Wat u echt móet weten over de AVG!

Wanneer geldt de verplichting om een Functionaris Gegevensbescherming aan te stellen? Wat houdt het recht op dataportabiliteit in? En hoe dient een verplichte PIA uitgevoerd te worden?

De Algemene Verordening Gegevensbescherming (AVG) treedt al op 25 mei 2018 in werking. Maar nog steeds roept de implementatie van de nieuwe privacywetgeving bij zorgorganisaties veel vragen op. Cure4 zet voor u de belangrijkste aandachtspunten en tips voor u op een rij.

Houdt rekening met het volgende:

#1 | De Algemene Verordening Gegevensbescherming (AVG) geldt voor alle Europese organisaties

Op 25 mei 2018 treedt de nieuwe Europese privacywetgeving AVG in werking en zal de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. Deze nieuwe verordening schetst voor alle organisaties in de Europees Unie (dus ook zorginstellingen) de nieuwe randvoorwaarden omtrent de opslag, het gebruik en de verwerking van persoonsgegevens.

Het zorgt onder meer voor versterking en uitbreiding van privacyrechten van burgers, meer verantwoordelijkheden voor organisaties die persoonsgegevens verwerken en steviger bevoegdheden voor alle Europese privacytoezichthouders.

Beginselen van de AVG.

#2 | grote consequenties bij het niet naleven van de AVG

De sancties bij het niet voldoen aan de AVG liegen er niet om: een boete van maximaal 4 procent van de jaaromzet of 20 miljoen euro. Daar komt nog eens een flinke reputatieschade bij.

Er zijn twee categorieën overtredingen en bijbehorende maximale boetes:

1.Komt een verantwoordelijke organisatie de onder de AVG bepaalde verplichtingen, zoals een documentatieplicht, niet na? Dan volgt een boete van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

2.Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen? Dan kan er een boete opgelegd worden van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

De Autoriteit Persoonsgegevens zijn belast met de controle op naleving en het uitdelen van boetes.

#3 | breng alle gegevensverwerkingen in kaart

In de AVG is de meldplicht voor verwerkingen van persoonsgegevens aan de Autoriteit persoonsgegevens (art. 27 Wet bescherming persoonsgegevens) niet opgenomen. Dus verwerkingen hoeven niet meer vooraf aan de AP gemeld worden. Maar met de komst van de AVG dienen wel alle verwerkingsactiviteiten in een register opgenomen te worden. Het bijhouden van de register met de verwerkingsactiviteiten is verplicht voor alle zorgaanbieders waarbij het waarschijnlijk is dat verwerkingen die worden verricht;

  • een risico inhoudt voor de rechten en vrijheden van de betrokken;
  • niet incidenteel is;
  • of bijzondere gegevens betreft (art. 9 lid 1 AVG);
  • of persoonsgegevens beftreft in verband met strafrechtelijke veroordelingen en strafbare feiten (art. 10 AVG)

Registreer dus zorgvuldig alle verwerkingen in uw organisatie en houdt dit nauwkeurig bij. Vergeet ook niet in kaart te brengen welke persoonsgegevens door externe aanbieders worden bewaard en verwerkt!

Meer over het register van de verwerkingsactiviteiten.

#4 | bepaal de wettelijke grondslagen van de gegevensverwerkingen

Het doel van verzamelen dient vooraf en voordat gegevens überhaupt worden opgevraagd, bepaald te worden. Voor elke verwerking van persoonsgegevens dient er een wettelijke grondslag aanwezig te zijn. De verwerking moet aan tenminste aan één van de zes grondslagen voldoen.

  • De betrokkene heeft toestemming gegeven voor de verwerking.
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting.
  • De verwerking dient de vitale belangen van de betrokkene.
  • De verwerking dient het algemeen belang.
  • De verwerking dient het gerechtvaardigd belang.

Lees meer over de wettelijke grondslagen.

#5 | houdt u zich aan de informatieplicht

Zorgaanbieders zijn verplicht hun patiënten te informeren over de gegevens die zij over hen verwerken, voor welk doel dat gebeurt, in voorkomend geval ook wie mogelijke ontvangers van deze gegevens zijn. Ook dient de zorgaanbieder de betrokkene te informeren van wie de gegevens zijn ontvangen op het moment dat de aanbieder deze niet zelf heeft verzameld.

De bedoeling van deze regeling in de AVG is patiënten meer inzage en vervolgens ook zeggenschap te geven over de verwerking van hun gegevens. Houdt hierbij rekening mee met de privacyrechten van betrokkenen.

Meer over de informatieplicht.

#6 | de privacyrechten van betrokkenen moeten gewaarborgd zijn

Onder de AVG krijgen betrokkenen meer en verbeterde privacyrechten. U dient ervoor te zorgen dat de mensen van wie u persoonsgegevens verwerkt, hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering.

Maar houd ook rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Bekijk het overzicht van alle privacyrechten.

