FAQ Website

Alles uitvouwen

Waar moet ik onder de AVG als doktersassistent allemaal rekening mee houden ?

Als NVDA krijgen we veel vragen over de Algemene Verordening Gegevensbescherming (AVG) die 25 mei 2018 van kracht wordt. Wat betekent deze verordening voor mijn werk als doktersassistent in de praktijk. Waar moet ik rekening mee houden en wat mag wel en wat mag niet? Op basis van de site van de Autoriteit Persoonsgegevens, hebben we onderstaand de meest gestelde vragen verzameld. We hebben een splitsing gemaakt tussen vragen waar doktersassistenten mee te maken hebben en meer algemene vragen over de AVG in de zorg. Deze verduidelijken ongetwijfeld een hoop vragen, maar het blijft een lastige materie. Dus als er twijfel is, neem contact op met de Autoriteit Persoonsgegevens, of raadpleeg een specialist. Het niet naleven van de AVG kan tot  aanwijzingen en ook tot hoge boetes leiden. In de FAQ gaan we in op situaties bij individuele artsen, maar ook bij grote instellingen.

Blijven bestaande regels gelden ?

De bestaande regels over privacy worden door de AVG bevestigd en op onderdelen versterkt. De volgende wetten blijven dus gelden:

  • Wet op de geneeskundige behandelingsovereenkomst (WGBO);
  • Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
  • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
  • Zorgverzekeringswet (Zvw);
  • Wet marktordening gezondheidszorg (Wmg);
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Welke maatregelen moet ik nemen om patiëntgegevens te beveiligen?

Voor het vertrouwen van de patiënt in jou als zorgaanbieder is het belangrijk om de beveiliging van zijn/haar persoonsgegevens goed te regelen. Dat verandert niet met de komst van de Algemene verordening gegevensbescherming (AVG). Nieuw onder de AVG is wel de verantwoordingsplicht.

Heb ik een verantwoordingsplicht?

De verantwoordingsplicht houdt in dat je moet kunnen aantonen dat je de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens van je patiënten te beveiligen. En dat je gegevensverwerkingen aan de AVG voldoen.

Dat houdt bijvoorbeeld in dat je:

  • niet méér persoonsgegevens verwerkt dan noodzakelijk is voor het doel van de verwerking;
  • de toegang van medewerkers tot de persoonsgegevens beperkt;
  • de persoonsgegevens niet langer bewaart dan nodig is.

Moet ik verplichte en extra maatregelen nemen ?

In de AVG staan een aantal verplichte maatregelen, waaronder NEN 7510, genoemd waarmee je aan je verantwoordingsplicht voldoet. Naast de verplichte maatregelen kan het nodig zijn om extra maatregelen te nemen. Voor zorgaanbieders geldt onder meer dat:

  • De NEN 7510 een belangrijke norm voor informatiebeveiliging in de zorg blijft. Je moet deze richtlijnen dus blijven volgen.
  • Je van elke individuele medewerker moet bijhouden wanneer hij/zij en van welke patiënt een dossier heeft bekeken. Dit heet logging.
  • Het nodig kan zijn om een gegevensbeschermingsbeleid op te stellen. Daarin regel je onder meer welke medewerkers toegang mogen hebben tot welke gegevens.
  • In de zorg is het maken van afspraken over dit soort autorisaties extra belangrijk omdat het vaak om gevoelige persoonsgegevens gaat. Medewerkers die geen behandelrelatie hebben met een patiënt, hebben ook geen toegang nodig tot het dossier van die patiënt.
  • Je verplicht kunt zijn om een data protection impact assessment (zie elders) uit te voeren, een functionaris voor de gegevensbescherming aan te stellen en een register van verwerkingsactiviteiten bij te houden.

Verandert het recht op inzage voor het medisch dossier onder de AVG?

