AVG Helpdesk

Maak inzichtelijke welke maatregelen genomen moeten worden

Vanaf 25 mei 2018 treedt de AVG / GDPR in werking en bent u als zorgaanbieder verplicht om de verwerking van persoonsgegevens in uw organisatie volgens de eisen van de AVG te organiseren. Voldoet u niet aan de AVG? Dan volgen er grote consequenties zoals torenhoge boetes en flinke reputatieschade.

Als het goed is heeft u een degelijke voorbereiding afgerond en is nu inzichtelijk gemaakt welke maatregelen nodig zijn om te voldoen aan de AVG. Het is nu zaak om de maatregelen in uw organisatie te implementeren. Heeft u dit nog niet inzichtelijk?

Lees dan onze belangrijkste stappen om zo snel mogelijk te starten met de voorbereidingen.

AVG Proof in drie stappen

Maak werk van de belangrijkste maatregelen

Indien de te nemen maatregelen inzichtelijk zijn gemaakt, stel dan een projectteam op. Het team bestaat het liefst uit afgevaardigden vanuit diverse afdelingen die de nodige ondersteuning kunnen bieden bij de implementatie. Zorg voor een heldere plan van aanpak met een duidelijke verdeling van taken, bevoegdheden en verantwoordelijkheden. Transparantie en communicatie over de voortgang is cruciaal voor een succesvolle afronding.

Implementeer samen met uw Functionaris Gegevensbescherming of Privacy Officer stapsgewijs de belangrijkste maatregelen. Heeft u nog geen FG of een Privacy Officer aangesteld? Ons team van Privacy Officers en legal consultants begeleiden u graag bij de implementatie van de AVG en overige zorgspecifieke (privacy)regelgeving in uw organisatie.

We hebben voor u de belangrijkste thema’s van de AVG op een rijtje gezet.

Naar het overzicht

AVG Proof in 3 stappen

Benieuwd hoe de AVG in uw organisatie geïmplementeerd kan worden?

Wij helpen u graag verder

Overzicht thema's AVG

Hoe staat het met de privacy van persoonsgegevens in uw organisatie?

Doe de Privacy Check

Wettelijke grondslagen AVG

Voor de verwerking van persoonsgegevens dient er altijd een wettelijke grondslag (artikel 6 lid 1 AVG) aanwezig te zijn. Uw moet aan tenminste aan één van de volgende grondslagen voldoen:

  • De betrokkene heeft toestemming gegeven voor de verwerking.
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting.
  • De verwerking dient de vitale belangen van de betrokkene.
  • De verwerking dient het algemeen belang.
  • De verwerking dient het gerechtvaardigd belang.

Nieuw in de AVG is dat de overheid het gerechtvaardigd belang niet meer mag gebruiken bij uitoefening van haar publieke taken. Belangrijk om niet te vergeten is dat uw klant bezwaar mag maken bij de grondslag gerechtvaardigd belang maar ook wanneer de verwerking plaatsvindt op basis van een publieke taak (artikel 21 AVG). Na een dergelijk bezwaar volgt (opnieuw) een belangenafweging, maar dan op basis van de informatie van het individuele geval.

In de F.AQ. treft u meer toelichting per grondslag.

Privacyrechten betrokkenen

U dient als verwerkingsverantwoordelijke ervoor te zorgen dat de betrokkenen van wie u persoonsgegevens verwerkt, hun privacyrechten goed kunnen uitoefenen. In de AVG zijn naast de bestaande rechten, twee nieuwe rechten voor betrokkene opgenomen; recht op vergetelheid en recht op dataportabiliteit. 

Met deze rechten kunnen betrokkene onder andere eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen. Ook moeten betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Overzicht van alle privacyrechten van betrokkenen treft u in de F.A.Q

Beginselen AVG

De verwerking van persoonsgegevens moeten volgens de AVG onder andere voldoen aan de volgende beginselen:

  1. Rechtmatigheid, behoorlijkheid en transparantie;
  2. Doelspecificatie en doelbinding;
  3. Dataminimalisatie;
  4. Kwaliteit van data;
  5. Beperkte bewaartermijn;
  6. Integriteit en vertrouwelijkheid;
  7. Accountability (verantwoordingsplicht).

