Maak inzichtelijk welke maatregelen genomen moeten worden

Vanaf 25 mei 2018 is de AVG / GDPR in werking getreden. U bent nu als zorgaanbieder verplicht om de verwerking van persoonsgegevens in uw organisatie volgens de eisen van de AVG te organiseren. Voldoet u niet aan de AVG? Dan volgen er grote consequenties zoals torenhoge boetes en flinke reputatieschade.

Als het goed is heeft u een degelijke voorbereiding afgerond en is nu inzichtelijk gemaakt welke maatregelen nodig zijn om te voldoen aan de AVG. Het is nu zaak om de maatregelen in uw organisatie stap voor stap te implementeren. Heeft u dit nog niet inzichtelijk?

Bekijk dan onze belangrijkste tips om de AVG zo goed mogelijk te implementeren in uw organisatie.

AVG Proof in drie stappen

Maak werk van de belangrijkste maatregelen

Stel een projectteam op zodra de te nemen maatregelen inzichtelijk zijn. Het team bestaat het liefst uit afgevaardigden vanuit diverse afdelingen die de nodige ondersteuning bieden bij de implementatie. Zorg voor een heldere plan van aanpak met een duidelijke verdeling van taken, bevoegdheden en verantwoordelijkheden. Transparantie en communicatie over de voortgang is cruciaal voor een succesvolle afronding.

Implementeer samen met uw FG of Privacy Officer stapsgewijs de belangrijkste maatregelen. Heeft u nog geen FG of een Privacy Officer aangesteld? Ons team van Privacy Officers en legal consultants begeleiden u graag bij de implementatie van de AVG en overige zorgspecifieke (privacy)regelgeving in uw organisatie.

We hebben voor uw gemak de belangrijkste thema’s van de AVG op een rijtje gezet.

Naar het overzicht

Voor de verwerking van persoonsgegevens dient er altijd een wettelijke grondslag (artikel 6 lid 1 AVG) aanwezig te zijn. Uw moet aan tenminste aan één van de volgende grondslagen voldoen:

• De betrokkene heeft toestemming gegeven voor de verwerking.

• De verwerking is noodzakelijk voor de uitvoering van een overeenkomst.

• De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting.

• De verwerking dient de vitale belangen van de betrokkene.

• De verwerking dient het algemeen belang.

• De verwerking dient het gerechtvaardigd belang.

De AVG stelt dat de overheid het gerechtvaardigd belang niet meer mag gebruiken bij uitoefening van haar publieke taken. Belangrijk om niet te vergeten is dat uw cliënt/patiënt bezwaar mag maken bij de grondslag gerechtvaardigd belang. Ook wanneer de verwerking plaatsvindt op basis van een publieke taak (artikel 21 AVG). Na een dergelijk bezwaar volgt (opnieuw) een belangenafweging, maar dan op basis van de informatie van het individuele geval.

In de F.AQ. treft u meer toelichting per grondslag.

U dient als verwerkingsverantwoordelijke ervoor te zorgen dat de betrokkenen van wie u persoonsgegevens verwerkt, hun privacyrechten goed kunnen uitoefenen. In de AVG zijn naast twee belangrijke rechten voor betrokkene opgenomen; recht op vergetelheid en recht op dataportabiliteit. 

Met deze rechten kunnen betrokkene onder andere eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen. Ook moeten betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Overzicht van alle privacyrechten van betrokkenen treft u in de F.A.Q

De verwerking van persoonsgegevens moeten volgens de AVG onder andere voldoen aan de volgende beginselen:

1. Rechtmatigheid, behoorlijkheid en transparantie;
2. Doelspecificatie en doelbinding;
3. Dataminimalisatie;
4. Kwaliteit van data;
5. Beperkte bewaartermijn;
6. Integriteit en vertrouwelijkheid;
7. Accountability (verantwoordingsplicht).

Uit deze beginselen komen voor u als de verwerkingsverantwoordelijke bepaalde verplichtingen voort. U dient als zorgaanbieder onder andere te voldoen aan de volgende verplichtingen.

• aanstellen van een FG
• uitvoeren van PIA’s voor verwerkingen met een hoog risico
• aanleggen en bijhouden van een verwerkingsregister
• toepassen van privacy by design en privacy by default

Naar uitleg van de beginselen

U bent als zorgaanbieder verplicht een Functionaris Gegevensbescherming (FG) aan te stellen.

De FG is een sleutelfiguur binnen de organisatie als het gaat om het toepassen en naleven van de AVG. De FG is echter niet verantwoordelijk voor de naleving van de regels op het gebied van gegevensbescherming. Dat is de zorgaanbieder of andere organisatie die persoonsgegevens verwerkt zelf.Een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.

