FAQ Website

Alles uitvouwen

Mag ik als zorgverlener patiëntgegevens in de cloud verwerken en waar moet ik op letten?

Ja, je mag patiëntgegevens in de cloud verwerken. Je hebt ook geen toestemming nodig van je patiënten om hun gegevens in de cloud te plaatsen. Maar het werken met patiëntgegevens in de cloud brengt wel privacyrisico’s met zich mee. Bijvoorbeeld omdat je het niet of pas te laat merkt als er gegevens zijn gelekt.

Daarom is er een aantal punten waar je op moet letten:

  • Wees kritisch op welke cloudprovider je kiest.
  • Maak je gebruik van een cloudprovider buiten de EU (denk aan Amerika)? Dan gelden er speciale regels.
  • Maak vooraf afspraken met de cloudprovider om ervoor te zorgen dat je ook toegang houdt tot de gegevens als de provider wordt overgenomen, failliet gaat of als je de samenwerking wil stopzetten.
  • Blijf de cloudprovider monitoren wanneer de gegevens eenmaal in de cloud zitten.

Voordat je in zee gaat met een cloudprovider, moet je een risicoanalyse (laten) uitvoeren. Dan weet je welke risico’s je loopt. Deze risicoanalyse moet je regelmatig actualiseren.

Daarnaast kan een erkend certificaat je meer zekerheid geven over de kwaliteit van de cloudprovider. Een certificaat is niet verplicht. Het bewijst wel dat de cloudprovider voldoet aan bepaalde praktijknormen. De meest relevante praktijknormen zijn:

  • ISAE 3402
  • ISO 27017
  • NEN 7510

Tevens spelen ook de algemene beveiligingsnormen ISO 27001 en ISO 27002 een rol.

 

Hoe verhoudt de AVG zich tot het beroepsgeheim en de Wgbo?

De Algemene verordening gegevensbescherming (AVG) brengt geen veranderingen met zich mee voor het medisch beroepsgeheim. De regels uit de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) blijven bestaan naast de AVG.

Zorgverleners zijn onder de AVG gebonden aan zowel de regels over het medisch beroepsgeheim als aan de regels van de AVG. Als zorgverlener mag je bijvoorbeeld alléén gegevens aan een derde verstrekken als dat mag op grond van de AVG én als je een grond hebt om het medisch beroepsgeheim te doorbreken.

 

Wanneer heb ik als zorgverlener toestemming van mijn patiënt nodig om patiëntgegevens uit te wisselen?

Je mag als zorgverlener patiëntgegevens delen met andere zorgverleners die rechtstreeks bij de behandeling van jouw patiënt betrokken zijn. Doe je dit via een elektronisch uitwisselingssysteem of het LSP? Dan heb je daarvoor toestemming van de patiënt nodig.

Uitzondering op medisch beroepsgeheim

Je hebt medisch beroepsgeheim. Dat betekent dat je in principe geen medische gegevens van patiënten aan anderen mag doorgeven. Maar hierop zijn enkele uitzonderingen. Bijvoorbeeld als de patiënt toestemming heeft gegeven.

Je mag patiëntgegevens delen met degenen die rechtstreeks betrokken zijn bij de behandeling van de patiënt. Dit kunnen zowel andere zorgverleners zijn als bijvoorbeeld secretaresses of financieel medewerkers. In de Wet op de geneeskundige behandelingsovereenkomst (WGBO) staat dat toestemming van de patiënt dan wordt verondersteld. Let op: je mag de patiëntgegevens alleen delen als dat noodzakelijk is voor de behandeling van de patiënt.

Elektronisch uitwisselingssysteem

Je hebt toestemming van je patiënt nodig als je gegevens uitwisselt via een elektronisch uitwisselingssysteem. Je moet je patiënten hierover informeren en vervolgens om toestemming vragen.

Landelijk Schakelpunt

Ben je aangesloten op het Landelijk Schakel Punt (LSP)? Ook dan heb je toestemming van je patiënt nodig voor je de gegevens van deze patiënt mag uitwisselen via het LSP.