Uit deze beginselen komen voor u als de verwerkingsverantwoordelijke bepaalde verplichtingen voort. U dient als zorgaanbieder onder andere te voldoen aan de volgende verplichtingen.

Naar uitleg van de beginselen

Functionaris Gegevensbescherming

Op het moment dat de AVG van toepassing is, kan het zijn dat u als zorgaanbieder verplicht bent een Functionaris Gegevensbescherming (FG) aan te stellen.

De FG is een sleutelfiguur binnen de organisatie als het gaat om het toepassen en naleven van de AVG. De FG is echter niet verantwoordelijk voor de naleving van de regels op het gebied van gegevensbescherming. Dat is de zorgaanbieder of andere organisatie die persoonsgegevens verwerkt zelf.Een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.

De AVG stelt in een drietal gevallen de aanstelling van een FG verplicht:

1. Overheden, publieke organisaties en zorginstellingen
Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Dit geldt dus ook voor zorginstellingen en gemeenten.

2. Observatie
De verplichting geldt ook voor organisaties actief in de zorg die vanuit de hun primaire processen op grote schaal patiënten volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen en monitoring van iemands gezondheid.

3. Bijzondere persoonsgegevens
Ook organisaties die op grote schaal ‘bijzondere persoonsgegevens’ verwerken moeten een FG benoemen. Het gaat hierbij dan om gegevens over iemands gezondheid. Dat betekent dat zorgaanbieders,

De AVG beschrijft daarbij nauwkeurig aan welke eisen de FG dient te voldoen en waar de FG binnen de organisatie moet zijn gepositioneerd.

Hij dient daarbij onafhankelijk zijn werkzaamheden te kunnen uitoefenen. Ook op het moment dat u niet verplicht bent om een FG aan te stellen, kan het verstandig zijn een functionaris met deze taken in uw organisatie te benoemen. Om verwarring te voorkomen, is het verstandig die functionaris niet aan te duiden als FG, maar bijvoorbeeld aan te duiden als “privacy functionaris”. Dan is duidelijk dat op die functionaris niet de eisen van de AVG van toepassing zijn.

Een FG kan ook op grond van een servicecontract door een organisatie buiten de organisatie van de verantwoordelijke (de zorgaanbieder zelf) worden ingevuld. Op basis van een dergelijk servicecontract kan de externe organisatie met verschillende functionarissen met ieder hun eigen expertise gezamenlijk als een team de rol van FG invullen. Binnen dit team fungeert één persoon als hoofdcontactpersoon.

Wilt u meer weten over welke eisen nog meer gelden voor het aanstellen van een Functionaris Gegevensbescherming in uw organisatie?

Lees meer over de rol van de FG

Privacy Impact Assessments

Bij de inwerkingtreding van de AVG (25 mei 2018) kan het zijn dat zorgaanbieders verplicht zijn een privacy impact assessment (PIA) uit te voeren.

Hiermee worden de privacyrisico’s in kaart gebracht op een gegevensverwerking. Op basis van de uitkomsten van de PIA neemt de zorgaanbieder vervolgens de nodige maatregelen om deze risico’s te verkleinen.

Een PIA hoeft niet voor alle gegevensverwerkingen te worden uitgevoerd. Dit is enkel nodig op het moment dat de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Hiervan is in ieder geval sprake op het moment dat op grote schaal bijzondere persoonsgegevens worden verwerkt.

Omdat gegevens betreffende de gezondheid zijn aangemerkt als bijzondere persoonsgegevens in de AVG, zullen zorgaanbieders in ieder geval op gegevensverwerkingen waarbij op grote schaal gezondheidsgegevens worden verwerkt, een PIA uit moeten voeren.

De werkgroep van Europese privacytoezichthouders (WP 29) heeft criteria opgesteld om het risico te bepalen.Daarnaast zal de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen publiceren waarvoor een PIA verplicht is.

Op het moment dat u vaststelt dat u niet verplicht bent een PIA uit te voeren, kan het toch verstandig zijn er een uit te voeren.

Met een PIA krijgt u namelijk onder meer inzicht in de risico’s in verband met de gegevensverwerkingen binnen uw organisatie en denkt u bewust na over de impact hiervan voor uw cliënten/patiënten.

