun gegevens aan u te verstrekken indien zij weten dat hun privacyrechten zullen worden gewaarborgd. Het zichtbaar naleven van de privacyrechten van patiënten bevordert de vertrouwensrelatie met uw patiënten en daarmee de kwaliteit en toegankelijkheid van de zorg die u kunt verlenen. De komst van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 maakt het voor u nog belangrijker om zorgvuldig om te gaan met de privacygevoelige informatie van uw patiënten.

Nieuwe verplichtingen onder de AVG

De gegevens die in de zorg worden gebruikt, zien toe op de gezondheid van patiënten en zijn daarmee van gevoelige aard. Voor de verwerking van gevoelige persoonsgegevens gelden extra strenge eisen. De bestaande privacy-eisen waar zorgaanbieders aan moeten voldoen, zijn vastgelegd in diverse wetten zoals de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Deze bestaande regels worden door de AVG bevestigd en op onderdelen versterkt. Zo gelden onder de AVG nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt. In veel gevallen zult u ook verplicht zijn om een register van verwerkingsactiviteiten bij te houden, een data protection impact assessment (DPIA) uit te voeren en een functionaris voor de gegevensbescherming (FG) aan te stellen.

Daarnaast legt de AVG meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u verwerkingen aan de regels van de AVG voldoen (de verantwoordingsplicht). Indien de AP daarom vraagt, moet u bijvoorbeeld kunnen aantonen dat u verwerkingen aan de belangrijkste beginselen van verwerkingen voldoen: rechtmatigheid, juistheid, transparantie en doelbinding. Ook moet u kunnen laten zien dat u voldoende technische en organisatorische maatregelen hebt getroffen om de persoonsgegevens van uw patiënten te beveiligen.

De verantwoordingsplicht betekent onder meer dat uw organisatie:

  • Persoonsgegevens alleen mag verwerken indien daar een wettelijke grondslag voor is;
  • Persoonsgegevens alleen mag verwerken indien de betrokkene op de hoogte is van de verwerking en hoe dit gebeurt;
  • Niet meer persoonsgegevens mag verwerken dan strikt noodzakelijk is voor het doel van de verwerking;
  • Persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel van de verwerking;
  • Ervoor moet zorgen dat persoonsgegevens juist zijn en maatregelen moet nemen om onjuiste persoonsgegevens te wissen of te rectificeren;
  • De toegang van medewerkers tot persoonsgegevens moet beperken.

Vanaf 25 mei 2018 zal de Autoriteit Persoonsgegevens (AP) actief toezien op de naleving van deze regels uit de AVG en loopt u het risico op forse boetes (tot 20 miljoen euro), reputatieschade en claims van patiënten. Om deze risico’s te minimaliseren, dient u al vóór 25 mei 2018 in beweging te komen en actief bezig te zijn met de implementatie van de AVG in uw organisatie.

Privacy proof

De AVG-implementatie is een kostbaar en tijdrovend proces. Met name voor bedrijven uit het MKB die weinig personeel hebben.

The Legal Privacy Company helpt u om tijdig passende maatregelen te treffen om aan de AVG te voldoen. Dat doen we o.a. door een privacy nulmeting binnen uw organisatie uit te voeren. Van deze nulmeting maken wij een rapportage waarin we benoemen welke onderdelen binnen uw organisatie nog niet privacy proof zijn en u concrete verbeteradviezen geven.

Daarnaast bieden wij u een online portaal aan waarmee u op elk gewenst moment toegang tot alle benodigde informatie omtrent de (nieuwe) privacywetgeving heeft. Zo wordt en blijft u privacy proof richting uw patiënten.

Ook kunnen de juristen van The Legal Privacy Company u helpen indien u specifieke vragen over de implementatie van de AVG binnen uw organisatie heeft.

Wilt u meer weten over The Legal Privacy Company of een offerte voor een nulmeting aanvragen? Bel dan naar 020-3450152 of mail naar info@thelegalprivacycompany.com

 

 

AVG to do list ná de nulmeting: Sluit de juiste verwerkersovereenkomsten

Gemakshalve ga ik ervan uit dat u mijn vorige privacy #1 blog heeft gelezen. U weet dus dat de start van iedere MKB onderneming om AVG privacy proof te worden voor 25 mei 2018 altijd start met een AVG privacy nulmeting. U weet ook wat de AVG inhoudt en waarom het belangrijk is om conform deze Europese privacywet privacy verantwoord te ondernemen. 