Tot slot

Je moet kunnen aantonen dat je daadwerkelijk toestemming van je patiënt hebt gekregen. Dit is onderdeel van de verantwoordingsplicht die je onder de Algemene verordening gegevensbescherming (AVG) hebt.

Let op: het is niet genoeg om alleen de toestemming zelf vast te leggen. Je moet ook kunnen laten zien op basis van welke informatie jouw patiënt toestemming heeft gegeven.

Mag ik als zorgverlener persoonsgegevens delen via e-mail?

In de Algemene verordening gegevensbescherming (AVG) staat niet expliciet dat het delen van persoonsgegevens via e-mail verboden is. Wel is het je taak om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen.

Norm e-mail in de zorg

Wanneer het om gezondheidsgegevens gaat, is extra zorgvuldigheid bij het beveiligen gepast. De ‘NTA 7516’ biedt meer duidelijkheid over de voorwaarden waaronder het gebruik van e-mail in de zorg veilig is.

 

Hoe moet ik het identificatieproces rondom het inloggen in medische dossiers regelen?

Gezondheidsgegevens zijn zeer gevoelige persoonsgegevens. Daarom moet je het patiëntauthenticatie- en identificatieproces rondom medische dossiers zorgvuldig inrichten. Je wilt als zorgverlener immers zeker weten dat de persoon die inlogt in zijn dossier ook werkelijk degene is voor wie hij zich uitgeeft.

Betrouwbaarheidsniveau substantieel tot hoog

De betrouwbaarheid van een authenticatiemiddel wordt ingedeeld in de volgende 3 niveaus: laag, substantieel en hoog.
De minister van Volksgezondheid, Welzijn en Sport (VWS) heeft aangegeven dat het betrouwbaarheidsniveau van patiëntauthenticatie in ieder geval ‘substantieel’ moet zijn.

Als jouw patiënten digitale inzage kunnen krijgen in persoonsgegevens waarop het medisch beroepsgeheim van toepassing is, geldt betrouwbaarheidsniveau ‘hoog’. Dit is bijvoorbeeld het geval bij patiëntportalen en persoonlijke gezondheidsomgevingen.

Maak gebruik van tweefactorauthenticatie

Authenticatiemiddelen die voldoen aan de veiligheidsniveaus ‘substantieel’ en ‘hoog’ zijn nog niet breed beschikbaar. Tot die tijd moet je als zorgverlener in ieder geval gebruikmaken van tweefactorauthenticatie. Zoals inloggen met DigiD in combinatie met sms.

Daarnaast moet je de resterende beveiligingsrisico’s wegnemen en andere beveiligingsmaatregelen nemen die in jouw situatie passend zijn.

 

Uit welke onderdelen bestaat een passend beveiligingsbeleid voor patiëntgegevens?

Een passend beveiligingsbeleid voor patiëntgegevens bestaat onder meer uit een omschrijving van de volgende 5 onderdelen:

  1. authenticatie
  2. autorisatie
  3. logging van de toegang
  4. controle van de logging
  5. bewustwording medewerkers ten aanzien van informatiebeveiliging

1. Authenticatie

Wil iemand toegang krijgen tot een patiëntendossier? Dan moet je als zorgorganisatie zijn/haar identiteit vaststellen door authenticatie met minimaal 2 factoren.

Iemand krijgt dan pas toegang tot een patiëntendossier als zijn identiteit op 2 verschillende manieren is vastgesteld. Bijvoorbeeld op basis van een wachtwoord en van een personeelspas.

2. Autorisatie

Zo min mogelijk mensen mogen toegang hebben tot patiëntgegevens. Dit leg je ook vast in het toegangscontrolebeleid. Hierin regel je onder meer welke medewerkers toegang mogen hebben tot welke gegevens.

