Je verwerkt als zorgverlener vaak gevoelige gegevens, zoals patiëntgegevens. Het is belangrijk dat deze gegevens beschermd zijn tegen ongeoorloofde toegang of wijziging door derden. Daarom dien je te voldoen aan de richtlijnen van de AVG, de Algemene Verordening Gegevensbescherming. Deze vallen onder het toezicht van de Autoriteit Persoonsgegevens (AP).
Voor de meeste praktijken is dit geen eenvoudige opgave. Het is tijdsintensief en ingewikkeld om alle richtlijnen te bestuderen. In een aantal stappen geven wij je inzicht in de belangrijkste regels rondom de AVG en helpen je bij de inrichting ervan.
Wil je direct weten of je praktijk klaar is voor de AVG en wat je eventueel nog moet doen, dan raden wij je aan de AVG Regelhulp te gebruiken.
De Functionaris Gegevensbescherming (FG) is iemand die toezicht houdt op de verwerking van persoonsgegevens. Het is niet voor iedere zorgorganisatie verplicht om een FG te hebben. Echter, wij adviseren je wel om deze rol binnen je praktijk aan te wijzen. Via het dienstenpakket van Stichting Privacyzorg ben je ook verzekerd van een FG voor je praktijk.
In een verwerkingsregister houd je gegevens bij over de verwerking van persoonsgegevens. Met dit register toon je aan dat je aan de AVG voldoet. Voor het bijhouden van een verwerkingsregister kan je dit sjabloon downloaden. Het bijhouden van het verwerkingsregister lijkt complex, maar door het sjabloon als basis te gebruiken, zijn veel van de velden al voor je ingevuld. Houd deze toelichting bij de hand bij het invullen van de overige velden.
Na het eenmalig invullen van een verwerkingsregister is het belangrijk om het document actueel te houden. Dat kan je het beste doen door wijzigingen direct te verwerken en iemand hiervoor verantwoordelijk te maken binnen je praktijk.
Na het eenmalig invullen van een verwerkingsregister is het belangrijk om het document actueel te houden. Dat kan je het beste doen door wijzigingen direct te verwerken en iemand hiervoor verantwoordelijk te maken binnen je praktijk.
Zoals gezegd geeft de AVG richtlijnen voor het verwerken van gegevens. Wanneer externe partijen in opdracht van jou persoonsgegevens verwerken, dien je met deze partij een verwerkersovereenkomst af te sluiten. Hierbij kan je denken aan je HIS-leverancier of de salarisadministratie. Met deze verwerkersovereenkomst maak je afspraken over hoe deze externe partijen de veiligheid van de gegevens garanderen.
Wanneer je twijfelt of een verwerkersovereenkomst nodig is, dan kan je dit beslisschema van de LHV gebruiken om dit vast te stellen. Het kan zijn dat een leverancier een eigen verwerkersovereenkomst aanbiedt. Je kan dan deze checklist gebruiken om te bepalen of deze voldoet aan de verplichtingen van de AVG. Voor je HIS-leverancier is het niet nodig om deze te controleren: deze is voor iedere praktijk hetzelfde en is door Stichting Privacyzorg gecontroleerd. Biedt een partij geen verwerkersovereenkomst aan, gebruik dan dit sjabloon om de verwerkersovereenkomst op te stellen. Deze dient door beide partijen ondertekend en gearchiveerd te worden.
Wanneer je twijfelt of een verwerkersovereenkomst nodig is, dan kan je dit beslisschema van de LHV gebruiken om dit vast te stellen. Het kan zijn dat een leverancier een eigen verwerkersovereenkomst aanbiedt. Je kan dan deze checklist gebruiken om te bepalen of deze voldoet aan de verplichtingen van de AVG. Voor je HIS-leverancier is het niet nodig om deze te controleren: deze is voor iedere praktijk hetzelfde en is door Stichting Privacyzorg gecontroleerd. Biedt een partij geen verwerkersovereenkomst aan, gebruik dan dit sjabloon om de verwerkersovereenkomst op te stellen. Deze dient door beide partijen ondertekend en gearchiveerd te worden.
Een DPIA staat voor ‘Data Protection Impact Assessment’. Deze brengt de risico’s in kaart van de gegevensverwerking in je praktijk. Hiermee kan je als praktijk maatregelen treffen om de risico’s te verkleinen. Net als bij een verwerkingsregister is het verstandig om deze actueel te houden. Wanneer je wijzigingen gaat doorvoeren, zoals het wisselen van leverancier of HIS, is het dringende advies de DPIA opnieuw uit te voeren of te vernieuwen. Je kan een DPIA uitvoeren in samenwerking met je leverancier, met hulp van Stichting Privacyzorg, of je kan dit document raadplegen.
Er is altijd een risico dat er ondanks de maatregelen een datalek plaats vindt in de praktijk. Wat een datalek precies is en of deze wel of niet gerapporteerd dient te worden, kan je vinden op onze website. Hier vind je ook tips en checklists om datalekken te voorkomen.
Er is altijd een risico dat er ondanks de maatregelen een datalek plaats vindt in de praktijk. Wat een datalek precies is en of deze wel of niet gerapporteerd dient te worden, kan je vinden op onze website. Hier vind je ook tips en checklists om datalekken te voorkomen.
Heb je na het doorlopen van de beschreven stappen nog vragen, dan is er een AVG helpdesk beschikbaar om specifieke vraagstukken te behandelen. Deze helpdesk heeft alle informatie op het gebied van AVG en privacy gebundeld en zoveel mogelijk toegankelijk gemaakt voor het zorgveld.
Ook kan je kijken naar het LHV Webdossier Informatiebeveiliging, dat je op weg helpt om de juiste maatregelen te nemen om jouw praktijk veilig te houden.
Ook kan je kijken naar het LHV Webdossier Informatiebeveiliging, dat je op weg helpt om de juiste maatregelen te nemen om jouw praktijk veilig te houden.
