Maak inzichtelijk in hoeverre de AVG is geïmplementeerd in de organisatie
Als zorgaanbieder ben je verplicht om de verwerking van persoonsgegevens in uw organisatie volgens de eisen van de AVG te organiseren. Als het goed is heeft er een degelijke voorbereiding plaatsgevonden en is nu inzichtelijk gemaakt welke maatregelen nodig zijn om te voldoen aan de AVG.
Het is nu zaak om deze maatregelen stapsgewijs en op een juiste manier in de organisatie te implementeren en te borgen.
Wij helpen je hier graag bij. Op deze pagina tref je de belangrijkste informatie en tips om de AVG zo goed mogelijk te implementeren in je organisatie.
Hoe implementeer je de AVG op een goede manier?
Is er nog geen FG of een Privacy Officer aangesteld? Wij helpen jouw organisatie bij de implementatie van de AVG en andere belangrijke wet- en regelgeving rondom kwaliteit, financiering en patientenrecht.
Wettelijke grondslagen AVG
Privacyrechten betrokkenen
Beginselen AVG
Functionaris Gegevensbescherming
Privacy Impact Assessments
Recht op Dataportabilliteit
Register verwerkingsactiviteiten
Recht op Vergetelheid
Informatieplicht AVG
Privacy by default & design
Voor de verwerking van persoonsgegevens dient er altijd een wettelijke grondslag (artikel 6 lid 1 AVG) aanwezig te zijn. Uw moet aan tenminste aan één van de volgende grondslagen voldoen:
De AVG stelt dat de overheid het gerechtvaardigd belang niet meer mag gebruiken bij uitoefening van haar publieke taken. Belangrijk om niet te vergeten is dat uw cliënt/patiënt bezwaar mag maken bij de grondslag gerechtvaardigd belang. Ook wanneer de verwerking plaatsvindt op basis van een publieke taak (artikel 21 AVG). Na een dergelijk bezwaar volgt (opnieuw) een belangenafweging, maar dan op basis van de informatie van het individuele geval.
In de F.AQ. treft u meer toelichting per grondslag.
U dient als verwerkingsverantwoordelijke ervoor te zorgen dat de betrokkenen van wie u persoonsgegevens verwerkt, hun privacyrechten goed kunnen uitoefenen. In de AVG zijn naast twee belangrijke rechten voor betrokkene opgenomen; recht op vergetelheid en recht op dataportabiliteit.
Met deze rechten kunnen betrokkene onder andere eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen. Ook moeten betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
Overzicht van alle privacyrechten van betrokkenen treft u in de F.A.Q
De verwerking van persoonsgegevens moeten volgens de AVG onder andere voldoen aan de volgende beginselen:
Uit deze beginselen komen voor u als de verwerkingsverantwoordelijke bepaalde verplichtingen voort. U dient als zorgaanbieder onder andere te voldoen aan de volgende verplichtingen.
U bent als zorgaanbieder verplicht een Functionaris Gegevensbescherming (FG) aan te stellen.
De FG is een sleutelfiguur binnen de organisatie als het gaat om het toepassen en naleven van de AVG. De FG is echter niet verantwoordelijk voor de naleving van de regels op het gebied van gegevensbescherming. Dat is de zorgaanbieder of andere organisatie die persoonsgegevens verwerkt zelf.Een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.
De AVG stelt in een drietal gevallen de aanstelling van een FG verplicht:
1. Overheden, publieke organisaties en zorginstellingen
Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Dit geldt dus ook voor zorginstellingen en gemeenten.
2. Observatie
De verplichting geldt ook voor organisaties actief in de zorg die vanuit de hun primaire processen op grote schaal patiënten volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen en monitoring van iemands gezondheid.
3. Bijzondere persoonsgegevens
Ook organisaties die op grote schaal ‘bijzondere persoonsgegevens’ verwerken moeten een FG benoemen. Het gaat hierbij dan om gegevens over iemands gezondheid. Dat betekent dat zorgaanbieders,
De AVG beschrijft daarbij nauwkeurig aan welke eisen de FG dient te voldoen en waar de FG binnen de organisatie moet zijn gepositioneerd.
Hij dient daarbij onafhankelijk zijn werkzaamheden te kunnen uitoefenen. Ook op het moment dat u niet verplicht bent om een FG aan te stellen, kan het verstandig zijn een functionaris met deze taken in uw organisatie te benoemen. Om verwarring te voorkomen, is het verstandig die functionaris niet aan te duiden als FG, maar bijvoorbeeld aan te duiden als “privacy functionaris”. Dan is duidelijk dat op die functionaris niet de eisen van de AVG van toepassing zijn.
Een FG kan ook op grond van een servicecontract door een organisatie buiten de organisatie van de verantwoordelijke (de zorgaanbieder zelf) worden ingevuld. Op basis van een dergelijk servicecontract kan de externe organisatie met verschillende functionarissen met ieder hun eigen expertise gezamenlijk als een team de rol van FG invullen. Binnen dit team fungeert één persoon als hoofdcontactpersoon.
Wilt u meer weten over welke eisen nog meer gelden voor het aanstellen van een Functionaris Gegevensbescherming in uw organisatie?
Het kan zijn dat u als zorgaanbieder verplicht bent om een privacy impact assessment (PIA) uit te voeren
Met een PIA worden de privacyrisico’s in kaart gebracht op een gegevensverwerking. Op basis van de uitkomsten van de PIA neemt de zorgaanbieder vervolgens de nodige maatregelen om deze risico’s te verkleinen.
