Ondersteuning zorgverleners

Aan de slag met AVG


Om met uw praktijk of zorgonderneming te voldoen aan de Algemene Verordening Gegevensbescherming (AVG), adviseren wij om onderstaande vijf stappen te doorlopen. U kunt hierbij gebruikmaken van diverse (deels) ingevulde documenten. Bij vragen helpen wij u graag!

Stap 1: Privacyverklaring
Stap 2: Functionaris Gegevensbescherming
Stap 3: Verwerkingsregister
Stap 4: Verwerkersovereenkomst
Stap 5: DPIA

 

Privacyzorg

Heeft u behoefte aan nog meer hulp? Dan is het abonnement van Privacyzorg een goede optie. Als u zich aanmeldt, zorgt deze stichting dat u voldoet aan de wetgeving. Klik hier voor meer informatie en om u aan te melden. Bekijk hier de leveringsvoorwaarden van de collectiviteitsafspraken via ZEL.

 

Stap 1: Publiceer een privacyverklaring

Door middel van de privacyverklaring informeert u patiënten over de persoonsgegevens die u verwerkt. U kunt hiervoor deze concept-privacyverklaring aanvullen met uw eigen gegevens en op uw website plaatsen:

 

Stap 2: Stel een Functionaris Gegevensbescherming aan

De Functionaris Gegevensbescherming (FG) is iemand die toezicht houdt op de verwerking van persoonsgegevens. Het is niet voor iedere zorgorganisatie verplicht om een FG te hebben.

Een zorgorganisatie die te maken heeft met grootschalige verwerking zal een FG tot zijn beschikking moeten hebben. De Autoriteit Persoonsgegevens legt de grens voor grootschalige verwerking op 10.000 patiënten ingeschreven op naam.

Dit betekent dat een huisartsenpraktijk wordt gezien als grootschalige gegevensverwerker als:

  1. Die praktijk meer dan 10.000 patiënten heeft ingeschreven
  2. én de gegevens van deze patiënten in één informatiesysteem (HIS) staan

Die laatste toevoeging is belangrijk. Het gaat dus om 10.000 op naam van één praktijk(houder) ingeschreven patiënten die in één HIS staan. Voorbeeld: een HOED met één HIS met in totaal meer dan 10.000 patiënten is dus niet verplicht een FG aan te stellen als de patiënten op naam van de verschillende praktijkhouders (verwerkingsverantwoordelijken) staan ingeschreven en iedere praktijkhouder daardoor minder dan 10.000 patiënten heeft.

Huisartsenposten en zorggroepen zijn altijd grootschalige gegevensverwerkers. Zij zijn dus altijd verplicht een FG aan te stellen.

 

Stap 3: Houdt een verwerkingsregister bij

In het verwerkingsregister houdt u continue gegevens bij over de verwerking van persoonsgegevens. Het doel hiervan is dat u kunt aantonen aan de AVG te voldoen. U kunt gebruikmaken van dit al grotendeels ingevulde sjabloon. Klik hier voor uitleg van het document.

Het is belangrijk het document actueel te houden door wijzigingen er direct in te verwerken.

 

Stap 4: Sluit verwerkersovereenkomsten af

Wanneer externe partijen (zoals bijvoorbeeld uw HIS, IT-leverancier of salarisadministratie) in opdracht van u persoonsgegevens verwerken, dient u met deze partij een “verwerkersovereenkomst” af te sluiten. Hierin staan afspraken over hoe deze externe partijen de veiligheid van de data garanderen.

De verwerkersovereenkomsten van enkele grote leveranciers zijn juridisch gecontroleerd. Zie de lijst hieronder. Als er “In orde” achter een leverancier staat, betekent dit dat de verwerkersovereenkomst is goedgekeurd door een jurist en u deze kunt tekenen. Onderstaande lijst wordt regelmatig bijgewerkt:

  • Zorgdomein: in orde
  • VIP-Calculus: in orde
  • Ksyos: in orde
  • Primeur IPCI: in orde
  • CGM-Huisarts (versie 4.0): in orde
  • Promedico (versie 9-5-2018): in orde
  • Zorgmail (versie 19-6-2018): in orde
  • Pharmapartners: in orde
  • MicroHis: nog niet beoordeeld

Wanneer een verwerkersovereenkomst nog niet “in orde” is, kunt u onderstaande concept-verwerkersovereenkomst naar de leverancier sturen met het verzoek dit te tekenen. Zo toont u aan dat u bewust bent van dit onderdeel van de AVG.

Heeft u een andere leverancier die werkt met persoonsgegevens en zelf geen verwerkersovereenkomst verstrekt?

  1. Gebruik dan dit beslisschema om te bepalen of een verwerkersovereenkomst nodig is
  2. Vervolgens kunt u deze concept-verwerkersovereenkomst gebruiken als sjabloon
  3. Neem contact op met leverancier en verstrek de verwerkersovereenkomst
  4. Archiveer een versie die door beide partijen is getekend

Heeft u een andere leverancier die een eigen verwerkersovereenkomst aanbiedt?

Dan kunt u deze deze checklist van de LHV gebruiken om te bepalen of de overeenkomst voldoet aan de verplichtingen van de AVG.

 

Stap 5: Voer een DPIA uit

Door het maken van een “Data Protection Impact Assessment” (DPIA) worden vooraf de privacy risico’s van gegevensverwerking in kaart gebracht. Het doel is om overzicht te krijgen waar er maatregelen moeten worden genomen de risico’s te verkleinen.

DPIA in combinatie met het uitvoeren van een verwerkingsregister (zie stap drie) is aan te raden.

Het maken van een DPIA is verplicht wanneer u wijzigingen gaat doorvoeren die een verhoogd risico met zich meebrengen, zoals het veranderen van HIS.

Daarnaast wordt geadviseerd om regelmatig een risicoanalyse te maken door het invullen van een DPIA. Deze analyse maakt u bewust van de risico’s in uw praktijk. Een hoog risico kunt u opnemen in het verbeterplan, dat ook een essentieel onderdeel van de AVG is.

Wij werken op dit moment aan een goed voorbeeld van een uitgebreide ingevulde DPIA. Zodat u deze kunt gebruiken als voorbeeld en om zelf mee aan de slag te gaan. Zodra deze online staat, zullen we dit via het ZorgBulletin bekendmaken.

Dit DPIA document kunt u gebruiken om zelf al direct mee aan de slag te gaan.

 

Een laatste check

Heeft u de 5 stappen doorlopen? Beantwoord dan de vragen van de Regelhulp-AVG. U komt er via deze test achter of uw praktijk klaar is voor de AVG of wat u eventueel nog moet doen om te voldoen aan de wet.

 

Datalekken

Wij bieden op deze pagina nog meer tips, checklists en informatie om datalekken te voorkomen.