In het algemeen mogen mensen alleen toegang krijgen tot persoonlijke gezondheidsinformatie in de volgende situaties:

  • er bestaat een zorgrelatie tussen de gebruiker en de patiënt
  • de gebruiker voert een activiteit uit namens de persoon op wie de gegevens betrekking hebben
  • de specifieke gegevens zijn nodig om deze activiteit te ondersteunen

3. Logging van toegang

Als zorgorganisatie moet je controleren wie er toegang heeft gehad tot gezondheidsinformatie. Je moet daarom logbestanden maken en registreren wie wanneer welke informatie raadpleegt. Ook moet je beveiligingsincidenten met persoonsgegevens vastleggen in een datalekregister.

4. Controle van de logging

Als zorgorganisatie moet je regelmatig en proactief controleren wie wanneer welk patiëntendossier heeft geraadpleegd. De controle op de loggegevens moet systematisch en consequent zijn. Alleen op deze manier kun je als zorgorganisatie tijdig opmerken wanneer iemand onbevoegd toegang zoekt tot patiëntgegevens. En maatregelen nemen.

5. Bewustmaken medewerkers

Als zorgorganisatie moet je medewerkers bewustmaken van hun verantwoordelijkheden rond de informatiebeveiliging. De medewerkers voor wie dat relevant is voor hun functie moeten een passende bewustzijnsopleiding en –training krijgen. Ook moeten zij regelmatig bijscholing krijgen om hun kennis over beleidsregels en procedures van de organisatie actueel te houden.

 

Waar moet ik onder de AVG als doktersassistent allemaal rekening mee houden ?

Als NVDA krijgen we soms vragen over de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 van kracht is geworden. Wat betekent deze verordening voor mijn werk als doktersassistent in de praktijk. Waar moet ik rekening mee houden en wat mag wel en wat mag niet? Op basis van de site van de Autoriteit Persoonsgegevens, hebben we onderstaand de meest gestelde vragen verzameld. We hebben een splitsing gemaakt tussen vragen waar doktersassistenten mee te maken hebben en meer algemene vragen over de AVG in de zorg. Deze verduidelijken ongetwijfeld een hoop vragen, maar het blijft een lastige materie. Dus als er twijfel is, neem contact op met de Autoriteit Persoonsgegevens, of raadpleeg een specialist. Het niet naleven van de AVG kan tot  aanwijzingen en ook tot hoge boetes leiden. In de FAQ gaan we in op situaties bij individuele artsen, maar ook bij grote instellingen. De site van de Autoriteit Persoonsgegevens wordt regelmatig aangepast. Raadpleeg de site bij vragen.

Blijven bestaande regels gelden ?

De bestaande regels over privacy worden door de AVG bevestigd en op onderdelen versterkt. De volgende wetten blijven dus gelden:

  • Wet op de geneeskundige behandelingsovereenkomst (WGBO);
  • Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
  • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
  • Zorgverzekeringswet (Zvw);
  • Wet marktordening gezondheidszorg (Wmg);
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Welke maatregelen moet ik nemen om patiëntgegevens te beveiligen?

Voor het vertrouwen van de patiënt in jou als zorgaanbieder is het belangrijk om de beveiliging van zijn/haar persoonsgegevens goed te regelen. Dat verandert niet met de komst van de Algemene verordening gegevensbescherming (AVG). Nieuw onder de AVG is wel de verantwoordingsplicht.

Heb ik een verantwoordingsplicht?

De verantwoordingsplicht houdt in dat je moet kunnen aantonen dat je de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens van je patiënten te beveiligen. En dat je gegevensverwerkingen aan de AVG voldoen.

Dat houdt bijvoorbeeld in dat je:

  • niet méér persoonsgegevens verwerkt dan noodzakelijk is voor het doel van de verwerking;
  • de toegang van medewerkers tot de persoonsgegevens beperkt;
  • de persoonsgegevens niet langer bewaart dan nodig is.

Moet ik verplichte en extra maatregelen nemen ?

