Sinds mei 2018 is de GDPR in Europa van kracht. Voor Nederland is dat vertaald in de Algemene Verordening Gegevensbescherming (AVG). Voordeel is dat er hierdoor in heel Europa dezelfde regelgeving geldt en er minder administratieve kosten en nalevingskosten zijn. Maar het heeft wel gezorgd voor een extra set aan verantwoordelijkheden en helemaal als u zorgverlener bent. Welke regels gelden er nu precies en wat moet u niet vergeten? We vinken het met u samen af.
✔️ Het uitvoeren van een Data Protection Impact Assessment
Voor de gegevensverwerkingen met een hoog privacy risico dient u een Data Protection Impact Assessment (DPIA) uit te voeren voor verwerkingen die ná 25 mei 2018 zijn gestart of wanneer zich veranderingen voordoen in bestaande verwerkingen (bijvoorbeeld wanneer u een nieuwe technologie gaat gebruiken). Met deze assessments bepaalt u vooraf de privacy risico’s van uw gegevensverwerking en daarvoor zijn er drie belangrijke parameters:
- De kans: hoe groot is de kans dat er zich een incident voordoet?
- De impact: Wat is de schade als het risico optreedt?
- De aanvaardbaarheid: Is het risico aanvaardbaar of onaanvaardbaar?
✔️Een Functionaris Gegevensbescherming (FG) aanstellen
Een Functionaris Gegevensbescherming is binnen een organisatie een toezichthouder op het gebied van privacy en juiste verwerking van persoonsgegevens. Deze persoon kan in dienst zijn van de organisatie of een externe zijn. Zolang diegene maar onafhankelijk is (en dus bijvoorbeeld geen eigenaar).
In sommige organisaties is het niet noodzakelijk om een functionaris gegevensbescherming aan te stellen/in te huren. Wanneer wel:
- Als ziekenhuis, huisartsenpost of zorggroep
- Als huisartsenpraktijk, apotheek of instelling voor medisch specialistische zorg met meer dan 10.000 ingeschreven patiënten of gemiddeld meer dan 10.000 patiënten per jaar.
Voor andere organisaties geldt dat zij zelf aan de hand van criteria moeten bepalen of zij grootschalig zijn en daarom een functionaris gegevensbescherming moeten aanstellen. De criteria zijn:
- Het aantal betrokkenen
- De hoeveelheid persoonsgegevens
- De duur van de gegevensverwerking
- De geografische reikwijdte van de verwerking
✔️ Een verwerkingsovereenkomst afsluiten en het bijhouden van een verwerkingsregister
U bent verplicht om een verwerkersovereenkomst af te sluiten met uw verwerkers. Wie zijn de verwerkers? Dit zijn personen of organisaties die in opdracht van u persoonsgegevens verwerken (leverancier cliëntvolgsysteem, facturatiekantoor, andere zorgverleners etc.). In deze verwerkingsovereenkomst spreekt u af hoe de AVG wordt nageleefd. Denk hierbij niet alleen aan de cliëntgegevens, maar ook aan de gegevens van uw medewerkers.
Daarnaast moet u ook een verwerkingsregister bijhouden. Hierin staat de informatie over welke persoonsgegevens u verwerkt, met welke doeleinden, welke betrokkenen er zijn, de bewaartermijn, de beveiliging van deze gegevens, de ontvangers en alle benodigde contactgegevens.
Uiteraard is het ook belangrijk om de cliënt zelf in te lichten. En moet u ook kunnen aantonen dat een betrokkene toestemming heeft gegeven voor de verwerking van de persoonsgegevens, wanneer u voor deze gegevens toestemming nodig heeft.
✔️ Het beperken en beschermen van toegang tot gegevens
Binnen uw organisatie moet de toegang tot persoonsgegevens beperkt zijn tot de mensen die de gegevens echt nodig hebben. Deze persoonsgegevens mogen alleen bewaard worden zolang het wettelijk verplicht is. Daarnaast mogen medewerkers enkel toegang tot de gegevens die relevant zijn, voor het onderdeel van de behandeling die zij uitvoeren. Hetzelfde geldt voor het verstrekken van medische gegevens aan derden (zoals andere zorgverleners). Wanneer u deelt, moet dit via een beveiligde omgeving worden gedaan. Deze informatie even vlug delen in een mailtje, mag niet.