Nee. Patiënten hebben onder de Algemene verordening gegevensbescherming (AVG) net als nu recht op inzage in hun medisch dossier. Bijvoorbeeld om röntgenfoto’s, diagnoses en operatieverslagen te bekijken. Alleen in je persoonlijke werkaantekeningen hoef je geen inzage te geven. Nieuw is wel dat je straks geen vergoeding meer mag vragen voor de inzage.

Vergoeding voor kopieën

Patiënten hebben ook recht op kopieën van hun medische gegevens. Hiervoor mag je onder de AVG geen kosten in rekening brengen. Onder de huidige Wet bescherming persoonsgegevens (Wbp) mag dit nog wel. Maar verzoekt een patiënt om meer dan een kopie van alle gegevens? Dan mag je hiervoor wel een redelijke vergoeding vragen.

Geen volledige inzage medisch dossier

Verzoekt een patiënt om toegang tot zijn of haar dossier? Maar wordt daardoor de privacy van iemand anders dan de patiënt zelf geschaad? Dan mag je de patiënt weigeren om een bepaald gedeelte van zijn/haar medisch dossier in te zien.

Je moet dan wel kunnen aantonen dat dit het geval is. Het belang van de privacy van de ander moet daarbij zwaarder wegen dan het belang dat de patiënt heeft bij inzage in het betreffende gedeelte van zijn/haar medisch dossier.

Relevante wetten

Het recht op inzage is geregeld in zowel de AVG als de Wet op de geneeskundige behandelovereenkomst (WGBO).

Geldt het recht op dataportabiliteit (overdracht van gegevens) ook voor medische dossiers?

Het recht op dataportabiliteit is een nieuw recht onder de AVG. Het is het recht van mensen om persoonsgegevens mee te nemen en over te dragen aan een andere (zorg)aanbieder. Het recht geldt voor een deel van de gegevens in medische dossiers.

Welke gegevens wel

De persoonsgegevens die jouw patiënt zelf actief en bewust heeft verstrekt, vallen onder het recht op dataportabiliteit. Dat geldt ook voor de gegevens die de patiënt indirect heeft verstrekt door het gebruik van een dienst of een apparaat. Bijvoorbeeld de gegevens die een pacemaker of een bloedrukmeter genereert.

Welke gegevens niet

De gegevens in het medisch dossier die niet direct of indirect door het gebruik van een dienst of een apparaat door de patiënt zijn verstrekt, vallen niet onder het recht op dataportabiliteit.

Het recht op dataportabiliteit geldt bijvoorbeeld niet voor de conclusies, diagnoses, vermoedens of behandelplannen die je als behandeld arts of doktersassistent op basis van de door de patiënt verstrekte gegevens vaststelt.

Geldt het recht op vergetelheid (alle gegevens verwijderen) ook voor medische dossiers?

Het recht om vergeten te worden geldt in principe niet voor medische dossiers. De Algemene verordening gegevensbescherming (AVG) biedt namelijk ruimte aan nationale wetgeving. Onder meer om uitzonderingen op het recht op vergetelheid te regelen. Patiënten mogen je wel vragen om gegevens uit hun medisch dossier te verwijderen.

Regels in Wgbo

In Nederland zijn de regels voor het bewaren van medische dossiers opgenomen in de Wet op de geneeskundige behandelovereenkomst (Wgbo). Hierin is bepaald dat je  medische dossiers 15 jaar moet bewaren.

Deze wet regelt dat mensen het recht hebben om hun zorgverlener te vragen om de gegevens eerder te vernietigen. Je moet daar gehoor aan geven, tenzij een bepaald voorschrift of specifieke wet bepaalt dat je de gegevens moet bewaren. Bijvoorbeeld vanwege het belang van iemand anders. Of omdat de gegevens nodig zijn voor het leveren van zorg.

Reageren op een verzoek

Heeft een patiënt jou gevraagd om vernietiging van zijn of haar medisch dossier? Dan moet je als zorgverlener binnen 3 maanden aan dit verzoek voldoen. Wanneer je het verzoek afwijst, dan moet je de patiënt laten weten waarom. Het liefst schriftelijk.