In de AVG staan een aantal verplichte maatregelen, waaronder NEN 7510, genoemd waarmee je aan je verantwoordingsplicht voldoet. Naast de verplichte maatregelen kan het nodig zijn om extra maatregelen te nemen. Voor zorgaanbieders geldt onder meer dat:

  • De NEN 7510 een belangrijke norm voor informatiebeveiliging in de zorg blijft. Je moet deze richtlijnen dus blijven volgen.
  • Je van elke individuele medewerker moet bijhouden wanneer hij/zij en van welke patiënt een dossier heeft bekeken. Dit heet logging.
  • Het nodig kan zijn om een gegevensbeschermingsbeleid op te stellen. Daarin regel je onder meer welke medewerkers toegang mogen hebben tot welke gegevens.
  • In de zorg is het maken van afspraken over dit soort autorisaties extra belangrijk omdat het vaak om gevoelige persoonsgegevens gaat. Medewerkers die geen behandelrelatie hebben met een patiënt, hebben ook geen toegang nodig tot het dossier van die patiënt.
  • Je verplicht kunt zijn om een data protection impact assessment (zie elders) uit te voeren, een functionaris voor de gegevensbescherming aan te stellen en een register van verwerkingsactiviteiten bij te houden.

Verandert het recht op inzage voor het medisch dossier onder de AVG?

Nee. Patiënten hebben onder de Algemene verordening gegevensbescherming (AVG) net als nu recht op inzage in hun medisch dossier. Bijvoorbeeld om röntgenfoto’s, diagnoses en operatieverslagen te bekijken. Alleen in je persoonlijke werkaantekeningen hoef je geen inzage te geven. Nieuw is wel dat je straks geen vergoeding meer mag vragen voor de inzage.

Vergoeding voor kopieën

Patiënten hebben ook recht op kopieën van hun medische gegevens. Hiervoor mag je onder de AVG geen kosten in rekening brengen. Maar verzoekt een patiënt om meer dan een kopie van alle gegevens? Dan mag je hiervoor wel een redelijke vergoeding vragen.

Geen volledige inzage medisch dossier

Verzoekt een patiënt om toegang tot zijn of haar dossier? Maar wordt daardoor de privacy van iemand anders dan de patiënt zelf geschaad? Dan mag je de patiënt weigeren om een bepaald gedeelte van zijn/haar medisch dossier en/of log-in gegevens in te zien.

Je moet dan wel kunnen aantonen dat dit het geval is. Het belang van de privacy van de ander moet daarbij zwaarder wegen dan het belang dat de patiënt heeft bij inzage in het betreffende gedeelte van zijn/haar medisch dossier.

Relevante wetten

Het recht op inzage is geregeld in zowel de AVG als de Wet op de geneeskundige behandelovereenkomst (WGBO).

Geldt het recht op dataportabiliteit (overdracht van gegevens) ook voor medische dossiers?

Het recht op dataportabiliteit is een nieuw recht onder de AVG. Het is het recht van mensen om persoonsgegevens mee te nemen en over te dragen aan een andere (zorg)aanbieder. Het recht geldt voor een deel van de gegevens in medische dossiers.

Welke gegevens wel

De persoonsgegevens die jouw patiënt zelf actief en bewust heeft verstrekt, vallen onder het recht op dataportabiliteit. Dat geldt ook voor de gegevens die de patiënt indirect heeft verstrekt door het gebruik van een dienst of een apparaat. Bijvoorbeeld de gegevens die een pacemaker of een bloedrukmeter genereert.

Welke gegevens niet

De gegevens in het medisch dossier die niet direct of indirect door het gebruik van een dienst of een apparaat door de patiënt zijn verstrekt, vallen niet onder het recht op dataportabiliteit.

Het recht op dataportabiliteit geldt bijvoorbeeld niet voor de conclusies, diagnoses, vermoedens of behandelplannen die je als behandeld arts of doktersassistent op basis van de door de patiënt verstrekte gegevens vaststelt.

Geldt het recht op vergetelheid (alle gegevens verwijderen) ook voor medische dossiers?

Het recht om vergeten te worden geldt in principe niet voor medische dossiers. De Algemene verordening gegevensbescherming (AVG) biedt namelijk ruimte aan nationale wetgeving. Onder meer om uitzonderingen op het recht op vergetelheid te regelen. Patiënten mogen je wel vragen om gegevens uit hun medisch dossier te verwijderen.