Een PIA hoeft niet voor alle gegevensverwerkingen te worden uitgevoerd. Dit is enkel nodig op het moment dat de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Hiervan is in ieder geval sprake op het moment dat op grote schaal bijzondere persoonsgegevens worden verwerkt.
Omdat gegevens betreffende de gezondheid zijn aangemerkt als bijzondere persoonsgegevens in de AVG, zullen zorgaanbieders in ieder geval op gegevensverwerkingen waarbij op grote schaal gezondheidsgegevens worden verwerkt, een PIA uit moeten voeren.
De werkgroep van Europese privacytoezichthouders (WP 29) heeft criteria opgesteld om het risico te bepalen.Daarnaast zal de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen publiceren waarvoor een PIA verplicht is.
Op het moment dat u vaststelt dat u niet verplicht bent een PIA uit te voeren, kan het toch verstandig zijn er een uit te voeren.
Met een PIA krijgt u namelijk onder meer inzicht in de risico’s in verband met de gegevensverwerkingen binnen uw organisatie en denkt u bewust na over de impact hiervan voor uw cliënten/patiënten.
Met het in kaart brengen van de doelstellingen van een bepaalde verwerking en de maatregelen die u neemt, werkt u tevens aan maatregelen die zo min mogelijk inbreuk maken op de privacy van uw cliënten/patiënten.
Neemt u hierbij overigens ook de verwerkingen in verband met uw medewerkers mee, zodat u bij de risico analyse goed inzicht verkrijgt in de gehele organisatie.
De uitvoering van een PIA kan nooit kwaad en draagt sowieso bij aan een goede invulling van uw privacybeleid.
Meer weten over het uitvoeren van een PIA voor uw organisatie?
Onder de AVG hebben personen van wie persoonsgegevens worden verwerkt een belangrijk recht: het recht op dataportabiliteit.
Hiermee krijgen cliënten/patiënten van zorgaanbieders het recht om de gegevens die van hen worden verwerkt op te vragen en te ontvangen. Als zorgaanbieder dient u ervoor te zorgen dat uw cliënten/patiënten hun gegevens op een eenvoudige wijze kunnen ontvangen, zodanig dat zij deze ook door kunnen geven aan een andere organisatie/instantie of nieuwe zorgaanbieder. U zorgaanbieder, en dus verwerker van hun gegevens, mag hen hierin niet tegenwerken.
Heeft u vragen over dataportabiliteit en andere rechten van patiënten omtrent hun privacy?
De meldplicht vooraf een verwerking van persoonsgegevens aan de AP (art. 27 Wet bescherming persoonsgegevens) is niet meer opgenomen in de AVG.
Hierdoor dient iedere verwerkingsverantwoordelijke en verwerker een register bij te houden van de verwerkingsactiviteiten die zij uitvoeren (art. 30 en art. 30 lid 2 AVG). Dit kunnen verwerkingen zijn die een wettelijke grondslag hebben, maar ook verwerkingen waarvoor toestemming gegeven is door de betrokkene. Het register dient schriftelijk, waaronder in elektronische vorm, opgesteld te worden. Wanneer de Autoriteit Persoonsgegevens daar om vraagt, dienen zij het register ter beschikking te stellen (art. 30 lid 4 AVG).
Het bijhouden van de register met de verwerkingsactiviteiten is verplicht voor alle zorgaanbieders waarbij het waarschijnlijk is dat verwerkingen die worden verricht;
De verwerkingsverantwoordelijke houdt o.a. de volgende gegevens in het register bij:
De verwerker houdt de volgende gegevens in het register bij:
Meer weten over het verwerkingsregister?
Download onze factsheet inclusief een template van een verwerkingsregister
Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt. Dit recht lijkt op het huidige recht op correctie en verwijdering (artikel 36 van de Wet bescherming persoonsgegevens).
Maar is in de AVG breder en beperkt zich niet alleen tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens. Het recht op vergetelheid geldt trouwens niet altijd. Alleen in de volgende situaties is het recht op vergetelheid van toepassing.
De voorwaarden van het recht op vergetelheid
Zorgaanbieders zijn verplicht hun patiënten te informeren over de gegevens die zij over hen verwerken, voor welk doel dat gebeurt, in voorkomend geval ook wie mogelijke ontvangers van deze gegevens zijn. Ook dient de betrokkene geïnformeerd te worden over degene van wie de gegevens zijn ontvangen, op het moment dat de zorgaanbieder deze niet zelf heeft verzameld. De bedoeling van deze regeling in de AVG is patiënten meer inzage en vervolgens ook zeggenschap te geven over de verwerking van hun gegevens.
Artikel 25 AVG stelt dat technische en organisatorische maatregelen genomen moeten worden gedurende het gehele proces van het verwerken van persoonsgegevens. Het doel van deze technische en organisatorische maatregelen is om de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren. Bijvoorbeeld minimale gegevensverwerking. Daarnaast moeten de nodige waarborgen in de verwerking ingebouwd worden ter naleving van de AVG en ter bescherming van de rechten van de betrokkenen.
Bij privacy by design houdt u al tijdens het ontwerpen van producten en diensten rekening met de goede bescherming van persoonsgegevens. Bij privacy by default moet u technische en organisatorische maatregelen nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Wij raden zorgaanbieders aan om nu al te starten de gehele organisatie vertrouwd te maken met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default.
Wilt u weten hoe Cure4 uw organisatie kan ondersteunen bij de invoering van deze en andere AVG verplichtingen?