✔️ Datalekken melden binnen 72 uur
Wat is een datalek? Dat is wanneer er gegevens terecht komen bij personen/partijen waarvoor deze informatie niet bedoeld is. Wanneer u niet meer bij de gegevens kunt en ze niet meer terug kunt halen (door bijvoorbeeld volledig gewist, systeemcrash of ransomware), dan is dat ook een datalek.
De meldplicht datalekken betekent dat u als organisatie binnen 72 uur een melding moet doen van een ernstig datalek bij de Autoriteit Persoonsgegevens (AP). In sommige gevallen moet er ook melding worden gedaan bij de betrokkenen. Een datalek moet eigenlijk altijd worden gemeld, tenzij het onwaarschijnlijk is dat er een risico is op de rechten en vrijheden van de betrokken personen.
Naast dat u datalekken moet melden bij de Autoriteit Persoonsgegevens, moet u ook zelf een datalekregister bijhouden. U moet hierin alle datalekken documenteren. Ook wanneer het datalek niet van die aard is dat u deze moet melden bij de Autoriteit Persoonsgegevens, moet deze wel terugkomen in uw eigen datalekregister.
✔️ Een privacybeleid en privacy statement opstellen
In het privacybeleid legt u vast hoe u omgaat met persoonsgegevens binnen uw organisatie. Hierin komen aspecten terug als gedragsregels, draaiboeken, werkinstructies, bewustzijn personeel (data zit niet alleen in pc’s, maar ook op papier en via mondelinge communicatie) etc. Met dit document kunt u medewerkers informeren over de processen en het gewenste gedrag. Daarnaast maakt u hiermee aantoonbaar dat u uw zaken betreffende persoonsgegevens op orde hebt, wat bovendien een eis is binnen de Algemene Verordening Gegevensbescherming.
Een privacybeleid is geschreven voor uw werknemers, een privacy statement voor uw cliënten. Dat betekent niet dat uw werknemers de inhoud hiervan niet hoeven te weten. In een privacy statement informeert u uw cliënten over de maatregelen die u treft op het gebied van privacy, met welke zorgverleners cliëntgegevens worden gedeeld en wijst u hen op hun rechten (het recht op wijzigen en inzien bijvoorbeeld) en de werkwijze daaromtrent.
✔️ De verantwoordingsplicht
Door de AVG heeft u dus de verantwoordelijkheid om aan te tonen dat u aan de privacyregels voldoet. U moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen hebt genomen om persoonsgegevens te beschermen. De benodigde maatregelen leest u terug in voorgaande punten en zijn verplicht. U moet zich dus kunnen verantwoorden op deze punten.
Is NEN 7510 certificering verplicht volgens de AVG?
Vanwege de verantwoordingsplicht moet u kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen. De wet verwijst daadwerkelijk naar NEN 7510. Het is een verplichting om uw informatiesysteem in te richten op de manier die NEN 7510 voorschrijft. Door middel van de beveiligingsstandaarden van de NEN 7510 zorgt u dat u de juiste maatregelen neemt om persoonsgegevens te beschermen.
Een praktisch totaaloverzicht van de AVG
De Algemene Verordening Gegevensbescherming bevat een overdaad aan artikelen, waardoor het een opgave is om overzicht te krijgen en houden. Om u te helpen met het creëren van een overzicht, hebben we de AVG Factsheet ontwikkeld. Het kadert alle belangrijke onderwerpen die u dient te regelen om aan de privacywetgeving te voldoen en bundelt ze in één totaaloverzicht.
Onderwerpen:
Alle onderwerpen Certificeren ISO 27001 informatiebeveiliging privacywetgeving cybersecurity nen 7510 AVG
