Ondersteuning zorgverleners

Aan de slag met AVG


Om met uw praktijk of zorgonderneming te voldoen aan de Algemene Verordening Gegevensbescherming (AVG), adviseren wij om onderstaande vijf stappen te doorlopen. U kunt hierbij gebruikmaken van diverse (deels) ingevulde documenten. Bij vragen helpen wij u graag!

 

Privacyzorg

Heeft u behoefte aan nog meer hulp? Dan is het abonnement van Privacyzorg een goede optie. Als u zich aanmeldt, zorgt deze stichting dat u voldoet aan de wetgeving. Klik hier voor meer informatie en om u aan te melden. Bekijk hier de leveringsvoorwaarden van de collectiviteitsafspraken via ZEL.

 

Stap 1: Publiceer een privacyverklaring

Door middel van de privacyverklaring informeert u patiënten over de persoonsgegevens die u verwerkt. U kunt hiervoor deze concept-privacyverklaring aanvullen met uw eigen gegevens en op uw website plaatsen:

 

Stap 2: Stel een Functionaris Gegevensbescherming aan

De Functionaris Gegevensbescherming (FG) is iemand die toezicht houdt op de verwerking van persoonsgegevens. Het is niet voor iedere zorgorganisatie verplicht om een FG te hebben.

Een zorgorganisatie die te maken heeft met grootschalige verwerking zal een FG tot zijn beschikking moeten hebben.

Over de vraag wat grootschalige verwerking is, bestaat nog veel onduidelijkheid. Het hangt af van de omvang van de hoeveelheid persoonsgegevens die wordt verwerkt. Zo zal een kleine zorgaanbieder (éénpitter) daar over het algemeen niet onder vallen, maar een grote zorgaanbieder (ziekenhuis en huisartsenpost) wel. Uit de praktijk zal blijken waar die grens ligt. In elk geval moet elke zorgaanbieder hiervan op de hoogte zijn en aan kunnen tonen dat over het instellen van een FG is nagedacht.

Oriënteert u zich op het aanstellen van een FG? Bekijk dan hier het profiel voor een Functionaris Gegevensbescherming. Hierin leest u meer over wat de FG doet, aan welke eisen hij of zij moet voldoen en wat de verwachtingen van een FG zijn. 

 

Stap 3: Houdt een verwerkingsregister bij

In het verwerkingsregister houdt u continue gegevens bij over de verwerking van persoonsgegevens. Het doel hiervan is dat u kunt aantonen aan de AVG te voldoen. U kunt gebruikmaken van dit al grotendeels ingevulde sjabloon. Klik hier voor uitleg van het document.

Het is belangrijk het document actueel te houden door wijzigingen er direct in te verwerken.

 

Stap 4: Sluit verwerkersovereenkomsten af

Wanneer externe partijen (zoals bijvoorbeeld uw HIS, IT-leverancier of salarisadministratie) in opdracht van u persoonsgegevens verwerken, dient u met deze partij een “verwerkersovereenkomst” af te sluiten. Hierin staan afspraken over hoe deze externe partijen de veiligheid van de data garanderen.

De verwerkersovereenkomsten van enkele grote leveranciers zijn juridisch gecontroleerd. Zie de lijst hieronder. Als er “In orde” achter een leverancier staat, betekent dit dat de verwerkersovereenkomst is goedgekeurd door een jurist en u deze kunt tekenen. Onderstaande lijst wordt regelmatig bijgewerkt:

  • Zorgdomein: in orde
  • VIP-Calculus: in orde
  • Ksyos: in orde
  • Pharmapartners: nog niet beoordeeld
  • Pharmapartners: nog niet beoordeeld
  • MicroHis: nog niet beoordeeld, gewacht wordt op nieuwe overeenkomst
  • Primeur IPCI: nog niet beoordeeld, gewacht wordt op nieuwe overeenkomst
  • Zorgmail: nog niet beoordeeld, gewacht wordt op nieuwe overeenkomst
  • Promedico: nog niet beoordeeld, gewacht wordt op nieuwe overeenkomst
  • CGM-Huisarts: niet in orde

Wanneer een verwerkersovereenkomst nog niet “in orde” is, kunt u onderstaande concept-verwerkersovereenkomst naar de leverancier sturen met het verzoek dit te tekenen. Zo toont u aan dat u bewust bent van dit onderdeel van de AVG.

Heeft u een andere leverancier die werkt met persoonsgegevens en zelf geen verwerkersovereenkomst verstrekt?

  1. Gebruik dan dit beslisschema om te bepalen of een verwerkersovereenkomst nodig is
  2. Vervolgens kunt u deze concept-verwerkersovereenkomst gebruiken als sjabloon
  3. Neem contact op met leverancier en verstrek de verwerkersovereenkomst
  4. Archiveer een versie die door beide partijen is getekend

Heeft u een andere leverancier die werkt met persoonsgegevens en zelf geen verwerkersovereenkomst verstrekt?

Als u een verwerkersovereenkomst van een leverancier heeft ontvangen die niet in bovenstaande lijst staat, dan kunt u deze het beste door een jurist van LHV laten beoordelen.

Wilt u vervolgens de uitkomst met ons delen, zodat we de andere collega’s ook hierover kunnen informeren op onze website?

 

Stap 5: Voer een DPIA uit

Door het maken van een “Data Protection Impact Assessment” (DPIA) worden vooraf de privacy risico’s van gegevensverwerking in kaart gebracht. Het doel is om overzicht te krijgen waar er maatregelen moeten worden genomen de risico’s te verkleinen.

Het maken van een DPIA is verplicht wanneer u wijzigingen gaat doorvoeren die een verhoogd risico met zich meebrengen, zoals het veranderen van HIS.

Er wordt ook het geadviseerd om elke drie jaar een risicoanalyse te maken door het herhalen van de DPIA.

Wij werken op dit moment aan een goed voorbeeld van een ingevulde DPIA. Zodat u deze kunt gebruiken als voorbeeld en om zelf mee aan de slag te gaan. Zodra deze online staat, zullen we dit via het ZorgBulletin bekendmaken.

 

Datalekken

Wij bieden op deze pagina nog meer tips, checklists en informatie om datalekken te voorkomen.