Stap 1 in de nulmeting: Wat is onze juridische positie binnen de AVG?

In de nulmeting eindrapportage wordt ten eerste vastgelegd welke juridische rol uw bedrijf inneemt binnen de kaders van de AVG wetgeving om de persoonsgegevens te beschermen. Zodoende kunnen ook de specifieke plichten die bij die rol horen, worden gecheckt en afgevinkt. Is uw bedrijf verantwoordelijke (controller in het Engels) voor de verwerking van de persoonsgegevens of is uw bedrijf slechts de verwerker (processor in het Engels), of is uw bedrijf beiden? Of is uw bedrijfs zelfs de subverwerker (sub processor)?

Voorbeeld #1: Uw organisatie is een cateringbedrijf en u legt de persoonsgegevens van al uw personeel vast in een arbeidsovereenkomst, in het personeelsdossier en in de loonadministratie. Dan bent u de verantwoordelijke. Als u deze persoonsgegevens vervolgens doorgeeft aan een externe salarisadministrateur, dan is dit kantoor “de verwerker.” Stel dit kantoor voert weer die salarisadministratie uit met behulp van een extern gehost (Saas) HRM softwarepakket, dan is die softwareleverancier weer een “subverwerker”.

Het basisprincipe van de verantwoordelijke is: U bent verantwoordelijk voor persoonsgegevens dus zult u zicht moeten hebben op wat er gebeurt met die gegevens.

Ook wanneer die gegevens doorgespeeld worden aan een derde om deze slechts te verwerken. Je hebt als verantwoordelijke zwaardere plichten dan als verwerker. Dat is een reden waarom de AVG de verwerkersovereenkomst verplicht heeft gesteld. Daarin wordt de verdeling van verantwoordelijkheden tussen verantwoordelijke en verwerker verder contractueel uitgewerkt.

Een van de verbetertaken uit de nulmeting: sluit verwerkersovereenkomsten.

Een hele belangrijke verbetertaak die meestal uit de nulmetingen rolt is het sluiten van verwerkersovereenkomsten met partijen waar dat nog niet mee is gedaan. Ook kan het screenen van reeds enige tijd afgesloten verwerkersovereenkomsten een verbetertaak zijn, om te toetsen of deze wel voldoen aan de minimale nieuwe eisen die de AVG eraan stelt. Zowel de (verwerkings)verantwoordelijke als de verwerker hebben de plicht om een verwerkersovereenkomst af te sluiten.

Is er altijd een verwerkersovereenkomst nodig?

Nee niet altijd:

Voorbeeld #2: U bent consultant, adviseur of bijv. een advocaat en u stuurt ten behoeve van een werkgever (uw opdrachtgever, cliënt), een e-mail aan de wederpartij met uw standpunt in een bepaalde arbeidszaak. Bijvoorbeeld omtrent een bepaalde werknemer die u noemt met naam en toenaam. Dat is geen simpele verwerking van persoonsgegevens. Immers de opdracht van uw opdrachtgever is niet gericht op verwerken van persoonsgegevens maar gericht op het afnemen van (juridisch) advies, ten behoeve van het oplossen van een (juridisch) probleem. U als adviseur, advocaat verwerkt die gegevens geheel op eigen verantwoordelijkheid op een manier dat u zelf bepaalt. Daarom bent u verantwoordelijke. Dan is er ook geen verwerkersovereenkomst nodig aangezien uw opdrachtgever ook een verantwoordelijke is.

Voorbeeld #3. Hoe zit het met hoofdaannemer die gegevens opvraagt van personeel in dienst bij onderaannemer om te voldoen aan de WAV, WKA etc. De onderaannemer vergaart die gegevens niet alleen voor de hoofdaannemer maar ook voor zichzelf. Maak daar goede afspraken zodra de gegevens worden doorgestuurd. Hier is dus wederom geen verwerkersovereenkomst nodig tussen hoofdaannemer en onderaannemers omdat zij ieder hun eigen verantwoordelijkheid hebben en dus beiden verantwoordelijke zijn. Doorgeven van gegevens is niet in het kader van gegevensverwerking maar in het kader van de onderaanneming. Denk er trouwens wel aan om in de aannemingsvoorwaarden een meldingsplicht op te leggen aan onderaannemer als er data lekken voorkomen bij hen en vice versa. Dit kan vastgelegd worden in een data-uitwisselingsovereenkomst.

Wat legt u vast in een verwerkersovereenkomst?

