De komst van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 maakt het voor zorginstellingen nog belangrijker om zorgvuldig om te gaan met de privacygevoelige informatie van hun patiënten. Het biedt zorgaanbieders ook kansen om zichzelf als zorgvuldige dienstverlener neer te zetten.
Goede kwaliteit van zorg is zorg die aansluit bij de zorgbehoeften van patiënten. Om patiënten te leren kennen, heeft de zorginstelling toegang nodig tot privacygevoelige informatie van haar patiënten. Het is goed voor te stellen dat patiënten alleen bereid zullen zijn hun gegevens te verstrekken als zij weten dat hun privacyrechten zullen worden gewaarborgd. Het zichtbaar naleven van de privacyrechten van patiënten bevordert de vertrouwensrelatie tussen de zorginstelling en haar patiënten en daarmee de kwaliteit en toegankelijkheid van de zorg die zij kunnen verlenen.
Nieuwe verplichtingen onder de AVG
De gegevens die in de zorg worden gebruikt, zien toe op de gezondheid van patiënten en zijn daarmee direct van gevoelige aard. Voor de verwerking van gevoelige persoonsgegevens gelden extra strenge eisen. De bestaande privacy-eisen waar zorgaanbieders aan moeten voldoen, zijn vastgelegd in diverse wetten zoals de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
Deze bestaande regels worden door de AVG bevestigd en op onderdelen versterkt. Zo gelden onder de AVG nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt. In veel gevallen zal de zorgaanbieder ook verplicht zijn om een register van verwerkingsactiviteiten bij te houden en een data protection impact assessment (DPIA) uit te voeren op bepaalde momenten. Ook zullen zij een functionaris voor de gegevensbescherming (FG) moeten aanstellen.
Daarnaast legt de AVG meer verantwoordelijkheid bij de zorgaanbieders neer om aan te tonen dat de verwerkingen aan de regels van de AVG voldoen (de verantwoordingsplicht). Indien de AP daarom vraagt, moeten zij (met een druk op de knop) kunnen aantonen dat hun verwerkingen aan de belangrijkste beginselen van verwerkingen voldoen: rechtmatigheid, juistheid, transparantie en doelbinding. Ook moeten zij kunnen laten zien dat ze voldoende technische en organisatorische maatregelen hebben getroffen om de persoonsgegevens van hun patiënten te beveiligen tegen onrechtmatige verwerkingen en datalekken.
De verantwoordingsplicht betekent onder meer dat de zorgorganisaties:
- Persoonsgegevens alleen mogen verwerken indien daar een wettelijke grondslag voor is én de verwerking rechtmatig gebeurd;
- Persoonsgegevens alleen mogen verwerken indien de betrokkene op de hoogte is van de verwerking en hoe dit gebeurt;
- Niet meer persoonsgegevens mogen verwerken dan strikt noodzakelijk is voor het doel van de verwerking (data minimalisatie);
- Persoonsgegevens niet langer mogen bewaren dan noodzakelijk is voor het doel van de verwerking;
- Ervoor moet zorgen dat persoonsgegevens juist zijn en maatregelen moet nemen om onjuiste persoonsgegevens te wissen of te rectificeren;
- De toegang van medewerkers tot persoonsgegevens moet beperken;
Vanaf 25 mei 2018 zal de Autoriteit Persoonsgegevens (AP) actief toezien op de naleving van deze regels uit de AVG. Zorgaanbieders lopen vanaf dat moment het risico op forse boetes (tot 20 miljoen euro), reputatieschade en claims van patiënten. Uiteraard hebben zij ook een behoorlijk zakelijk (en maatschappelijk) belang dat ze geen partners en klanten verliezen indien niet aangetoond kan worden aan bijv. de zorgverzekeraars dat hun organisatie de AVG naleeft en de persoonsgegevens dáárom veilig zijn.
Om deze risico’s te minimaliseren, dienen zorgaanbieders al vóór 25 mei 2018 in beweging te komen en actief bezig te zijn met de implementatie van de AVG in de organisatie. Dat zij op 25 mei 2018 nog niet 100% AVG proof zijn is geen ramp als de zorgaanbieders maar een flink eind op weg zijn.
Privacy proof
De AVG-implementatie is een kostbaar en tijdrovend proces. The Legal Privacy Company helpt graag zorgaanbieders met haar AVG-producten om tijdig passende maatregelen te nemen om aan de AVG te voldoen. Dat doen we ten eerste door de AVG privacy nulmeting binnen zorgorganisaties uit te voeren. Van deze nulmeting maken wij een rapportage waarin we benoemen welke onderdelen binnen de zorgorganisatie nog niet privacy proof zijn. Daarbij krijgt de zorgaanbieder een concreet stappenplan met verbetertaken.
Vervolgens bieden wij een online privacy management portaal aan waarmee de zorgorganisatie in een veilige omgeving de verbetertaken kan uitvoeren met onze tools. Bovendien kunnen zij daarmee vanaf 25 mei 2018 de AVG privacy naleving binnen hun organisatie managen. Zo worden en blijven zorgaanbieders privacy proof en kunnen zij dat ook heel gemakkelijk met één druk op de knop aantonen richting al hun stakeholders.
De gecertificeerde privacy juristen van The Legal Privacy Company helpen graag indien er vragen zijn over de implementatie van de AVG binnen zorgorganisaties.
Wilt u meer weten over onze diensten, over The Legal Privacy Company of wilt u een offerte voor een nulmeting aanvragen? Bel dan naar 020-3450152 of mail naar info@thelegalprivacycompany.com
Geef een reactie