Met het in kaart brengen van de doelstellingen van een bepaalde verwerking en de maatregelen die u neemt, werkt u tevens aan maatregelen die zo min mogelijk inbreuk maken op de privacy van uw cliënten/patiënten.

Neemt u hierbij overigens ook de verwerkingen in verband met uw medewerkers mee, zodat u bij de risico analyse goed inzicht verkrijgt in de gehele organisatie.

De uitvoering van een PIA kan nooit kwaad en draagt sowieso bij aan een goede invulling van uw privacybeleid.

Meer weten over het uitvoeren van een PIA voor uw organisatie?

Naar F.A.Q over P.I.A.

Recht op Dataportabiliteit

Met de komst van de AVG krijgen personen van wie persoonsgegevens worden verwerkt een nieuw recht: het recht op dataportabiliteit.

Met dit recht krijgen ook cliënten/patiënten van zorgaanbieders het recht om de gegevens die van hen worden verwerkt op te vragen en te ontvangen. Deze gegevens kunnen cliënten/patiënten vervolgens zelf opslaan voor persoonlijk gebruik. Ook kunnen zij deze gegevens doorgeven aan een andere organisatie, bijvoorbeeld op het moment dat zij overstappen naar een nieuwe zorgaanbieder.

Als zorgaanbieder dient u ervoor te zorgen dat cliënten/patiënten hun gegevens op een eenvoudige wijze kunnen ontvangen, zodanig dat zij deze ook door kunnen geven aan een nieuwe zorgaanbieder. De zorgaanbieder mag hen hierin niet tegenwerken.

Heeft u vragen over dataportabiliteit en andere rechten van patiënten omtrent hun privacy?

Naar F.A.Q.

Register verwerkingsactiviteiten

De meldplicht vooraf een verwerking van persoonsgegevens aan de AP (art. 27 Wet bescherming persoonsgegevens) is niet meer opgenomen in de AVG.

Hierdoor dient iedere verwerkingsverantwoordelijke en verwerker een register bij te houden van de verwerkingsactiviteiten die zij uitvoeren (art. 30 en art. 30 lid 2 AVG). Dit kunnen verwerkingen zijn die een wettelijke grondslag hebben, maar ook verwerkingen waarvoor toestemming gegeven is door de betrokkene. Het register dient schriftelijk, waaronder in elektronische vorm, opgesteld te worden. Wanneer de Autoriteit Persoonsgegevens daar om vraagt, dienen zij het register ter beschikking te stellen (art. 30 lid 4 AVG).Het bijhouden van de register met de verwerkingsactiviteiten is verplicht voor alle zorgaanbieders waarbij het waarschijnlijk is dat verwerkingen die worden verricht;

  • een risico inhoudt voor de rechten en vrijheden van de betrokken;
  • niet incidenteel is;
  • of bijzondere gegevens betreft (art. 9 lid 1 AVG);
  • of persoonsgegevens beftreft in verband met strafrechtelijke veroordelingen en strafbare feiten (art. 10 AVG)

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke houdt de volgende gegevens in het register bij:

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen (Van wie worden persoonsgegevens verwerkt? Bijvoorbeeld van burgers, oud-werknemers, zorgbehoevenden);
  • een beschrijving van de categorieën van persoonsgegevens (Wat voor persoonsgegevens worden er verwerkt? bijvoorbeeld BSN financiële gegevens, etc.);
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  • doorgiften van persoonsgegevens aan een derde land of internationale organisatie (indien van toepassing);
  • indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om te beveiligen.

Verwerker

De verwerker houdt de volgende gegevens in het register bij:

  • de naam en de contactgegevens van de verwerkers, van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;
  • de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing);
  • indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om te beveiligen.

Heeft u vragen over het registreren van verwerkingactiviteiten?

Wij ondersteunen u graag hierbij

Recht op vergetelheid

Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt. Dit recht lijkt op het huidige recht op correctie en verwijdering (artikel 36 van de Wet bescherming persoonsgegevens).

Maar is in de AVG breder en beperkt zich niet alleen tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens. Het recht op vergetelheid geldt trouwens niet altijd. Alleen in de volgende situaties is het recht op vergetelheid van toepassing.

