AVG Helpdesk

AVG | Europese verordening 

Vanaf 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking en bent u als zorgaanbieder verplicht om de verwerking van persoonsgegevens in uw organisatie volgens de eisen van de AVG te organiseren.

Voldoet u niet aan de AVG? Dan volgen er grote consequenties zoals torenhoge boetes en flinke reputatieschade.

Onze Privacy Officers en legal consultants kunnen u deskundig adviseren en ondersteunen bij de implementatie van de AVG.

Start direct met de voorbereidingen

Bent u nog niet bent gestart met de voorbereidingen? Begin dan met de eerste stap; het uitvoeren van een nul-meting.

Op deze pagina treft u de belangrijkste stappen die u dient te nemen om te komen tot een goede voorbereiding op de inwerkingtreding van de AVG.

Goed voorbereiden op de AVG in slechts 3 stappen

AVG proof in 3 stappen

Nul-meting

Stap 1 | Doe een nul-meting

Wilt u goed starten met uw voorbereidingen op de AVG? Begin dan met de eerste stap; het uitvoeren van een nul-meting. Hiermee brengt u in kaart hoe de verwerking van persoonsgegevens in uw organisatie is georganiseerd. De resultaten van deze meting worden meegenomen als uitgangspunt voor verdere analyses en de implementatie van nieuwe maatregelen om te voldoen aan de AVG.

Uw Privacy Officer en/of Functionaris Gegevensbeschermer bezit de juiste kennis en expertise om de huidige situatie in uw organisatie goed in kaart brengen. Heeft u (nog) geen interne Privacy Officer of een FG aangesteld die de nul-meting voor uw organisatie kan uitvoeren?

Wij kunnen u ook voorzien van deskundige ondersteuning van onze Privacy Officers en Functionarissen Gegevensbescherming. Lees hier meer over de flexibele service van onze Privacy Officers.

Wilt u weten hoe de nul-meting in uw organisatie het beste kan worden uitgevoerd?

Vraag hier meer informatie aan.

Aanstellen FG

Stap 2 | Stel een Functionaris Gegevensbescherming aan

De FG is een sleutelfiguur binnen de organisatie als het gaat om het toepassen en naleven van de AVG. Voor zorgaanbieders geldt de verplichting van het aanstellen er een FG aangesteld moet worden.

U zult dus als organisatie een privacy officer moeten aanstellen die de werkzaamheden en de rol van een FG op zich kan nemen. De AVG beschrijft nauwkeurig aan welke eisen de FG dient te voldoen en waar de FG binnen de organisatie moet zijn gepositioneerd.

Gezien de gestelde eisen blijkt het aanstellen van een interne medewerker als FG een moeilijke opgave. De FG kan dan ook op grond van een servicecontract door een externe organisatie worden ingevuld. Op basis van een dergelijk servicecontract kan de externe organisatie met verschillende functionarissen met ieder hun eigen expertise gezamenlijk als een team de rol van FG invullen.

Meer weten over hoe de Functionaris Gegevensbescherming in uw organisatie ingezet kan worden?

De cruciale rol van een FG in uw organisatie.

Belangrijkste AVG thema's

Stap 3 | Maak werk van de belangrijkste maatregelen

Samen met uw Functionaris Gegevensbescherming of Privacy Officer heeft u nu inzichtelijk gemaakt welke maatregelen nodig zijn om te voldoen aan de AVG. Implementeer samen met uw FG of Privacy Officer de stapsgewijs de belangrijkste maatregelen.

Stel een projectteam op, bestaande uit afgevaardigden vanuit diverse afdelingen die de nodige ondersteuning kunnen bieden bij de implementatie van de maatregelen. Zorg voor een heldere plan van aanpak met een duidelijke verdeling van taken, bevoegdheden en verantwoordelijkheden. Transparantie en communicatie over de voortgang is cruciaal voor een succesvolle afronding.

Ons team van Privacy Officers en legal consultants begeleiden u graag bij de implementatie van de AVG en overige zorgspecifieke (privacy)regelgeving in uw organisatie.

Benieuwd naar de belangrijkste thema’s van de AVG?

Bekijk het overzicht.

Benieuwd hoe de AVG in uw organisatie geïmplementeerd kan worden?

Wij helpen u graag verder

Overzicht thema's AVG

Wij helpen u graag verder

Wilt u specifieke informatie ontvangen over bijvoorbeeld de nul-meting of over het aanstellen van Functionaris Gegevensbescherming?

  •  *
  •  *
  •  *
  •  *
  •  *

Hoe staat het met de privacy van persoonsgegevens in uw organisatie?