Verwijder je alleen een onderdeel uit het medisch dossier? Dan kunt je in het dossier vermelden dat een deel van de gegevens op verzoek van de patiënt is verwijderd.

Mag je onder de AVG persoonsgegevens verstrekken aan zorgverzekeraars?

Als zorgaanbieder mag je onder de Algemene verordening gegevensbescherming (AVG) persoonsgegevens blijven verstrekken aan zorgverzekeraars.

De regels die onder de huidige Wet bescherming persoonsgegevens (Wbp) gelden voor bijvoorbeeld het verstrekken van gegevens aan zorgverzekeraars voor de declaratie van zorgkosten, het aanvragen van machtigingen en het uitvoeren van formele en materiële controle blijven onder de AVG dus bestaan.

Ben je als kleine zorgaanbieder verplicht om een register van verwerkingsactiviteiten op te stellen?

Ook als kleine zorgaanbieder ben je in de meeste gevallen verplicht om een register van verwerkingsactiviteiten op te stellen. Dit komt omdat kleine zorgaanbieders doorgaans structureel bijzondere persoonsgegevens verwerken. Namelijk medische gegevens van hun patiënten.

Volgens de Algemene verordening gegevensbescherming (AVG) bent je als organisatie met minder dan 250 werknemers verplicht om een register op te stellen wanneer je persoonsgegevens verwerkt:

  1. die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie je persoonsgegevens verwerkt en/of
  2. waarvan de verwerking niet incidenteel is en/of
  3. die vallen onder de categorie bijzondere persoonsgegevens.

Moet ik als zorgaanbieder een Functionaris Gegevensbescherming (FG) aanwijzen?

Je moet als zorgaanbieder een functionaris gegevensbescherming (FG) aanwijzen als je op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over de gezondheid van mensen.

Hoe bepaal je of je volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt?

In de Algemene verordening gegevensbescherming (AVG) staat niet heel specifiek omschreven wanneer een verwerking grootschalig is. Dat is afhankelijk van de situatie. Wel hebben de Europese toezichthouders een aantal criteria opgesteld, namelijk:

  • het aantal betrokkenen (de mensen van wie je gegevens verwerkt);
  • de hoeveelheid gegevens die je verwerkt;
  • de duur van de gegevensverwerking;
  • de geografische reikwijdte van de verwerking.
  • FG voor bijvoorbeeld ziekenhuizen verplicht

De Europese privacy toezichthouders noemen een ziekenhuis als expliciet voorbeeld van een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt. Een ziekenhuis is dus verplicht om een FG aan te stellen.

Functionaris Gegevensbescherming voor bijvoorbeeld individuele artsen niet verplicht

De privacy toezichthouders zien verwerkingen van bijzondere persoonsgegevens door individuele artsen niet als grootschalig. Individuele artsen hoeven dus geen FG aan te stellen.

Praktische standaard

De Europese privacy toezichthouders verwachten dat er op den duur een praktische standaard komt waarmee je eenvoudiger kunt vaststellen of sprake is van een grootschalige gegevensverwerking. En dus of je verplicht bent om een FG aan te stellen. Zodra hierover meer bekend is, vind je die informatie op de website van Autoriteit Persoonsgegevens.

Let op: per 1 januari 2018 geldt voor instellingen als bedoeld in de Wet, kwaliteit, klachten en geschillen zorg (Wkkgz) die op grote schaal gegevens verwerken al de plicht om een FG te benoemen. Dat is geregeld in het Besluit elektronische gegevensverwerking door zorgaanbieders.

Moet je als zorgaanbieder een Data Protection Impact Assessment (DPIA) doen?

Sommige gegevensverwerkingen leveren een hoog privacy risico op voor de betrokken personen. Onder de Algemene verordening gegevensbescherming (AVG) ben je in zo’n geval verplicht om een data protection impact assessment (DPIA) uit te voeren. Dit geldt niet voor individuele zorgverleners.

