Per 25 mei 2018 is de AVG, de Algemene verordening gegevensbescherming, van toepassing. Daarom stippen we graag de belangrijkste punten uit de AVG aan, zodat jouw zorginstelling/organisatie de laatste puntjes op de i kan zetten. Het gaat om: de toestemmingsverklaring, de functionaris voor de gegevensbescherming, de verwerkersovereenkomst, het register van verwerkingsactiviteiten, DPIA en het register van datalekken.
Toestemmingsverklaring
Voor het verwerken van persoonsgegevens heb je als zorginstelling/organisatie toestemming van de betrokkene nodig. Dit is onder de AVG niet nieuw, maar is wel een belangrijke verantwoordingsplicht van de zorginstelling/organisatie. Zorg dus dat alle toestemmingsverklaringen van betrokkenen aanwezig zijn in de dossiers.
Functionaris voor de Gegevensbescherming (FG)
De Autoriteit Persoonsgegevens verplicht bedrijven om de FG opnieuw aan te melden middels het online aanmeldformulier functionaris voor de gegevensbescherming. Indien jouw zorginstelling/organisatie de aanmelding niet via het online formulier heeft gedaan, zal de eerder gedane aanmelding komen te vervallen per 25 mei 2018.
Verwerkersovereenkomst
Heb jij voor jouw zorginstelling/organisatie al nieuwe verwerkersovereenkomsten afgesloten? In onze vorige nieuwsbrief zijn wij uitgebreid ingegaan op de verwerkersovereenkomst.
Register van verwerkingsactiviteiten
Onder de AVG kan het opstellen van een register van verwerkingsactiviteiten een verplichte maatregel zijn. Een register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die jouw zorginstelling/organisatie verwerkt. Is jouw organisatie een zorginstelling, dan dien je een dergelijk register bij te houden. Het opgestelde register is vormvrij, maar dient wel aan enkele vereisten te voldoen. Heeft jouw zorginstelling/organisatie al een opzet hiervoor?
DPIA
Een DPIA, ook wel gegevensbeschermingseffectbeoordeling genoemd, is een instrument om vooraf de privacy risico’s van gegevensverwerking in kaart te brengen. Op basis van dit instrument kunnen maatregelen worden getroffen om de effecten van gegevensverwerking voor betrokken te voorkomen of te verkleinen. Een zorginstelling is verplicht om een DPIA uit te voeren. Een individuele zorgverlener is echter niet verplicht dit te doen. De DPIA geldt in beginsel alleen voor nieuwe verwerkingen die vanaf 25 mei 2018 starten, maar aangeraden wordt om daarmee nog voor de gegevensverwerking mee te beginnen.
Register van datalekken
Mocht het onverhoopt gebeuren dat er in uw zorginstelling/organisatie sprake is van een datalek, dan zult u dit moeten registeren in een register van datalekken. Heeft u voor deze onvoorziene omstandigheid al een register aangemaakt?
Tot slot
Over twee weken treedt de AVG in werking en zullen zorginstellingen/organisaties hieraan moeten voldoen. Indien er niet aan de bepalingen van de verordening worden voldaan, kan de Autoriteit Persoonsgegevens (AP) besluiten om een administratieve boete op te leggen. De administratieve boete kan maximaal 10 miljoen euro of 4% van de wereldwijde jaaromzet zijn.
De minister van Rechtsbescherming, Sander Dekker, heeft tijdens een debat over de implementatie van de AVG beloofd dat de Autoriteit Persoonsgegevens niet direct boetes zal gaan uitdelen. In de eerste maanden zal de AP organisaties voornamelijk voorlichting geven. De minister kan echter over het al dan niet uitdelen van boetes geen harde toezeggingen doen. Dit komt omdat de AP een zelfstandig bestuursorgaan is.
Staar je niet blind op de boete die kan worden opgelegd, maar focus je op welke punten jouw zorginstelling/organisatie al dan niet voldoet aan de AVG.