Doe de Privacy Check

Wettelijke grondslagen AVG

Voor de verwerking van persoonsgegevens dient er altijd een wettelijke grondslag (artikel 6 lid 1 AVG) aanwezig te zijn. Uw moet aan tenminste aan één van de volgende grondslagen voldoen:

  • De betrokkene heeft toestemming gegeven voor de verwerking.
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting.
  • De verwerking dient de vitale belangen van de betrokkene.
  • De verwerking dient het algemeen belang.
  • De verwerking dient het gerechtvaardigd belang.

Nieuw in de AVG is dat de overheid het gerechtvaardigd belang niet meer mag gebruiken bij uitoefening van haar publieke taken. Belangrijk om niet te vergeten is dat uw klant bezwaar mag maken bij de grondslag gerechtvaardigd belang maar ook wanneer de verwerking plaatsvindt op basis van een publieke taak (artikel 21 AVG). Na een dergelijk bezwaar volgt (opnieuw) een belangenafweging, maar dan op basis van de informatie van het individuele geval.

In de F.AQ. treft u meer toelichting per grondslag.

Privacyrechten betrokkenen

U dient als verwerkingsverantwoordelijke ervoor te zorgen dat de betrokkenen van wie u persoonsgegevens verwerkt, hun privacyrechten goed kunnen uitoefenen. In de AVG zijn naast de bestaande rechten, twee nieuwe rechten voor betrokkene opgenomen; recht op vergetelheid en recht op dataportabiliteit. 

Met deze rechten kunnen betrokkene onder andere eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen. Ook moeten betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Overzicht van alle privacyrechten van betrokkenen treft u in de F.A.Q

Beginselen AVG

De verwerking van persoonsgegevens moeten volgens de AVG onder andere voldoen aan de volgende beginselen:

  1. Rechtmatigheid, behoorlijkheid en transparantie;
  2. Doelspecificatie en doelbinding;
  3. Dataminimalisatie;
  4. Kwaliteit van data;
  5. Beperkte bewaartermijn;
  6. Integriteit en vertrouwelijkheid;
  7. Accountability (verantwoordingsplicht).

Uit deze beginselen komen voor u als de verwerkingsverantwoordelijke bepaalde verplichtingen voort. U dient als zorgaanbieder onder andere te voldoen aan de volgende verplichtingen.

Naar uitleg van de beginselen

Functionaris Gegevensbescherming

Op het moment dat de AVG van toepassing is, kan het zijn dat u als zorgaanbieder verplicht bent een Functionaris Gegevensbescherming (FG) aan te stellen.

De FG is een sleutelfiguur binnen de organisatie als het gaat om het toepassen en naleven van de AVG. De FG is echter niet verantwoordelijk voor de naleving van de regels op het gebied van gegevensbescherming. Dat is de zorgaanbieder of andere organisatie die persoonsgegevens verwerkt zelf.Een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.

De AVG stelt in een drietal gevallen de aanstelling van een FG verplicht:

1. Overheden, publieke organisaties en zorginstellingen
Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Dit geldt dus ook voor zorginstellingen en gemeenten.

2. Observatie
De verplichting geldt ook voor organisaties actief in de zorg die vanuit de hun primaire processen op grote schaal patiënten volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen en monitoring van iemands gezondheid.

3. Bijzondere persoonsgegevens
Ook organisaties die op grote schaal ‘bijzondere persoonsgegevens’ verwerken moeten een FG benoemen. Het gaat hierbij dan om gegevens over iemands gezondheid. Dat betekent dat zorgaanbieders,

De AVG beschrijft daarbij nauwkeurig aan welke eisen de FG dient te voldoen en waar de FG binnen de organisatie moet zijn gepositioneerd.

Hij dient daarbij onafhankelijk zijn werkzaamheden te kunnen uitoefenen. Ook op het moment dat u niet verplicht bent om een FG aan te stellen, kan het verstandig zijn een functionaris met deze taken in uw organisatie te benoemen. Om verwarring te voorkomen, is het verstandig die functionaris niet aan te duiden als FG, maar bijvoorbeeld aan te duiden als “privacy functionaris”. Dan is duidelijk dat op die functionaris niet de eisen van de AVG van toepassing zijn.

Een FG kan ook op grond van een servicecontract door een organisatie buiten de organisatie van de verantwoordelijke (de zorgaanbieder zelf) worden ingevuld. Op basis van een dergelijk servicecontract kan de externe organisatie met verschillende functionarissen met ieder hun eigen expertise gezamenlijk als een team de rol van FG invullen. Binnen dit team fungeert één persoon als hoofdcontactpersoon.

Wilt u meer weten over welke eisen nog meer gelden voor het aanstellen van een Functionaris Gegevensbescherming in uw organisatie?

Meer over de eisen van een FG

Privacy Impact Assessments

Bij de inwerkingtreding van de AVG (25 mei 2018) kan het zijn dat zorgaanbieders verplicht zijn een privacy impact assessment (PIA) uit te voeren.