De AVG stelt in een drietal gevallen de aanstelling van een FG verplicht:

1. Overheden, publieke organisaties en zorginstellingen
Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Dit geldt dus ook voor zorginstellingen en gemeenten.

2. Observatie
De verplichting geldt ook voor organisaties actief in de zorg die vanuit de hun primaire processen op grote schaal patiënten volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen en monitoring van iemands gezondheid.

3. Bijzondere persoonsgegevens
Ook organisaties die op grote schaal ‘bijzondere persoonsgegevens’ verwerken moeten een FG benoemen. Het gaat hierbij dan om gegevens over iemands gezondheid. Dat betekent dat zorgaanbieders,

De AVG beschrijft daarbij nauwkeurig aan welke eisen de FG dient te voldoen en waar de FG binnen de organisatie moet zijn gepositioneerd.

Hij dient daarbij onafhankelijk zijn werkzaamheden te kunnen uitoefenen. Ook op het moment dat u niet verplicht bent om een FG aan te stellen, kan het verstandig zijn een functionaris met deze taken in uw organisatie te benoemen. Om verwarring te voorkomen, is het verstandig die functionaris niet aan te duiden als FG, maar bijvoorbeeld aan te duiden als “privacy functionaris”. Dan is duidelijk dat op die functionaris niet de eisen van de AVG van toepassing zijn.

Een FG kan ook op grond van een servicecontract door een organisatie buiten de organisatie van de verantwoordelijke (de zorgaanbieder zelf) worden ingevuld. Op basis van een dergelijk servicecontract kan de externe organisatie met verschillende functionarissen met ieder hun eigen expertise gezamenlijk als een team de rol van FG invullen. Binnen dit team fungeert één persoon als hoofdcontactpersoon.

Wilt u meer weten over welke eisen nog meer gelden voor het aanstellen van een Functionaris Gegevensbescherming in uw organisatie?

Lees meer over de rol van de FG

Het kan zijn dat u als zorgaanbieder verplicht bent om een privacy impact assessment (PIA) uit te voeren

Met een PIA worden de privacyrisico’s in kaart gebracht op een gegevensverwerking. Op basis van de uitkomsten van de PIA neemt de zorgaanbieder vervolgens de nodige maatregelen om deze risico’s te verkleinen.

Een PIA hoeft niet voor alle gegevensverwerkingen te worden uitgevoerd. Dit is enkel nodig op het moment dat de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Hiervan is in ieder geval sprake op het moment dat op grote schaal bijzondere persoonsgegevens worden verwerkt.

Omdat gegevens betreffende de gezondheid zijn aangemerkt als bijzondere persoonsgegevens in de AVG, zullen zorgaanbieders in ieder geval op gegevensverwerkingen waarbij op grote schaal gezondheidsgegevens worden verwerkt, een PIA uit moeten voeren.

De werkgroep van Europese privacytoezichthouders (WP 29) heeft criteria opgesteld om het risico te bepalen.Daarnaast zal de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen publiceren waarvoor een PIA verplicht is.

Op het moment dat u vaststelt dat u niet verplicht bent een PIA uit te voeren, kan het toch verstandig zijn er een uit te voeren.

Met een PIA krijgt u namelijk onder meer inzicht in de risico’s in verband met de gegevensverwerkingen binnen uw organisatie en denkt u bewust na over de impact hiervan voor uw cliënten/patiënten.

Met het in kaart brengen van de doelstellingen van een bepaalde verwerking en de maatregelen die u neemt, werkt u tevens aan maatregelen die zo min mogelijk inbreuk maken op de privacy van uw cliënten/patiënten.

Neemt u hierbij overigens ook de verwerkingen in verband met uw medewerkers mee, zodat u bij de risico analyse goed inzicht verkrijgt in de gehele organisatie.

De uitvoering van een PIA kan nooit kwaad en draagt sowieso bij aan een goede invulling van uw privacybeleid.

Meer weten over het uitvoeren van een PIA voor uw organisatie?

Naar F.A.Q over P.I.A.

Onder de AVG hebben personen van wie persoonsgegevens worden verwerkt een belangrijk recht: het recht op dataportabiliteit.

Hiermee krijgen cliënten/patiënten van zorgaanbieders het recht om de gegevens die van hen worden verwerkt op te vragen en te ontvangen. Als zorgaanbieder dient u ervoor te zorgen dat uw cliënten/patiënten hun gegevens op een eenvoudige wijze kunnen ontvangen, zodanig dat zij deze ook door kunnen geven aan een andere organisatie/instantie of nieuwe zorgaanbieder. U zorgaanbieder, en dus verwerker van hun gegevens, mag hen hierin niet tegenwerken.