In de verwerkersovereenkomst legt u bijvoorbeeld vast waar de persoonsgegevens voor mogen worden verwerkt, met wel doel, welke veiligheidsmaatregelen getroffen moeten worden en waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een privacy proof audit uit te voeren bij de verwerker en of de verwerker subverwerkers mag inschakelen voor de verwerking. In principe mag u deze overeenkomst niet in de algemene voorwaarden verstoppen maar in een afzonderlijk document. Echter dat is niet dwingend opgelegd. Er gaan kritisch geluiden van experts dat het gewoon verwerkt moet kunnen worden in bestaande documenten dus ook in de algemene voorwaarden. Verstandig om daar kritisch naar te kijken per type relatie en de gegeven omstandigheden van het geval.

Onderhandelen over een verwerkersovereenkomst.

Degene die het eerste met een eigen versie komt, heeft meestal het onderhandelingsvoordeel. U bent dan penvoerder en aanpassingen gedaan krijgen in het document van een ander is altijd lastiger. In onze MKB privacy Portal kunt u op maat zulke verwerkersovereenkomst in een handomdraai maken. Uiteraard kan het zijn dat grote partijen, corporates alsnog met hun eigen versie komen en u niet in de onderhandelingspositie bent om met uw eigen versie te komen. Alsnog is het dan raadzaam om die kritisch te screenen en niet zomaar alles te accepteren wat daar in staat. Dat kan enorme consequenties hebben. Juist als het om grote wederpartijen gaat die diepe zakken hebben om te procederen. Bij een datalek zullen deze genoeg geld en tijd hebben om via de rechter een schadeclaim neer te leggen bij uw organisatie op grond van de verwerkersovereenkomst. U staat dan 2-0 achter als u niet uw aansprakelijkheid heeft beperkt in de verwerkersovereenkomst.

Cyberrisk verzekering.

Een cyberrisk verzekering kan dan trouwens wel nog een vangnet vormen als u die beperking van aansprakelijkheid niet gedaan krijgt. Ook dekt het de kosten van uw rechtsbijstand. Laat u daar goed over adviseren.

Heeft u vragen over dit onderwerp, of interesse in de diensten van TLPC, zoals de AVG nulmeting, de MKB privacy portal of andere privacy consultancy diensten, bel of mail ons dan op 020-3450152 of info@thelegalprivacycompany.com Surf vooral ook naar www.thelegalprivacycompany.com

Rechten van betrokkene onder de AVG

De AVG kent verschillende rechten toe aan personen van wie persoonsgegevens worden verwerkt (betrokkenen) en biedt ze meer middelen om de verwerking van hun persoonsgegevens te controleren en te beïnvloeden. Welke rechten heeft de betrokkene onder de AVG?

Recht op informatie (artikel 13 en 14 AVG)

Het moet voor de betrokkene duidelijk zijn dat zijn of haar persoonsgegevens worden verwerkt en dat dit op een behoorlijke en transparante manier plaatst vindt. Er bestaat een actieve informatieplicht naar de betrokkene. De AVG verplicht je daarbij o.a. de doelen, ontvangers en de periode te vermelden. Dit kan je bijv. realiseren door een privacy statement op je website te plaatsen. Let op: Verandert er iets aan de verwerking, dan moet ook daarover heldere informatie worden verstrekt.

 Recht van inzage (artikel 15 AVG )

Betrokkenen hebben het recht om te informeren of zijn of haar persoonsgegevens worden verwerkt. Vraagt iemand om inzage, dan moet je dit op een duidelijke en begrijpelijke manier laten zien. De AVG bevat een opsomming van de informatie waarvoor het recht van inzage geldt. Zoals; om welke gegevens het gaat, wat het doel is van gebruik en de herkomst van de gegevens (indien bekend).

Recht op rectificatie (artikel 16 & 19 AVG)

Betrokkene heeft recht op rectificatie van hem betreffende onjuiste persoonsgegevens dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens. De verwerkingsverantwoordelijke is verplicht iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis te stellen van elke rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.

Recht op gegevenswissing / vergetelheid (artikel 17 & 19 AVG)

De verwerkingsverantwoordelijke is verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen op verzoek van de betrokkene, onder andere indien:

  • persoonsgegevens niet langer nodig zijn voor de doeleinden van de gegevensverwerking;
  • de betrokkene zijn of haar toestemming intrekt en er geen andere rechtsgrond voor verwerking is;
  • betrokkene bezwaar maakt tegen de verwerking;
  • de persoonsgegevens onrechtmatig verwerkt zijn.