Een DPIA is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. Zodat je maatregelen kunt nemen om de risico’s te verkleinen.

Hoe bepaal je of er sprake is van een waarschijnlijk hoog privacy risico?

De werkgroep van Europese privacy toezichthouders (WP29) heeft een lijst van criteria opgesteld om jou als verantwoordelijke te helpen om het privacy risico van je gegevensverwerking in te schatten. Voor zorgaanbieders kunnen de volgende criteria uit die lijst leiden tot een hoog risico:

  • Je verwerkt gevoelige gegevens. Het gaat hierbij om bijzondere categorieën van persoonsgegevens, zoals gegevens over de gezondheid van mensen.
  • Je verwerkt op grote schaal (bijzondere) persoonsgegevens. De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. De werkgroep van Europese toezichthouders adviseert om met de volgende criteria te bepalen of hiervan sprake is:
    • de hoeveelheid mensen van wie gegevens worden verwerkt;
    • de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
    • de tijdsduur van de gegevensverwerking;
    • de geografische reikwijdte van de gegevensverwerking.
  • Je verwerkt gegevens over kwetsbare personen. Bij zorgaanbieders kan er sprake zijn van een ongelijke machtsverhouding tussen jou als verantwoordelijke en de betrokken personen zoals kinderen, ouderen, wilsonbekwame en andere kwetsbare patiënten.

DPIA voor individuele zorgverleners niet verplicht

Een individuele zorgverlener, dus een natuurlijke persoon die beroepsmatig zorg verleent, is hoe dan ook niet verplicht om een DPIA uit te voeren.

Moet ik als zorgaanbieder ook een DPIA doen voor bestaande verwerkingsactiviteiten?

Nee, de verplichting om een data protection impact assessment (DPIA) te doen geldt in principe alleen voor nieuwe verwerkingen. Dus voor verwerkingen die ná 25 mei 2018 starten. Vanaf die datum is de Algemene verordening gegevensbescherming (AVG) van toepassing.

Treedt er na 25 mei 2018 een verandering op in een bestaande verwerking of in de risico’s van die verwerking? Dan kan een DPIA alsnog verplicht zijn.

Veranderingen bestaande verwerkingen

Een bestaande gegevensverwerking kan bijvoorbeeld veranderen als je een nieuwe technologie gaat gebruiken. Of als je de persoonsgegevens voor een ander doel gaat gebruiken.

In die situaties moet je, net als bij een nieuwe gegevensverwerking, vaststellen of de gewijzigde verwerking waarschijnlijk een hoog privacy risico oplevert. Zo ja, dan ben je alsnog verplicht een DPIA uit te voeren.

Wat is de verhouding tussen de AVG en de Wet cliëntenrechten bij elektronische verwerking van gegevens?

De Algemene verordening gegevensbescherming (AVG) is een Europese privacywet die boven nationale wetgeving staat. De Wet cliëntenrechten bij elektronische verwerking van gegevens geldt in aanvulling op de AVG. Dat betekent dat dáár waar de AVG meer bescherming voor cliënten biedt, de AVG voor gaat.

Blijft de NEN 7510 gelden voor zorgaanbieders onder de AVG?

Ja. De NEN 7510 blijft ook onder de Algemene verordening gegevensbescherming (AVG) een belangrijke norm voor informatiebeveiliging in de zorg.

Is onder de AVG een NEN 7510-certificaat verplicht voor zorgaanbieders?

Nee. Certificering volgens de NEN 7510 is op grond van de Algemene verordening gegevensbescherming (AVG) niet verplicht. Ongeacht de rechtsvorm en de omvang van je organisatie. Je moet wel kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen.

Contact

NVDA
Othellodreef 91- 95
3561 GT Utrecht
Routebeschrijving

tel. 030 - 2631040
Neem contact met ons op