Op 25 mei 2018 treedt de nieuwe (Europese) privacywet, ook wel de Algemene Verordening Gegevensbescherming (afgekort AVG) genoemd, in werking. De AVG zal gelden voor alle organisaties (groot én klein) die persoonsgegevens (lees: patiëntgegevens) verwerken. Ook zorginstellingen ontkomen dus niet aan de AVG.
Waarom komt er een nieuwe regelgeving?
De Europese Unie wil graag één Europese wetgeving op het gebied van privacy, in plaats van dat ieder EU-land een eigen privacywetgeving hanteert. Daarom is de AVG in het leven geroepen. Als het goed is, voldoet jouw zorginstelling aan de huidige privacywet, de Wet bescherming persoonsgegevens. Deze wet is geldig tot 25 mei 2018 en na deze datum zal de AVG gaan gelden.
Wat gaat er veranderen voor zorginstellingen?
Deze nieuwe wet brengt veranderingen en ook verplichtingen met zich mee. Zo staat in de AVG de verantwoordingsplicht centraal. Deze plicht houdt in dat alle verwerkingen (van patiëntgegevens) in zorginstellingen aan de regels van de AVG moeten voldoen. Wat houdt dat precies in? Zorginstellingen moeten tenminste de volgende maatregelen nemen om aan de verantwoordingsplicht te voldoen:
- informatiebeveiliging: Dit spreekt misschien voor zich, maar goede informatiebeveiliging is de sleutel tot een sluitende beveiliging van de persoonsgegevens. Denk bijvoorbeeld aan het periodiek wijzigen van de wachtwoorden van de pc’s en een goede antivirusbeveiliging. De beveiliging van de gegevens moet op orde zijn én blijven;
- registerplicht: Registeren is een belangrijk woord in de AVG. Zo moet in de zorginstelling of bedrijf een register van alle verwerkingsactiviteiten bijgehouden worden;
- datalekken: ook in geval van datalekken moet het datalek intern geregistreerd worden en in beginsel moet ieder datalek ook aan de Autoriteit Persoonsgegevens worden gemeld;
- verwerkersovereenkomst: heb je als zorginstelling de verwerking van de persoonsgegevens uitbesteed (bijvoorbeeld als je werkt met een programma waarmee je patiëntgegevens bewaart en/of verwerkt), dan moet je met de betreffende organisatie een verwerkersovereenkomst sluiten, waarin specifieke afspraken over de omgang met de persoonsgegevens staan vermeld;
- Data Protection Impact Assessment (DPIA): De DPIA, ook wel gegevensbeschermingseffectbeoordeling genoemd, is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen. Op basis van dit instrument kunnen maatregelen worden getroffen om de effecten van gegevensverwerking voor betrokkenen te voorkomen of te verkleinen. Een zorginstelling is verplicht om een DPIA uit te voeren. Een individuele zorgverlener is niet verplicht dit te doen.
Wil je meer weten?
Bovenstaande maatregelen zijn slechts een paar maatregelen die genomen moeten worden. Lexsigma zal de komende periode in haar nieuwsbrieven verder aandacht besteden aan de diverse onderwerpen binnen de AVG. Heb je vragen over de verwerking van persoonsgegevens of een andere privacy kwestie binnen jouw bedrijf of zorginstelling, neem dan gerust contact op met Elly Koning.