Bent u klaar voor de AVG?

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. Deze verordening vervangt de Wet Bescherming Persoonsgegevens en zorgt voor uniforme regelgeving voor heel Europa. De wijzigingen voor Nederland zijn redelijk beperkt. Zeker binnen de gezondheidszorg is er altijd al veel aandacht geweest voor dit onderwerp.

Naast de AVG zijn tevens de Wet Clientrechten bij elektronische verwerking van gegevens in de zorg en de Algemene Maatregel van Bestuur over functionele, technische en organisatorische maatregelen bij elektronische verwerking in werking getreden. Daar waar de AVG gaat over algemene principes rondom verwerking van persoonsgegevens, geven de Wet Clientrechten en de AMvB hier nadere invulling aan voor de zorg. In samenhang met de al lang lopende Wet op Geneeskundige Behandelovereenkomst (Wgbo) bepalen deze het speelveld voor de zorg.

Wat iedere organisatie in ieder geval moet doen voor 25 mei 2018 is:

-          het uitvoeren van een Privacy Impact Analyse (PIA). Het in kaart brengen of er persoonsgegevens worden verwerkt, voor welke doeleinden die worden gebruikt, wat de legitimatie (waarom mag je dit doen) hiervoor is hoe wat je technische (ICT) en organisatorische (handboeken, functiescheiding, voorlichting personeel etc.) maatregelen er zijn genomen om de risico’s te beperken.

-          het aanleggen van een overzicht van alle verwerkingen van de persoonsgegevens, het zogenoemde ‘verwerkingenregister’.

-          het informeren van de patiënten over alle verwerkingen in een privacyverklaring (bijv. op de website).

-          het sluiten van verwerkersovereenkomsten met dienstverleners (HIS-leverancier, de salarisadministratie/accountant etc.).

 

Voor de huisartsen heeft de LHV hier een dossier voor gemaakt op de website waar voor elk onderdeel goede formats dan wel voorbeelden te vinden zijn.

Binnen de huisartsenzorg is er veel discussie over het al dan niet aan moeten stellen van een Functionaris Gegevensbescherming. De onduidelijkheid zit in het feit dat de AVG spreekt over ‘grootschalige’ verwerking maar geen definitie van ‘grootschalig’ geeft. Omdat een huisarts gegevens met betrekking tot gezondheid verwerkt welke geclassificeerd worden als ‘bijzondere persoonsgegevens’ zou een FG mogelijk vanuit die hoedanigheid verplicht zijn. Het is goed om in de gaten te houden welke kant deze discussie op gaat. Aan te raden is om vooruitlopend op de duidelijkheid te kiezen voor het in gezamenlijkheid aan stellen van een FG. De LHV is hier mee bezig maar ook ELZHA is samen met o.a. de HKH aan het kijken hoe wij de huisartsen op dit gebied kunnen ondersteunen.

ELZHA zelf is al een tijd in voorbereiding op de nieuwe wetgeving. Een traject tot NEN 7510 certificering is opgestart en interne procedures zijn aangescherpt. De overeenkomsten tussen ELZHA en haar contractpartners zullen worden aangepast om de verantwoordelijkheden met betrekking tot gegevensbescherming duidelijk worden vastgelegd. Als technische maatregel zal vanaf de volgende release van het KIS (verwacht rond 8 maart) twee factor authenticatie worden ingevoerd. Dat betekent dat indien niet via het HIS wordt ingelogd een extra bevestiging via SMS benodigd is om toegang te verkrijgen tot het KIS. Nadere uitleg daarover volgt bij de informatie over de release.

Ons advies is in ieder geval te starten met de vier bovengenoemde punten. De Autoriteit Persoonsgegevens heeft de huisartsenzorg aangemerkt als één van de aandachtsgebieden. Dat houdt in dat zij de beroepsgroep met extra veel interesse zal volgen.

 

 

© 2018 Webdesign Bureau De Webmakers