Medische gegevens

Volgens de Wet bescherming persoonsgegevens (Wbp) worden gegevens over iemands gezondheid aangemerkt als bijzondere persoonsgegevens.

Het gaat hierbij niet alleen om medische gegevens die u als zorgaanbieder, softwareleverancier, gemeente of zorgverzekeraar vaststelt en vastlegt, maar om alle gegevens over iemands lichamelijke of geestelijke gezondheid. Ook de registratie van een naam en adres van iemand bij een zorginstelling kan worden aangemerkt als bijzondere persoonsgegevens.

Privacy & Security

Op grond van de Wbp moet u medische gegevens goed beveiligen.

U moet er bijvoorbeeld voor zorgen dat alleen bevoegde personen toegang hebben tot het dossier van uw patiënten.We geven u graag meer tips voor de privacy en security van bijzondere persoonsgegevens.

  1. Zorg dat uw beveiligingsmaatregelen up-to-date zijn.
  2. Zorg dat u inzichtelijk hebt welke persoonsgegevens binnen uw organisatie worden verwerkt, hoe die worden verwerkt en voor welk doel die worden verwerkt.
  3. Zorg dat u op de juiste wijze autorisaties voor toegang tot persoonsgegevens heeft vastgelegd.
  4. Informeer uw medewerkers over het belang van een passende beveiliging van persoonsgegevens en welke rol zij hierbij spelen.
  5. Maak afspraken, intern en ook met uw bewerkers, over het voorkomen en herstellen van beveiligingsincidenten en datalekken.
  6. Maak een draaiboek voor het moment dat zich een beveiligingsincident of datalek voordoet.

Heeft u hulp nodig bij de beveiliging van medische gegevens? Wij ondersteunen u graag.
Neem contact op

Thema's Medische Gegevens

Kracht van een goede bewerkersovereenkomst

Op grond van de wet (Wbp) moet u een bewerkersovereenkomst sluiten op het moment dat u een bewerker inschakelt. In een bewerkersovereenkomst worden onder meer afspraken gemaakt over de beveiligingsmaatregelen die de bewerker moet treffen en onder welke voorwaarden de bewerker de persoonsgegevens verder mag verwerken.

Wanneer u als zorgaanbieder een bewerker inschakelt, moet u ervoor zorgen dat de bewerker voldoende waarborgen biedt voor de beveiliging, bijvoorbeeld door te laten zien welke beveiligingsmaatregelen de bewerker treft en hoe hij deze onderhoudt.

De verantwoordelijke moet ook monitoren of de bewerker de besproken maatregelen naleeft. Dit kan door bijvoorbeeld een auditmogelijkheid op te nemen in de bewerkersovereenkomst. In de praktijk is niet altijd even duidelijk wie de verantwoordelijke en wie de bewerker is ten aanzien van bepaalde verwerkingen van persoonsgegevens. Probeer dit zo goed mogelijk in kaart te brengen. Pas dan kun je bepalen of, en zo ja met wie, je een bewerkersovereenkomst moet sluiten.

Tips voor een goede bewerkersovereenkomst

U doet er goed aan om in uw organisatie te inventariseren of en welke afspraken zijn gemaakt met bewerkers. Waar moet u zeker op letten bij het aangaan van een bewerkersovereenkomst?

Maak in ieder geval afspraken over:

  • het soort persoonsgegevens dat verzameld wordt;
  • met welk doel de persoonsgegevens worden verwerkt;
  • de duur van de verwerking van de persoonsgegevens;
  • de beveiligingsmaatregelen die genomen moeten worden, bijvoorbeeld NEN 7510 certificering of ISO 270001;
  • een auditmogelijkheid om de naleving door de bewerker te kunnen controleren;
  • een geheimhoudingsplicht voor de bewerker en het personeel;
  • de handelwijze wanneer zich een datalek voordoet;
  • de verwerking van de persoonsgegevens buiten de EU (verbod om dit zonder toestemming te doen);
  • de inzet van sub-bewerkers (verbod om dit zonder toestemming te doen).