Hiermee worden de privacyrisico’s in kaart gebracht op een gegevensverwerking. Op basis van de uitkomsten van de PIA neemt de zorgaanbieder vervolgens de nodige maatregelen om deze risico’s te verkleinen.

Een PIA hoeft niet voor alle gegevensverwerkingen te worden uitgevoerd. Dit is enkel nodig op het moment dat de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Hiervan is in ieder geval sprake op het moment dat op grote schaal bijzondere persoonsgegevens worden verwerkt.

Omdat gegevens betreffende de gezondheid zijn aangemerkt als bijzondere persoonsgegevens in de AVG, zullen zorgaanbieders in ieder geval op gegevensverwerkingen waarbij op grote schaal gezondheidsgegevens worden verwerkt, een PIA uit moeten voeren.

De werkgroep van Europese privacytoezichthouders (WP 29) heeft criteria opgesteld om het risico te bepalen.Daarnaast zal de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen publiceren waarvoor een PIA verplicht is.

Op het moment dat u vaststelt dat u niet verplicht bent een PIA uit te voeren, kan het toch verstandig zijn er een uit te voeren.

Met een PIA krijgt u namelijk onder meer inzicht in de risico’s in verband met de gegevensverwerkingen binnen uw organisatie en denkt u bewust na over de impact hiervan voor uw cliënten/patiënten.

Met het in kaart brengen van de doelstellingen van een bepaalde verwerking en de maatregelen die u neemt, werkt u tevens aan maatregelen die zo min mogelijk inbreuk maken op de privacy van uw cliënten/patiënten.

Neemt u hierbij overigens ook de verwerkingen in verband met uw medewerkers mee, zodat u bij de risico analyse goed inzicht verkrijgt in de gehele organisatie.

De uitvoering van een PIA kan nooit kwaad en draagt sowieso bij aan een goede invulling van uw privacybeleid.

Meer weten over het uitvoeren van een PIA voor uw organisatie?

Naar F.A.Q over P.I.A.

Recht op Dataportabiliteit

Met de komst van de AVG krijgen personen van wie persoonsgegevens worden verwerkt een nieuw recht: het recht op dataportabiliteit.

Met dit recht krijgen ook cliënten/patiënten van zorgaanbieders het recht om de gegevens die van hen worden verwerkt op te vragen en te ontvangen. Deze gegevens kunnen cliënten/patiënten vervolgens zelf opslaan voor persoonlijk gebruik. Ook kunnen zij deze gegevens doorgeven aan een andere organisatie, bijvoorbeeld op het moment dat zij overstappen naar een nieuwe zorgaanbieder.

Als zorgaanbieder dient u ervoor te zorgen dat cliënten/patiënten hun gegevens op een eenvoudige wijze kunnen ontvangen, zodanig dat zij deze ook door kunnen geven aan een nieuwe zorgaanbieder. De zorgaanbieder mag hen hierin niet tegenwerken.

Heeft u vragen over dataportabiliteit en andere rechten van patiënten omtrent hun privacy?

Naar F.A.Q.

Register verwerkingsactiviteiten

De meldplicht vooraf een verwerking van persoonsgegevens aan de AP (art. 27 Wet bescherming persoonsgegevens) is niet meer opgenomen in de AVG.

Hierdoor dient iedere verwerkingsverantwoordelijke en verwerker een register bij te houden van de verwerkingsactiviteiten die zij uitvoeren (art. 30 en art. 30 lid 2 AVG). Dit kunnen verwerkingen zijn die een wettelijke grondslag hebben, maar ook verwerkingen waarvoor toestemming gegeven is door de betrokkene. Het register dient schriftelijk, waaronder in elektronische vorm, opgesteld te worden. Wanneer de Autoriteit Persoonsgegevens daar om vraagt, dienen zij het register ter beschikking te stellen (art. 30 lid 4 AVG).Het bijhouden van de register met de verwerkingsactiviteiten is verplicht voor alle zorgaanbieders waarbij het waarschijnlijk is dat verwerkingen die worden verricht;

  • een risico inhoudt voor de rechten en vrijheden van de betrokken;
  • niet incidenteel is;
  • of bijzondere gegevens betreft (art. 9 lid 1 AVG);
  • of persoonsgegevens beftreft in verband met strafrechtelijke veroordelingen en strafbare feiten (art. 10 AVG)

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke houdt de volgende gegevens in het register bij:

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen (Van wie worden persoonsgegevens verwerkt? Bijvoorbeeld van burgers, oud-werknemers, zorgbehoevenden);
  • een beschrijving van de categorieën van persoonsgegevens (Wat voor persoonsgegevens worden er verwerkt? bijvoorbeeld BSN financiële gegevens, etc.);
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  • doorgiften van persoonsgegevens aan een derde land of internationale organisatie (indien van toepassing);
  • indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om te beveiligen.

