De AVG: wat verandert er voor u als zorgaanbieder?

Goede kwaliteit van zorg is zorg die aansluit bij de zorgbehoeften van patiënten. Om uw patiënten te leren kennen, dient u toegang tot privacygevoelige informatie van uw patiënten te hebben. Het is goed voor te stellen dat uw patiënten alleen bereid zullen zijn hun gegevens aan u te verstrekken indien zij weten dat hun privacyrechten zullen worden gewaarborgd. Het zichtbaar naleven van de privacyrechten van patiënten bevordert de vertrouwensrelatie met uw patiënten en daarmee de kwaliteit en toegankelijkheid van de zorg die u kunt verlenen. De komst van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 maakt het voor u nog belangrijker om zorgvuldig om te gaan met de privacygevoelige informatie van uw patiënten.

Nieuwe verplichtingen onder de AVG

De gegevens die in de zorg worden gebruikt, zien toe op de gezondheid van patiënten en zijn daarmee van gevoelige aard. Voor de verwerking van gevoelige persoonsgegevens gelden extra strenge eisen. De bestaande privacy-eisen waar zorgaanbieders aan moeten voldoen, zijn vastgelegd in diverse wetten zoals de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Deze bestaande regels worden door de AVG bevestigd en op onderdelen versterkt. Zo gelden onder de AVG nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt. In veel gevallen zult u ook verplicht zijn om een register van verwerkingsactiviteiten bij te houden, een data protection impact assessment (DPIA) uit te voeren en een functionaris voor de gegevensbescherming (FG) aan te stellen.

Daarnaast legt de AVG meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u verwerkingen aan de regels van de AVG voldoen (de verantwoordingsplicht). Indien de AP daarom vraagt, moet u bijvoorbeeld kunnen aantonen dat u verwerkingen aan de belangrijkste beginselen van verwerkingen voldoen: rechtmatigheid, juistheid, transparantie en doelbinding. Ook moet u kunnen laten zien dat u voldoende technische en organisatorische maatregelen hebt getroffen om de persoonsgegevens van uw patiënten te beveiligen.

De verantwoordingsplicht betekent onder meer dat uw organisatie:

  • Persoonsgegevens alleen mag verwerken indien daar een wettelijke grondslag voor is;
  • Persoonsgegevens alleen mag verwerken indien de betrokkene op de hoogte is van de verwerking en hoe dit gebeurt;
  • Niet meer persoonsgegevens mag verwerken dan strikt noodzakelijk is voor het doel van de verwerking;
  • Persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel van de verwerking;
  • Ervoor moet zorgen dat persoonsgegevens juist zijn en maatregelen moet nemen om onjuiste persoonsgegevens te wissen of te rectificeren;
  • De toegang van medewerkers tot persoonsgegevens moet beperken.

Vanaf 25 mei 2018 zal de Autoriteit Persoonsgegevens (AP) actief toezien op de naleving van deze regels uit de AVG en loopt u het risico op forse boetes (tot 20 miljoen euro), reputatieschade en claims van patiënten. Om deze risico’s te minimaliseren, dient u al vóór 25 mei 2018 in beweging te komen en actief bezig te zijn met de implementatie van de AVG in uw organisatie.

Privacy proof

De AVG-implementatie is een kostbaar en tijdrovend proces. Met name voor bedrijven uit het MKB die weinig personeel hebben.

The Legal Privacy Company helpt u om tijdig passende maatregelen te treffen om aan de AVG te voldoen. Dat doen we o.a. door een privacy nulmeting binnen uw organisatie uit te voeren. Van deze nulmeting maken wij een rapportage waarin we benoemen welke onderdelen binnen uw organisatie nog niet privacy proof zijn en u concrete verbeteradviezen geven.

Daarnaast bieden wij u een online portaal aan waarmee u op elk gewenst moment toegang tot alle benodigde informatie omtrent de (nieuwe) privacywetgeving heeft. Zo wordt en blijft u privacy proof richting uw patiënten.

Ook kunnen de juristen van The Legal Privacy Company u helpen indien u specifieke vragen over de implementatie van de AVG binnen uw organisatie heeft.

Wilt u meer weten over The Legal Privacy Company of een offerte voor een nulmeting aanvragen? Bel dan naar 020-3450152 of mail naar info@thelegalprivacycompany.com

 

 

8 korte Q&A inzake de nieuwe privacy wetgeving

Q: De AVG, wat is dat?
A: De Algemene verordening gegevensbescherming (AVG) is de nieuwe Europese privacywetgeving waar elke organisatie die persoonsgegevens verwerkt aan moet voldoen. In het Engels kom je de benaming GDPR tegen.

Q: Wanneer is de AVG van toepassing?
A:
 Per 25 mei 2018 is de AVG van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Q: Wat is het gevolg?
A:
 Deze nieuwe wet brengt strengere regels rondom de privacy van persoonsgegevens met zich mee. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen en de betrokkene over wie de gegevens gaan krijgen meer rechten.

De nadruk hierbij ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden!

Q: Geldt dit ook voor mij?
A:
 Ja, hoogstwaarschijnlijk wel. Dit omdat het alleen al opslaan van NAW-gegevens van bijvoorbeeld het personeel of het email adres van een klant het verwerken van persoonsgegevens is.

Q: Moet iedere organisatie aan dezelfde vereisten voldoen?
A:
 In beginsel wel. Echter zijn sommige verplichtingen alleen van toepassing als je aan de kwalificaties voldoet. Verder moeten de beveiligingsmaatregelen passend zijn en is “passend” niet voor iedere organisatie hetzelfde.

Voorbeelden:
• Het verplicht moeten uitvoeren van een Data Protection Impact Assessment (DPIA). Dit ben je echter alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert.
• Je kan verplicht zijn een Functionaris Gegevens bescherming (FG) aan te stellen, maar dit geldt dus ook niet voor iedere organisatie!

Q: Wat zijn de sancties en gevolgen van het niet naleven van deze wetgeving?
A:
 Hoge boetes door de Autoriteit Persoonsgegevens, claims van betrokkenen, persoonlijke aansprakelijkheid als directeur/bestuurder en reputatie- en bedrijfsschade.

Q: Heb ik er verder nog belang bij om te voldoen aan deze wetgeving?
A:
 Privacy proof zijn is tegenwoordig een unique selling point (USP). Als je verzekert dat je privacy proof bent richting klanten en potentiële klanten, is dat een extra reden voor ze om hun diensten/producten bij jou af te nemen. Zie het daarom naast een wettelijke verplichting ook als een commerciële investering om klanten te behouden en aan te trekken.

Q: Wat moet ik nu doen ter voorbereiding?
A: 
De start is een nulmeting! Met een nulmeting wordt er gekeken naar de huidige stand van zaken rondom de privacy van persoonsgegevens en wordt er vastgesteld welke acties genomen moeten worden om 100% privacy AVG proof te zijn. De te nemen acties kunnen dan zelf of indien nodig in samenwerking met een expert worden uitgevoerd.

Offerte ontvangen voor een nulmeting?

Mail: info@thelegalprivacycompany.com of bel: 020-3450152