Heeft u hulp nodig bij het opstellen van een bewerkersovereenkomst? Wij ondersteunen u graag.

Neem contact op

Materiële Controles

Enerzijds financieren zorgverzekeraars de door zorgaanbieders geleverde zorg terwijl ze ook een controlerende taak hebben.

Als het gaat om de rechtmatigheid en de doelmatigheid van de geleverde zorg hebben zorgverzekeraars een controlerende taak. Met name waar het gaat om die controlerende taak kan het zijn dat de werkzaamheden die zorgverzekeraars uitvoeren op gespannen voet staan met de bescherming van de privacy van patiënten.

Lees meer over Materiële Controles

Van onbewust onbekwaam naar bewust bekwaam!

Workshop Privacy Awareness

Informatieplicht en AVG

De bedoeling van deze regeling in de AVG is patiënten meer inzage en vervolgens ook zeggenschap te geven over de verwerking van hun gegevens.

Zorgaanbieders zijn verplicht hun patiënten te informeren over de gegevens die zij over hen verwerken, voor welk doel dat gebeurt, in voorkomend geval ook wie mogelijke ontvangers van deze gegevens zijn.

Lees meer over Informatieplicht en AVG

F.A.Q.

Mag ik als zorgverlener gegevens van patiënten aan een extern onderzoeksbureau verstrekken voor kwaliteitsonderzoek?

De Wet cliëntenrechten zorg (WCZ) verplicht zorgaanbieders om informatie te geven over hun kwaliteit. Deze informatie is via een publieke website toegankelijk voor patiënten en zorgverzekeraars. Wilt u onderzoek laten doen naar de kwaliteit van uw zorgverlening? Dan kunt u hiervoor onder strikte voorwaarden een extern onderzoeksbureau inschakelen.

U besteedt de verwerking van de gegevens van uw patiënten dan uit. Dat betekent dat u een zogeheten bewerkersovereenkomst moet afsluiten met het bureau.

Bewerkersovereenkomst
Het onderzoeksbureau is uw bewerker. Dat houdt in dat het bureau in opdracht van u persoonsgegevens verwerkt. U moet daarom een schriftelijke overeenkomst afsluiten met het onderzoeksbureau.

Deze bewerkersovereenkomst moet specifiek ingaan op de maatregelen die het bureau treft om de gegevens van uw patiënten te beschermen. Zoals de beveiliging en de geheimhouding van de gegevens.

Uw verantwoordelijkheid
Let op: u blijft zelf verantwoordelijk voor de verwerking van de gegevens van uw patiënten. U moet erop toezien dat het onderzoeksbureau de maatregelen naleeft. En dat het bureau niet meer gegevens verwerkt dan noodzakelijk is om het kwaliteitsonderzoek uit te voeren.

Ook moet u ervoor zorgen dat het onderzoeksbureau de persoonsgegevens slechts in opdracht van u verwerkt. Het bureau mag de verkregen gegevens dus niet voor eigen gebruik inzetten of verder verwerken. Dit mag alleen als de patiënt hiervoor toestemming heeft gegeven.

bron: Autoriteit Persoonsgegevens

Wat merken mensen van wie persoonsgegevens worden verwerkt van de AVG?

Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid.

Toestemming
In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Aanvullende rechten
Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.

Zij hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

bron: Autoriteit Persoonsgegevens

Wie is de verantwoordelijke en wie de betrokkene bij het verwerken van persoonsgegevens?

De verantwoordelijke is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. De verantwoordelijke kan dit alleen doen of samen met anderen. Het houdt in dat de verantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:

  • om welke verwerking het gaat;
  • welke persoonsgegevens de organisatie hierbij verwerkt;voor welk doel de organisatie dit doet;
  • op welke manier de organisatie dit doet.

De betrokkene is degene van wie een organisatie persoonsgegevens verwerkt. Dit is dus degene op wie de persoonsgegevens betrekking hebben.

bron: Autoriteit Persoonsgegevens

Wie is de bewerker bij het verwerken van persoonsgegevens?

Een bewerker is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. Bijvoorbeeld een administratiekantoor.