De voorwaarden van het recht op vergetelheid

  • Niet meer nodig
    De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.
  • Intrekken toestemming
    De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
  • Bezwaar
    De betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.
  • Onrechtmatige verwerking
    De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
  • Wettelijk bepaalde bewaartermijn
    De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
  • Kinderen
    De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).

Informatieplicht

Zorgaanbieders zijn verplicht hun patiënten te informeren over de gegevens die zij over hen verwerken, voor welk doel dat gebeurt, in voorkomend geval ook wie mogelijke ontvangers van deze gegevens zijn. Ook dient de betrokkene geïnformeerd te worden over degene van wie de gegevens zijn ontvangen, op het moment dat de zorgaanbieder deze niet zelf heeft verzameld. De bedoeling van deze regeling in de AVG is patiënten meer inzage en vervolgens ook zeggenschap te geven over de verwerking van hun gegevens.

Lees meer over de informatieplicht

Privacy by default & design

Artikel 25 AVG stelt dat technische en organisatorische maatregelen genomen moeten worden gedurende het gehele proces van het verwerken van persoonsgegevens. Het doel van deze technische en organisatorische maatregelen is om de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren. Bijvoorbeeld minimale gegevensverwerking. Daarnaast moeten de nodige waarborgen in de verwerking ingebouwd worden ter naleving van de AVG en ter bescherming van de rechten van de betrokkenen.

Bij privacy by design houdt u al tijdens het ontwerpen van producten en diensten rekening met de goede bescherming van persoonsgegevens. Bij privacy by default moet u technische en organisatorische maatregelen nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Wij raden zorgaanbieders aan om nu al te starten de gehele organisatie vertrouwd te maken met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default.

Wilt u weten hoe Cure4 uw organisatie kan ondersteunen bij de invoering van deze en andere AVG verplichtingen?

Vraag het aan de expert.

Meest gestelde vragen over de AVG in één overzicht?

Raadpleeg het nu

Workshop & Training

Kennissessie | Aftellen naar AVG

3 aprilAVG | GDPRFunctionaris GegevensbeschermingPrivacy OfficersUtrecht

Starterskit | Privacy in de Zorg

AVG | GDPRFunctionaris Gegevensbeschermingincompanynul-metingPrivacy Officers

Workshop | Privacy Awareness in de Zorg

AVG Helpdeskbewustwordingdatum in overlegin-companyPrivacysecurity

Wij helpen u graag verder

Wilt u specifieke informatie ontvangen over bijvoorbeeld de nul-meting of over het aanstellen van Functionaris Gegevensbescherming?

  •  *
  •  *
  •  *
  •  *
  •  *

Publicaties AVG

Blog Privacy | Aftellen naar de inwerkingtreding van de AVG

09 January 2018

De Uitvoeringswet AVG biedt ruimte om een nationale uitvoering aan de AVG te geven. Hoe precies?

Tips Privacy | Hoe laat ik mijn organisatie privacy ademen?

03 April 2017

Bescherming van de privacy van patiënten, hoe zorg je daar nou voor? Wet- en regelgeving geeft een …

Blog Privacy | OR óók voor privacyrechten van werknemer

25 September 2017

De komst van de Algemene Verordening Gegevensbescherming (AVG) zorgt ervoor dat organisaties ook ste…

Tips Privacy | Wat u echt móet weten van de AVG

30 August 2017

De Algemene Verordening Gegevensbescherming (AVG) treedt al op 25 mei 2018 in werking. Maar nog stee…

Blog Privacy | AP biedt 10-stappenplan voor AVG

01 May 2017

Op 13 april jl. heeft de Autoriteit Persoonsgegevens (AP) een 10-stappenplan gepubliceerd aan de han…

Blog Privacy | Gemeenten zo lek als een mandje?

03 April 2017

Wees zorgvuldig met uitwisseling van patiëntgegevens. Aangezien gemeenten nu ook verantwoordelijk z…

©2018 Cure4 |

Werken bij Cure4 | Disclaimer | Privacy Statement | Over Cure4 | Aanmelden Nieuwsbrief
Contact