Regels in Wgbo

In Nederland zijn de regels voor het bewaren van medische dossiers opgenomen in de Wet op de geneeskundige behandelovereenkomst (Wgbo). Hierin is bepaald dat je  medische dossiers 15 jaar moet bewaren.

Deze wet regelt dat mensen het recht hebben om hun zorgverlener te vragen om de gegevens eerder te vernietigen. Je moet daar gehoor aan geven, tenzij een bepaald voorschrift of specifieke wet bepaalt dat je de gegevens moet bewaren. Bijvoorbeeld vanwege het belang van iemand anders. Of omdat de gegevens nodig zijn voor het leveren van zorg.

Reageren op een verzoek

Heeft een patiënt jou gevraagd om vernietiging van zijn of haar medisch dossier? Dan moet je als zorgverlener binnen 3 maanden aan dit verzoek voldoen. Wanneer je het verzoek afwijst, dan moet je de patiënt laten weten waarom. Het liefst schriftelijk.

Verwijder je alleen een onderdeel uit het medisch dossier? Dan kunt je in het dossier vermelden dat een deel van de gegevens op verzoek van de patiënt is verwijderd.

Mag je onder de AVG persoonsgegevens verstrekken aan zorgverzekeraars?

Als zorgaanbieder mag je onder de Algemene verordening gegevensbescherming (AVG) persoonsgegevens blijven verstrekken aan zorgverzekeraars.

De regels die onder de huidige Wet bescherming persoonsgegevens (Wbp) gelden voor bijvoorbeeld het verstrekken van gegevens aan zorgverzekeraars voor de declaratie van zorgkosten, het aanvragen van machtigingen en het uitvoeren van formele en materiële controle blijven onder de AVG dus bestaan.

Ben je als kleine zorgaanbieder verplicht om een register van verwerkingsactiviteiten op te stellen?

Ook als kleine zorgaanbieder ben je in de meeste gevallen verplicht om een register van verwerkingsactiviteiten op te stellen. Dit komt omdat kleine zorgaanbieders doorgaans structureel bijzondere persoonsgegevens verwerken. Namelijk medische gegevens van hun patiënten.

Volgens de Algemene verordening gegevensbescherming (AVG) bent je als organisatie met minder dan 250 werknemers verplicht om een register op te stellen wanneer je persoonsgegevens verwerkt:

  1. die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie je persoonsgegevens verwerkt en/of
  2. waarvan de verwerking niet incidenteel is en/of
  3. die vallen onder de categorie bijzondere persoonsgegevens.

Moet ik als zorgaanbieder een Functionaris Gegevensbescherming (FG) aanwijzen?

Voor huisartsenpraktijken geldt dat zij verplicht zijn een functionaris gegevensbescherming (FG) aan te stellen als zij grootschalig gegevens verwerken. Zij doen dit als zij meer dan 10.000 ingeschreven patiënten hebben én de gegevens van deze patiënten in één huisartseninformatiedossier (HIS) staan.

Voor een individuele huisarts en een huisartsenpraktijk met minder dan 10.000 patiënten, geldt de verplichting voor een FG niet.

Let op: De AP verstaat onder een ‘individuele arts’ een solistisch werkende zorgverlener die beroepsmatig zorg verleent, zonder dat sprake is van een instelling. Werkt een huisarts bijvoorbeeld in een praktijk samen met meerdere assistenten die ook zorg verlenen, dan is er geen sprake van een ‘individuele arts’ in de zin van de AVG.

Huisartsenposten en zorggroepen verwerken altijd grootschalig gegevens. Zij zijn dus altijd verplicht een FG aan te stellen.

Moet ik als zorgaanbieder een Functionaris Gegevensbescherming (FG) aanwijzen ?

Je moet als zorgverlener een functionaris gegevensbescherming (FG) aanwijzen als je op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over de gezondheid van mensen.

Hoe bepaal je of je volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt?