 Recht op beperking van de verwerking (artikel 18 & 19 AVG)

Het recht op beperking houdt in dat de persoonsgegevens – tijdelijk- niet verwerkt mogen worden. Dit recht kan worden uitgeoefend in het geval er een bezwaar is. Het feit dat de verwerking van de persoonsgegevens beperkt is, moet door de verwerkingsverantwoordelijke duidelijk in het bestand zijn aangegeven zodat dit ook duidelijk is voor ontvangers van de persoonsgegevens. Wanneer de beperking weer wordt opgeheven, moet de betrokkene hiervan op de hoogte worden gebracht.

Recht op overdraagbaarheid / dataportibiliteit (artikel 20 AVG)

Dit recht houdt in dat een betrokkene de gegevens van een verwerkingsverantwoordelijke moet kunnen verkrijgen in gestructureerde, gangbare en leesbare vorm en het recht heeft deze gegevens aan een andere verwerkingsverantwoordelijke over te dragen of rechtstreeks te laten overdragen, zonder daarbij te worden gehinderd tenzij dit afbreuk doet aan rechten en vrijheden van anderen. Een betrokkene heeft recht op overdraagbaarheid voor zover het gaat om door hem zelf verstrekte gegevens.

Recht van bezwaar (artikel 21 AVG)

Een betrokkene kan vanwege redenen die verband houden met zijn specifieke situatie gebruik maken van dit recht van bezwaar tegen de verwerking van hem betreffende persoonsgegevens, als voldaan aan de in de verordening genoemde eisen. Als de betrokkene bezwaar maakt staakt de verwerkingsverantwoordelijke de verwerking, tenzij dwingende gerechtvaardigde gronden anders bepalen.

Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profiling (artikel 22 AVG)

Bij dit recht kan bijvoorbeeld gedacht worden aan de automatische weigering van een online ingediende kredietaanvraag of aan de verwerking van sollicitaties via internet zonder menselijke tussenkomst. In drie gevallen is geautomatiseerde individuele besluitvorming wel mogelijk:

  1. het is noodzakelijk voor de totstandkoming of de uitvoering van een overeenkomst;
  2. het is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling;
  3. het berust op de uitdrukkelijke toestemming van de betrokkene.

Wilt u meer weten over de rechten van de betrokkene of andere aspecten van de AVG? Mail: info@thelegalcompany.nl

8 korte Q&A inzake de nieuwe privacy wetgeving

Q: De AVG, wat is dat?
A: De Algemene verordening gegevensbescherming (AVG) is de nieuwe Europese privacywetgeving waar elke organisatie die persoonsgegevens verwerkt aan moet voldoen. In het Engels kom je de benaming GDPR tegen.

Q: Wanneer is de AVG van toepassing?
A:
 Per 25 mei 2018 is de AVG van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Q: Wat is het gevolg?
A:
 Deze nieuwe wet brengt strengere regels rondom de privacy van persoonsgegevens met zich mee. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen en de betrokkene over wie de gegevens gaan krijgen meer rechten.

De nadruk hierbij ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden!

Q: Geldt dit ook voor mij?
A:
 Ja, hoogstwaarschijnlijk wel. Dit omdat het alleen al opslaan van NAW-gegevens van bijvoorbeeld het personeel of het email adres van een klant het verwerken van persoonsgegevens is.

Q: Moet iedere organisatie aan dezelfde vereisten voldoen?
A:
 In beginsel wel. Echter zijn sommige verplichtingen alleen van toepassing als je aan de kwalificaties voldoet. Verder moeten de beveiligingsmaatregelen passend zijn en is “passend” niet voor iedere organisatie hetzelfde.

Voorbeelden:
• Het verplicht moeten uitvoeren van een Data Protection Impact Assessment (DPIA). Dit ben je echter alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert.
• Je kan verplicht zijn een Functionaris Gegevens bescherming (FG) aan te stellen, maar dit geldt dus ook niet voor iedere organisatie!

Q: Wat zijn de sancties en gevolgen van het niet naleven van deze wetgeving?
A:
 Hoge boetes door de Autoriteit Persoonsgegevens, claims van betrokkenen, persoonlijke aansprakelijkheid als directeur/bestuurder en reputatie- en bedrijfsschade.