Een bewerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. Maar de bewerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.

bron: Autoriteit Persoonsgegevens

Handleiding voor verwerkers van persoonsgegevens

Download de handleiding voor verwerkers van persoonsgegevens voor professionals.

Download handleiding
Wat houdt verwerken van persoonsgegevens in?

Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen.
Dit is dus een zeer ruim begrip. Handelingen die er volgens de Wet bescherming persoonsgegevens (Wbp) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

bron: Autoriteit Persoonsgegevens

Welke bijzondere persoonsgegevens zijn er?

Bijzondere persoonsgegevens zijn gegevens over iemands:

  • godsdienst of levensovertuiging;
  • ras;
  • politieke voorkeur;
  • gezondheid;
  • seksuele leven;
  • lidmaatschap van een vakbond;
  • strafrechtelijk verleden.

Ook het burgerservicenummer (BSN) is een bijzonder persoonsgegeven, omdat het een uniek en tot de persoon herleidbaar nummer is.

Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is.

bron: Autoriteit Persoonsgegevens

Moet de FG bijhouden welke gegevens mijn organisatie verwerkt?

U bent er als organisatie verantwoordelijk voor om overzicht te houden van de gegevensverwerkingen binnen uw organisatie. De FG heeft deze verantwoordelijkheid niet.

Maar in de praktijk houden FG’s al vaak een lijst bij van de gegevensverwerkingen. Vooral bij risicovolle verwerkingen. Hoewel deze taak niet tot de wettelijke taken van de FG behoort, kunt u ervoor kiezen deze taak bij de FG onder te brengen.

bron: Autoriteit Persoonsgegevens

Workshops & Training

Masterclass Gegevensuitwisseling in de zorg

Realiseer een zorgvuldige en veilige omgang met gezondheidsgegevens. Hoe? Door de opleiding Gegevensuitwisseling in de Zorg te volgen. Als zorgprofessional dient u goed op de hoogte te zijn van de vereiste kennis die komt kijken bij het verantwoord en veilig uitwisselen van medische gegevens in het zorgdomein. De opleiding Gegevensuitwisseling in de Zorg geeft u actuele kennis en concrete handvatten voor het zorgvuldig verwerken en delen van gezondheidsgegevens. Hiermee verkleint u de kans op data-incidenten en forse boetes van toezichthouders. Deze masterclass wordt in samenwerking met IIR georganiseerd. IIR is een erkende opleider en ze zijn expert in het organiseren van trainingen in de vakgebieden Industry, ICT en Finance.

Meer informatie over de masterclass

Workshop Privacy Awareness

Reageren op phishing mails, verliezen van USB-sticks en het (on)bewust ongeautoriseerd delen of opslaan van gevoelige informatie zijn de meest voorkomende incidenten. Bewustwording van de wijze waarop persoonsgegevens in een organisatie worden verwerkt, is een eerste stap om ervoor te zorgen dat vervolgens de nodige maatregelen worden genomen om waar nodig processen en werkwijzen aan te passen.

In deze workshop leren medewerkers welke rol zij hebben en wat hun verantwoordelijkheden zijn binnen de organisatie, als het gaat om informatiebeveiliging.

Lees meer over de workshop Privacy Awareness

Publicaties Privacy medische gegevens

Tips Privacy | Wat u echt móet weten van de AVG

30 August 2017

De Algemene Verordening Gegevensbescherming (AVG) treedt al op 25 mei 2018 in werking. Maar nog stee…

Tips Privacy | Hoe laat ik mijn organisatie privacy ademen?

03 April 2017

Bescherming van de privacy van patiënten, hoe zorg je daar nou voor? Wet- en regelgeving geeft een …

Blog Privacy | Awareness over privacy in de zorg is ondermaats

01 May 2017

Op uitnodiging van Computable was ik één van de vijf experts om mee te doen aan een paneldiscussi…

Gerelateerde expertise

©2018 Cure4 |

Werken bij Cure4 | Privacy statement | Disclaimer | Over Cure4 | Aanmelden Nieuwsbrief
Contact