Verwerker

De verwerker houdt de volgende gegevens in het register bij:

  • de naam en de contactgegevens van de verwerkers, van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;
  • de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing);
  • indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om te beveiligen.

Heeft u vragen over het registreren van verwerkingactiviteiten?

Wij ondersteunen u graag hierbij

Recht op vergetelheid

Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt. Dit recht lijkt op het huidige recht op correctie en verwijdering (artikel 36 van de Wet bescherming persoonsgegevens).

Maar is in de AVG breder en beperkt zich niet alleen tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens. Het recht op vergetelheid geldt trouwens niet altijd. Alleen in de volgende situaties is het recht op vergetelheid van toepassing.

De voorwaarden van het recht op vergetelheid

  • Niet meer nodig
    De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.
  • Intrekken toestemming
    De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
  • Bezwaar
    De betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.
  • Onrechtmatige verwerking
    De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
  • Wettelijk bepaalde bewaartermijn
    De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
  • Kinderen
    De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).

Informatieplicht

Zorgaanbieders zijn verplicht hun patiënten te informeren over de gegevens die zij over hen verwerken, voor welk doel dat gebeurt, in voorkomend geval ook wie mogelijke ontvangers van deze gegevens zijn. Ook dient de betrokkene geïnformeerd te worden over degene van wie de gegevens zijn ontvangen, op het moment dat de zorgaanbieder deze niet zelf heeft verzameld. De bedoeling van deze regeling in de AVG is patiënten meer inzage en vervolgens ook zeggenschap te geven over de verwerking van hun gegevens.

Lees meer over de informatieplicht

Privacy by default & design

Artikel 25 AVG stelt dat technische en organisatorische maatregelen genomen moeten worden gedurende het gehele proces van het verwerken van persoonsgegevens. Het doel van deze technische en organisatorische maatregelen is om de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren. Bijvoorbeeld minimale gegevensverwerking. Daarnaast moeten de nodige waarborgen in de verwerking ingebouwd worden ter naleving van de AVG en ter bescherming van de rechten van de betrokkenen.

Bij privacy by design houdt u al tijdens het ontwerpen van producten en diensten rekening met de goede bescherming van persoonsgegevens. Bij privacy by default moet u technische en organisatorische maatregelen nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Wij raden zorgaanbieders aan om nu al te starten de gehele organisatie vertrouwd te maken met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default.

Wilt u weten hoe Cure4 uw organisatie kan ondersteunen bij de invoering van deze en andere AVG verplichtingen?

Vraag het aan de expert.

Meest gestelde vragen over de AVG in één overzicht?

Raadpleeg het nu

Wij begrijpen de zorg

De Privacy Officers en legal consultants van Cure4 adviseren en ondersteunen diverse zorgaanbieders bij de implementatie van de AVG en overige zorgspecifieke (privacy)regelgeving. De combinatie van juridische expertise en zorgkennis maakt ons dé business partner voor instellingen, ondernemingen en gemeenten werkzaam binnen het zorgdomein!

Om de mogelijkheden voor uw organisatie te bespreken kunt u ons altijd per mail  of per telefoon bereiken via 088 64 81 200. Wij kijken er naar uit om u en uw organisatie verder te helpen.

Publicaties AVG

Blog Privacy | Aftellen naar de inwerkingtreding van de AVG

09 January 2018

De Uitvoeringswet AVG biedt ruimte om een nationale uitvoering aan de AVG te geven. Hoe precies?

Tips Privacy | Hoe laat ik mijn organisatie privacy ademen?

03 April 2017

Bescherming van de privacy van patiënten, hoe zorg je daar nou voor? Wet- en regelgeving geeft een …

Blog Privacy | OR óók voor privacyrechten van werknemer

25 September 2017

De komst van de Algemene Verordening Gegevensbescherming (AVG) zorgt ervoor dat organisaties ook ste…

Tips Privacy | Wat u echt móet weten van de AVG

30 August 2017

De Algemene Verordening Gegevensbescherming (AVG) treedt al op 25 mei 2018 in werking. Maar nog stee…

Blog Privacy | AP biedt 10-stappenplan voor AVG

01 May 2017

Op 13 april jl. heeft de Autoriteit Persoonsgegevens (AP) een 10-stappenplan gepubliceerd aan de han…

Blog Privacy | Gemeenten zo lek als een mandje?

03 April 2017

Wees zorgvuldig met uitwisseling van patiëntgegevens. Aangezien gemeenten nu ook verantwoordelijk z…

©2018 Cure4 |

Werken bij Cure4 | Privacy statement | Disclaimer | Over Cure4 | Aanmelden Nieuwsbrief
Contact