In de Algemene verordening gegevensbescherming (AVG) staat niet heel specifiek omschreven wanneer een verwerking grootschalig is. Dat is afhankelijk van de situatie.

De AP heeft voor zorgaanbieders nadere uitleg gegeven wanneer sprake is van grootschalige verwerking van persoonsgegevens.

FG verplicht: bijvoorbeeld ziekenhuizen

De Europese privacytoezichthouders noemen een ziekenhuis als expliciet voorbeeld van een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt. Een ziekenhuis is dus verplicht om een FG aan te stellen.

Verder heeft de AP aan de hand van de criteria van de Europese toezichthouders vastgesteld dat ook zorggroepen en huisartsenposten op grote schaal bijzondere persoonsgegevens verwerken en dus verplicht zijn een FG aan te stellen. Ook apothekers ziet de AP al gauw als grootschalige verwerkers.

Voor andere zorgaanbieders geldt dat zij grootschalig gegevens verwerken als zij meer dan 10.000 ingeschreven patiënten hebben óf gemiddeld meer dan 10.000 patiënten per jaar behandelen én de gegevens van deze patiënten in één informatiedossier (bijvoorbeeld HIS) staan. In dat geval zijn zij verplicht om een FG aan te stellen.

FG niet verplicht: bijvoorbeeld individuele artsen

Een FG is niet verplicht voor:

  • huisartsenpraktijken met minder dan 10.000 ingeschreven patiënten;
  • andere instellingen voor medisch-specialistische zorg dan ziekenhuizen, die gemiddeld minder dan 10.000 patiënten per jaar behandelen;
  • individuele artsen.

Let op: de AP verstaat onder een ‘individuele arts’ een solistisch werkende zorgverlener die beroepsmatig zorg verleent, zonder dat sprake is van een instelling.

Werkt een enkele arts of apotheker bijvoorbeeld in een praktijk samen met meerdere assistenten die ook zorg verlenen (zoals oren uitspuiten of geneesmiddelen verstrekken)? Dan is er geen sprake van een individuele arts.

Praktische standaard

De Europese privacytoezichthouders verwachten dat er op den duur een praktische standaard komt waarmee je eenvoudiger kunt vaststellen of sprake is van een grootschalige gegevensverwerking. En dus of je verplicht bent om een FG aan te stellen. Zodra hierover meer bekend is, vind je die informatie op de website van de Autoriteit Persoonsgegevens.

Let op: per 1 januari 2018 geldt voor instellingen als bedoeld in de Wkkgz die op grote schaal gegevens verwerken al de plicht om een FG te benoemen. Dat is geregeld in het Besluit elektronische gegevensverwerking door zorgaanbieders.

Moet je als zorgaanbieder een Data Protection Impact Assessment (DPIA) doen?

Sommige gegevensverwerkingen leveren een hoog privacy risico op voor de betrokken personen. Onder de Algemene verordening gegevensbescherming (AVG) ben je in zo’n geval verplicht om een data protection impact assessment (DPIA) uit te voeren. Dit geldt niet voor individuele zorgverleners.

Een DPIA is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. Zodat je maatregelen kunt nemen om de risico’s te verkleinen.

Hoe bepaal je of er sprake is van een waarschijnlijk hoog privacy risico?

De werkgroep van Europese privacy toezichthouders (WP29) heeft een lijst van criteria opgesteld om jou als verantwoordelijke te helpen om het privacy risico van je gegevensverwerking in te schatten. Voor zorgaanbieders kunnen de volgende criteria uit die lijst leiden tot een hoog risico:

  • Je verwerkt gevoelige gegevens. Het gaat hierbij om bijzondere categorieën van persoonsgegevens, zoals gegevens over de gezondheid van mensen.
  • Je verwerkt op grote schaal (bijzondere) persoonsgegevens. De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. De werkgroep van Europese toezichthouders adviseert om met de volgende criteria te bepalen of hiervan sprake is:
    • de hoeveelheid mensen van wie gegevens worden verwerkt;
    • de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
    • de tijdsduur van de gegevensverwerking;
    • de geografische reikwijdte van de gegevensverwerking.
  • Je verwerkt gegevens over kwetsbare personen. Bij zorgaanbieders kan er sprake zijn van een ongelijke machtsverhouding tussen jou als verantwoordelijke en de betrokken personen zoals kinderen, ouderen, wilsonbekwame en andere kwetsbare patiënten.