#7 | breng vooraf privacyrisico’s in kaart middels een privacy impact assessment (PIA)

Het kan zijn dat u verplicht bent een zogeheten privacy impact assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. U dient een PIA uit te voeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Het is in ieder geval verplicht als een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling.
    Het geven van toestemming moet gebeuren op basis van een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Bijvoorbeeld door zelf een checkbox aan te vinken waarmee hij of zij toestemming geeft voor de betreffende verwerking. Maar let op! Formuleringen zoals ‘Door gebruik te maken van onze producten of diensten ga je akkoord met onze voorwaarden’ zijn niet toegestaan. Informeer gebruikers altijd zo transparant mogelijk over de verwerking van diens persoonsgegevens, en vraag expliciet om toestemming.
  • op grote schaal bijzondere persoonsgegevens.
    Het geven van toestemming moet gebeuren op basis van een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Bijvoorbeeld door zelf een checkbox aan te vinken waarmee hij of zij toestemming geeft voor de betreffende verwerking. Maar let op! Formuleringen zoals ‘Door gebruik te maken van onze producten of diensten ga je akkoord met onze voorwaarden’ zijn niet toegestaan. Informeer gebruikers altijd zo transparant mogelijk over de verwerking van diens persoonsgegevens, en vraag expliciet om toestemming.
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Lees hier meer over de PIA

#8 | stel zo snel mogelijk een Functionaris Gegevensbescherming aan

Op het moment dat de AVG van toepassing is, kan het zijn dat u als zorgaanbieder verplicht bent een Functionaris Gegevensbescherming (FG) aan te stellen. De FG is een sleutelfiguur binnen de organisatie als het gaat om het toepassen en naleven van de AVG.

Maar de FG is niet verantwoordelijk voor de naleving van de regels op het gebied van gegevensbescherming. Deze verantwoordelijkheid ligt bij de zorgaanbieder of een andere organisatie die persoonsgegevens verwerkt. Bepaal alvast of dit voor uw organisatie geldt en wacht niet te lang met het werven van een FG.

Meer over de verplichte aanstelling van een Functionaris Gegevensbescherming.

#9 | privacy by design & privacy by default

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Bij privacy by default moet u technische en organisatorische maatregelen nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.

De AP raadt organisaties aan om nu al te starten de gehele organisatie vertrouwd te maken met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default. Ook geeft de AP advies over hoe deze beginselen het beste binnen uw organisatie kunt invoeren.

Lees meer over privacy by default & design

#10 | de Meldplicht Datalekken blijft gelden

Veel bedrijven waren bang dat de AVG de meldplicht datalekken zou aanpassen, maar goed nieuws: de meldplicht datalekken blijft onder de AVG grotendeels ongewijzigd. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan.

U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.

Lees hier meer over de meldplicht datalekken

#11 | neem het cookie beleid van uw website(s) onder de loep

Door het plaatsen van bepaalde cookies op websites worden gegevens van bezoekers verzameld. Veel websites van zorgaanbieders bevatten zogenaamde tracking cookies.

Tracking cookies zijn cookies, die organisaties op apparatuur, bijvoorbeeld een computer, laptop of smartphone, plaatsen en waarmee zij bij kunnen houden welke internetpagina’s iemand bezoekt. Hieruit worden voorkeuren of interesses afgeleid op basis waarvan vervolgens persoonlijke aanbiedingen aan die persoon gedaan worden.

Omdat de gegevens die verzameld worden door tracking cookies mogelijk iets kan zeggen over de gezondheid van de bezoeker, is het van belang om als zorgaanbieder goed in kaart te brengen welke cookies u plaatst en hoe ze gebruikt mogen worden volgens de Cookiewet.

Zorgaanbieders die tracking cookies op hun website gebruiken zonder toestemming van de bezoeker, lopen het risico op een boete of dwangsommen van de AP. Met het enkel vragen van voorafgaande toestemming voor het plaatsen van tracking cookies bent u er dan ook nog niet. De verwerking van de gegevens die u verzamelt met de cookies zal moeten voldoen aan alle eisen die de AVG stelt aan de verwerking van gezondheidsgegevens.

AVG HELPDESK

Veel zorgaanbieders beseffen nog niet goed hoe groot de impact van de AVG zal hebben in de organisatie. De nieuwe verordening treedt direct in werking dus er is géén sprake van een overgangstermijn.

Onze Privacy Officers en legal consultant kunnen uw organisatie helpen om compliant te zijn aan alle privacywet- en regelgeving in de zorg.

Naar de AVG Helpdesk

Hoe staat het met de privacy van persoonsgegevens in uw organisatie?

Doe de Privacy Check

Onze expertise

Specials

Masterclass Gegevensuitwisseling in de zorg

De opleiding Gegevensuitwisseling in de Zorg geeft u actuele kennis en concrete handvatten voor het …

Eerste Hulp Bij Datalekken

Met de intrede van de meldplicht datalekken per 1 januari 2016 bent u verplicht melding te maken van…

Materiële controles

Wanneer mogen zorgverzekeraars persoons- en medische gegevens van patiënten inzien?

Privacy Officer as a Service

Onze Privacy Officers maken samen met u de vertaalslag van geldende en toekomstige privacyregelgevin…

Functionaris Gegevensbescherming

Op het moment dat de AVG in werking treedt (25 mei 2018), zijn zorginstellingen verplicht een FG aan…

Informatieplicht

Zijn zorgaanbieders verplicht hun patiënten te informeren over de verwerking van gegevens?

©2018 Cure4 |

Werken bij Cure4 | Privacy statement | Disclaimer | Over Cure4 | Aanmelden Nieuwsbrief
Contact