Q: Heb ik er verder nog belang bij om te voldoen aan deze wetgeving?
A:
 Privacy proof zijn is tegenwoordig een unique selling point (USP). Als je verzekert dat je privacy proof bent richting klanten en potentiële klanten, is dat een extra reden voor ze om hun diensten/producten bij jou af te nemen. Zie het daarom naast een wettelijke verplichting ook als een commerciële investering om klanten te behouden en aan te trekken.

Q: Wat moet ik nu doen ter voorbereiding?
A: 
De start is een nulmeting! Met een nulmeting wordt er gekeken naar de huidige stand van zaken rondom de privacy van persoonsgegevens en wordt er vastgesteld welke acties genomen moeten worden om 100% privacy AVG proof te zijn. De te nemen acties kunnen dan zelf of indien nodig in samenwerking met een expert worden uitgevoerd.

Offerte ontvangen voor een nulmeting?

Mail: info@thelegalprivacycompany.com of bel: 020-3450152

Hoe wordt het MKB privacy proof op 25-5-18?

Dat u, ook als MKB’er, vanaf 25 mei 2018 absolute veiligheid moet garanderen en aantonen ten aanzien van persoonsgegevens (op basis van nieuwe Europese privacywetgeving) is, als het goed is, geen nieuws meerHoe u als MKB’er daaraan moet voldoen, mag wel wat duidelijker worden. De meesten zien door de bomen het bos niet meer. Het is complexe regelgeving, maar u wilt gewoon een oplossing die bovendien betaalbaar is. Daarom ga ik u in mijn blog serie meenemen in de stappen die het MKB moet nemen om AVG proof te worden. Blijf me dus vooral volgen. In deze blog start ik met dat u moet beginnen met een privacy nulmeting. Waarom is deze stap zo belangrijk?

Nulmeting.

Om privacy proof te worden, is het (laten) uitvoeren van een nulmeting de eerste stap. Uit de nulmeting komt een rapportage o.a. met de punten die binnen uw organisatie nog niet privacy proof zijn. Er worden dan uiteraard ook concrete verbeteradviezen gegeven.

Om tot deze rapportage te komen wordt er tijdens de nulmeting een vragenlijst doorgelopen. De vragen gaan o.a. over:

  • Welke verwerkingen van persoonsgegevens vinden plaats en met welke soort persoonsgegevens;
  • Wat is het interne beleid rondom privacy en datalekken;
  • Zijn er Privacy statements e.d. en wat is de kwaliteit ervan;
  • Is de verplichte en noodzakelijke contractdocumentatie (zoals verwerkersovereenkomsten) aanwezig;
  • Heeft u een Cyber verzekering;
  • Wat is de stand van zake met de ICT technische beveiliging.

Zorg daarom dat u de informatie en huidige documentatie rondom bovenstaande punten verzameld heeft voordat de nulmeting plaatsvindt!

Afwegingen maken.

Tijdens een nulmeting voor het MKB moeten er afwegingen worden gemaakt. U moet natuurlijk voldoen aan de (nieuwe) privacywetgeving, maar daarbij gaat het ook om het nemen van “passende” (betaalbare) maatregelen. Wat passend en haalbaar is voor uw organisatie, zal uit de nulmeting naar voren komen. Er kan van een kleine MKB’er op dat vlak niet hetzelfde worden verwacht als van een groot bedrijf zoals KPN!

In onze nulmeting houden wij daarom altijd rekening met de grootte van de onderneming, het realistische budget en wat de autoriteiten daarop gelet redelijkerwijs van de organisatie mag verwachten.

Waarom een nulmeting?

De AVG verplicht organisaties om aantoonbaar in control te zijn. Met andere worden: “wees privacy proof en laat zien dat u er alles aan doet om dit te blijven”. Met de nulmeting legt u de basis om privacy proof te worden en kunt u bij datalekken altijd aantonen dat u er serieus mee bezig bent. Dit voorkomt boetes!

Privacy proof is een USP!!

Het uitvoeren van een nulmeting en uw organisatie privacy AVG proof maken, doet u niet om alleen aan de wet te voldoen. Als u tegenwoordig verzekert dat u privacy proof bent richting uw klanten, is dat een extra reden voor ze om hun diensten/producten bij u te blijven afnemen. Zie het daarom naast een wettelijke verplichting ook als een commerciële investering, een unique selling point (USP) van uw organisatie.

Offerte aanvragen voor een nulmeting? Bel 020-3450152 of mail naar hvercammen@thelegalprivacycompany.com of mijn collega tnoorlander@thelegalprivacycompany.com