Ondersteuning zorgverleners

Aan de slag met AVG


Om met uw praktijk of zorgonderneming te voldoen aan de Algemene Verordening Gegevensbescherming (AVG), adviseren wij om onderstaande zes stappen te doorlopen. U kunt hierbij gebruikmaken van diverse (deels) ingevulde documenten. Bij vragen kunt u de AVG Helpdesk raadplegen waar veel documenten voor u klaar staan.

Stap 1: Privacyverklaring
Stap 2: Functionaris Gegevensbescherming
Stap 3: Verwerkingsregister
Stap 4: Verwerkersovereenkomst
Stap 5: DPIA
Stap 6: Datalekken bijhouden

 

Privacyzorg

Heeft u behoefte aan nog meer hulp? Dan is het abonnement van Privacyzorg een goede optie. Als u zich aanmeldt, zorgt deze stichting dat u voldoet aan de wetgeving. Klik hier voor meer informatie en om u aan te melden. Bekijk hier de leveringsvoorwaarden van de collectiviteitsafspraken via ZEL.

 

Stap 1: Publiceer een privacyverklaring

Door middel van de privacyverklaring informeert u patiënten over de persoonsgegevens die u verwerkt. U kunt hiervoor deze concept-privacyverklaring aanvullen met uw eigen gegevens en op uw website plaatsen:

 

Stap 2: Stel een Functionaris Gegevensbescherming aan

De Functionaris Gegevensbescherming (FG) is iemand die toezicht houdt op de verwerking van persoonsgegevens. Het is niet voor iedere zorgorganisatie verplicht om een FG te hebben.

Een zorgorganisatie die te maken heeft met grootschalige verwerking zal een FG tot zijn beschikking moeten hebben. De Autoriteit Persoonsgegevens legt de grens voor grootschalige verwerking op 10.000 patiënten ingeschreven op naam.

Dit betekent dat een huisartsenpraktijk wordt gezien als grootschalige gegevensverwerker als:

  1. Die praktijk meer dan 10.000 patiënten heeft ingeschreven
  2. én de gegevens van deze patiënten in één informatiesysteem (HIS) staan

Die laatste toevoeging is belangrijk. Het gaat dus om 10.000 op naam van één praktijk(houder) ingeschreven patiënten die in één HIS staan. Voorbeeld: een HOED met één HIS met in totaal meer dan 10.000 patiënten is dus niet verplicht een FG aan te stellen als de patiënten op naam van de verschillende praktijkhouders (verwerkingsverantwoordelijken) staan ingeschreven en iedere praktijkhouder daardoor minder dan 10.000 patiënten heeft.

Huisartsenposten en zorggroepen zijn altijd grootschalige gegevensverwerkers. Zij zijn dus altijd verplicht een FG aan te stellen.

 

Stap 3: Houdt een verwerkingsregister bij

In het verwerkingsregister houdt u continue gegevens bij over de verwerking van persoonsgegevens. Het doel hiervan is dat u kunt aantonen aan de AVG te voldoen. U kunt gebruikmaken van dit al grotendeels ingevulde sjabloon. Klik hier voor uitleg van het document.

Het is belangrijk het document actueel te houden door wijzigingen er direct in te verwerken.

 

Stap 4: Sluit verwerkersovereenkomsten af

Wanneer externe partijen (zoals bijvoorbeeld uw HIS, IT-leverancier of salarisadministratie) in opdracht van u persoonsgegevens verwerken, dient u met deze partij een “verwerkersovereenkomst” af te sluiten. Hierin staan afspraken over hoe deze externe partijen de veiligheid van de data garanderen.

De verwerkersovereenkomsten van enkele grote leveranciers zijn door de juristen van de LHV beoordeeld. Op de website van LHV ziet u welke verwerkersovereenkomsten al zijn goedgekeurd inclusief toelichtingen hierop. Het is aan te raden de website actief te volgen.

Wanneer een verwerkersovereenkomst nog niet “in orde” is, kunt u onderstaande concept-verwerkersovereenkomst naar de leverancier sturen met het verzoek dit te tekenen. Zo toont u aan dat u bewust bent van dit onderdeel van de AVG.

Heeft u een andere leverancier die werkt met persoonsgegevens en zelf geen verwerkersovereenkomst verstrekt?

  1. Gebruik dan dit beslisschema om te bepalen of een verwerkersovereenkomst nodig is
  2. Vervolgens kunt u deze concept-verwerkersovereenkomst gebruiken als sjabloon
  3. Neem contact op met leverancier en verstrek de verwerkersovereenkomst
  4. Archiveer een versie die door beide partijen is getekend

Heeft u een andere leverancier die een eigen verwerkersovereenkomst aanbiedt?

Dan kunt u deze checklist van de LHV gebruiken om te bepalen of de overeenkomst voldoet aan de verplichtingen van de AVG.

 

Stap 5: Voer een DPIA uit

Door het maken van een “Data Protection Impact Assessment” (DPIA) worden vooraf de privacy risico’s van gegevensverwerking in kaart gebracht. Het doel is om overzicht te krijgen waar er maatregelen moeten worden genomen om de risico’s te verkleinen.

Wanneer u wijzigingen gaat doorvoeren die een verhoogd risico met zich meebrengen, zoals het veranderen van HIS, is het sterk aan te bevelen om een DPIA uit te voeren. Dit kan eventueel samen met leverancier. Door de risico’s in kaart te brengen, kunt u maatregelen nemen om deze te verkleinen.

Wij raden u aan een DPIA ook in een stabiele situatie uit te voeren en niet alleen bij een verandering van een HIS. Het is de bedoeling dat u de actuele situatie van de gegevensbescherming in kaart brengt, zodat als er iets verandert u eenvoudig de DPIA weer kunt aanpassen.

Dit document kunt u gebruiken om de DPIA te maken.

 

STAP 6: Datalekken bijhouden 

Op het moment dat er een datalek heeft plaatsgevonden binnen de praktijk, dient deze altijd geregistreerd te worden in een register. In dit artikel geeft de Autoriteit Persoonsgegevens 10 tips over het registreren van datalekken. Het is bij een datalek belangrijk om direct na te gaan of deze gerapporteerd moet worden bij de Autoriteit Persoonsgegevens (AP).

Meer informatie over wat een datalek nu precies is, en wanneer deze wel of niet gerapporteerd dient te worden, kunt u vinden op deze pagina. Daar kunt u ook tips en checklists vinden om datalekken te voorkomen.

 

Een laatste check

Heeft u de 6 stappen doorlopen? Beantwoord dan de vragen van de Regelhulp-AVG. U komt er via deze test achter of uw praktijk klaar is voor de AVG of wat u eventueel nog moet doen om te voldoen aan de wet.

 

 



Route

Contact

Adres:
Stokdijkkade 21a,
2671GX Naaldwijk

Tel: 0174-210 440
WhatsApp: 06-12829389

Email: secretariaat@zel.nl