DPIA voor individuele zorgverleners niet verplicht

Een individuele zorgverlener, dus een natuurlijke persoon die beroepsmatig zorg verleent, is hoe dan ook niet verplicht om een DPIA uit te voeren.

In de zorg is in ieder geval sprake van grootschalige verwerking van persoonsgegevens door:

  • ziekenhuizen;
  • zorggroepen;
  • huisartsenposten;
  • apotheken (niet zijnde ‘solistisch werkende zorgverlener’)
  • huisartsenpraktijken met meer dan 10.000 patiënten, van wie de gegevens in hetzelfde huisartseninformatiesysteem (HIS) zijn opgeslagen;
  • andere instellingen voor medisch specialistische zorg dan ziekenhuizen met meer dan gemiddeld 10.000 patiënten per jaar van wie de gegevens in het hetzelfde informatiesysteem zijn opgeslagen.

Moet ik als zorgaanbieder ook een DPIA doen voor bestaande verwerkingsactiviteiten?

Nee, de verplichting om een data protection impact assessment (DPIA) te doen geldt in principe alleen voor nieuwe verwerkingen. Dus voor verwerkingen die ná 25 mei 2018 gestart zijn. Vanaf die datum is de Algemene verordening gegevensbescherming (AVG) van toepassing.

Treedt er na 25 mei 2018 een verandering op in een bestaande verwerking of in de risico’s van die verwerking? Dan kan een DPIA alsnog verplicht zijn.

Veranderingen bestaande verwerkingen

Een bestaande gegevensverwerking kan bijvoorbeeld veranderen als je een nieuwe technologie gaat gebruiken. Of als je de persoonsgegevens voor een ander doel gaat gebruiken.

In die situaties moet je, net als bij een nieuwe gegevensverwerking, vaststellen of de gewijzigde verwerking waarschijnlijk een hoog privacy risico oplevert. Zo ja, dan ben je alsnog verplicht een DPIA uit te voeren.

Voorafgaand onderzoek

Het kan zijn dat de AP al eens een voorafgaand onderzoek heeft gedaan naar een bepaalde gegevensverwerking. Misschien heb je daarvoor goedkeuring gekregen. Ook dan geldt dat je geen DPIA over die verwerking hoeft uit te voeren. Tenzij er ná 25 mei 2018 een verandering optreedt in de verwerking die waarschijnlijk een hoog risico inhoudt.

Wat is de verhouding tussen de AVG en de Wet cliëntenrechten bij elektronische verwerking van gegevens?

De Algemene verordening gegevensbescherming (AVG) is een Europese privacywet die boven nationale wetgeving staat. De Wet cliëntenrechten bij elektronische verwerking van gegevens geldt in aanvulling op de AVG. Dat betekent dat dáár waar de AVG meer bescherming voor cliënten biedt, de AVG voor gaat.

Blijft de NEN 7510 gelden voor zorgaanbieders onder de AVG?

Ja. De NEN 7510 blijft ook onder de Algemene verordening gegevensbescherming (AVG) een belangrijke norm voor informatiebeveiliging in de zorg.

Is onder de AVG een NEN 7510-certificaat verplicht voor zorgaanbieders?

Nee. Certificering volgens de NEN 7510 is op grond van de Algemene verordening gegevensbescherming (AVG) niet verplicht. Ongeacht de rechtsvorm en de omvang van je organisatie. Je moet wel kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen.

Contact

NVDA
Othellodreef 91- 95
3561 GT Utrecht
Routebeschrijving

tel. 030 - 2631040
Neem contact met ons op

Privacy

Samenwerkingspartners

Bevolkingsonderzoeken en screeningenStichting Sociaal Fonds Huisartsenzorg