Heeft u vragen over dataportabiliteit en andere rechten van patiënten omtrent hun privacy?

Naar F.A.Q.

De meldplicht vooraf een verwerking van persoonsgegevens aan de AP (art. 27 Wet bescherming persoonsgegevens) is niet meer opgenomen in de AVG.

Hierdoor dient iedere verwerkingsverantwoordelijke en verwerker een register bij te houden van de verwerkingsactiviteiten die zij uitvoeren (art. 30 en art. 30 lid 2 AVG). Dit kunnen verwerkingen zijn die een wettelijke grondslag hebben, maar ook verwerkingen waarvoor toestemming gegeven is door de betrokkene. Het register dient schriftelijk, waaronder in elektronische vorm, opgesteld te worden. Wanneer de Autoriteit Persoonsgegevens daar om vraagt, dienen zij het register ter beschikking te stellen (art. 30 lid 4 AVG).Het bijhouden van de register met de verwerkingsactiviteiten is verplicht voor alle zorgaanbieders waarbij het waarschijnlijk is dat verwerkingen die worden verricht;

• een risico inhoudt voor de rechten en vrijheden van de betrokken;
• niet incidenteel is;
• of bijzondere gegevens betreft (art. 9 lid 1 AVG);
• of persoonsgegevens beftreft in verband met strafrechtelijke veroordelingen en strafbare feiten (art. 10 AVG)

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke houdt de volgende gegevens in het register bij:

• de naam en de contactgegevens van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;

• de verwerkingsdoeleinden;

• een beschrijving van de categorieën van betrokkenen (Van wie worden persoonsgegevens verwerkt? Bijvoorbeeld van burgers, oud-werknemers, zorgbehoevenden);

• een beschrijving van de categorieën van persoonsgegevens (Wat voor persoonsgegevens worden er verwerkt? bijvoorbeeld BSN financiële gegevens, etc.);

• de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;

• doorgiften van persoonsgegevens aan een derde land of internationale organisatie (indien van toepassing);

• indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om te beveiligen.

Verwerker

De verwerker houdt de volgende gegevens in het register bij:

• de naam en de contactgegevens van de verwerkers, van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;

• de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;

• de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing);

• indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om te beveiligen.

Heeft u vragen over het registreren van verwerkingactiviteiten?

Wij ondersteunen u graag hierbij

Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt. Dit recht lijkt op het huidige recht op correctie en verwijdering (artikel 36 van de Wet bescherming persoonsgegevens).

Maar is in de AVG breder en beperkt zich niet alleen tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens. Het recht op vergetelheid geldt trouwens niet altijd. Alleen in de volgende situaties is het recht op vergetelheid van toepassing.

De voorwaarden van het recht op vergetelheid

• Niet meer nodig
  De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.

• Intrekken toestemming
  De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.

• Bezwaar
  De betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.

• Onrechtmatige verwerking
  De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.

• Wettelijk bepaalde bewaartermijn
  De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.

• Kinderen
  De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).

Zorgaanbieders zijn verplicht hun patiënten te informeren over de gegevens die zij over hen verwerken, voor welk doel dat gebeurt, in voorkomend geval ook wie mogelijke ontvangers van deze gegevens zijn. Ook dient de betrokkene geïnformeerd te worden over degene van wie de gegevens zijn ontvangen, op het moment dat de zorgaanbieder deze niet zelf heeft verzameld. De bedoeling van deze regeling in de AVG is patiënten meer inzage en vervolgens ook zeggenschap te geven over de verwerking van hun gegevens.

Lees meer over de informatieplicht

Artikel 25 AVG stelt dat technische en organisatorische maatregelen genomen moeten worden gedurende het gehele proces van het verwerken van persoonsgegevens. Het doel van deze technische en organisatorische maatregelen is om de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren. Bijvoorbeeld minimale gegevensverwerking. Daarnaast moeten de nodige waarborgen in de verwerking ingebouwd worden ter naleving van de AVG en ter bescherming van de rechten van de betrokkenen.

Bij privacy by design houdt u al tijdens het ontwerpen van producten en diensten rekening met de goede bescherming van persoonsgegevens. Bij privacy by default moet u technische en organisatorische maatregelen nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Wij raden zorgaanbieders aan om nu al te starten de gehele organisatie vertrouwd te maken met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default.

Wilt u weten hoe Cure4 uw organisatie kan ondersteunen bij de invoering van deze en andere AVG verplichtingen?

Vraag het aan de expert.