Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Vergelijkbare documenten
Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Cursus privacyrecht Jeroen Naves 7 september 2017

mhealth en de AVG Mobile Healthcare 8 november 2018 Sofie van der Meulen

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Algemene Verordening Gegevensverwerking ( GDPR )

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

De Algemene Verordening Gegevensbescherming in de huisartsenpraktijk

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Handvatten bij de implementatie van de AVG

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

De AVG en de gevolgen voor de uitvoeringspraktijk

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

Privacy wetgeving: Wat verandert er in 2018?

Algemene verordening gegevensbescherming

PRIVACY Inleiding. De Verordening in vogelvlucht. Kennismaking. Bescherming grondrecht

VERORDENING BESCHERMING

Algemene Verordening Gegevensbescherming. Sjoera Nas Amsterdam 28 maart 2018

INTERN PRIVACYBELEID M.A.G. Wijshoff. 1. Inleiding

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

Algemene verordening gegevensbescherming betekenis voor de zorgsector

AVG Algemeen PRIVACYREGLEMENT

Agenda. De AVG: wat nu?

Privacy Policy Fysio FM 2018

Algemene Verordening Gegevensbescherming

Privacyreglement Medewerkers Welzijn Stede Broec

PRIVACYVERKLARING (samengevat)

ALGEMENE VERORDENING GEGEVENS- BESCHERMING

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

VERORDENING BESCHERMING

ALGEMENE VERORDENING GEGEVENSBESCHERMING DE GEVOLGEN VAN AVG VOOR HET MIDDEN EN KLEIN BEDRIJF.

Procedure Rechten van betrokkenen in het kader van de EU-AVG 24 mei toe aan de betrokkenen van wie persoonsgegevens worden verwerkt:

De AVG, wat moet ik ermee?

Hoe word ik Privacy-proof? 21 november 2017

checklist in 10 stappen voorbereid op de AVG. human forward.

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Reglement AVG- Privacybeleid Praktijk voor Osteopathie G.W. van Dinteren -Privacystatement

Reglement AVG- Privacybeleid Praktijk Maas -Privacystatement

Vandaag Zorgvernieuwing

Privacyverklaring Teleson B.V. Versie 1.2, 22 mei 2018

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Het einde van de privacy paradox?

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Phytalis-Verwerkersovereenkomst

Algemene begrippen AVG

Gegevensbescherming en Privacybeleid

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Privacy Statement Zorg

Privacy beleid 30 juli 2018

Blockchain Smart Contracts AVG

staat is om de AVG na te komen.

Actualiteiten loonheffingen

Privacystatement Praktijk voor Osteopathie

Hoe word ik Privacy-proof? 16 JANUARI 2017

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Privacyreglement Gemeente Borsele

Plan


Reglement AVG- Privacybeleid Praktijk voor Osteopathie Vissia -Privacystatement

INTERN PRIVACYBELEID. Frans van Hattum / Praktijk Octant

Privacy Maturity Scan (PMS)

Reglement AVG- Privacybeleid Praktijk Osteopathie Rademaker -Privacystatement

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje

AVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Checklist voorbereiding op de AVG

Gegevensbescherming en privacybeleid

Privacyverklaring Stichting Christelijke Zorgorganisatie Norschoten - (toekomstige) cliënten

Privacy Statement. Toepasselijkheid. Algemeen

Algemene Verordening Gegevensbescherming (AVG)

Algemene Verordening Gegevensbescherming (AVG)

Voorbereid op de nieuwe privacywet in 10 stappen

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

De Master spreekt Privacywetgeving 2018 (AVG)

Privacybeleid. Kinderopvang Bam! Versie Kinderopvang Bam! Taj Mahalplaats NH Delft

Reglement AVG- Privacybeleid Osteopathie Gouda -Privacystatement

Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens door het volgende bedrijf (hierna te noemen uw Studiegroep):

Privacyreglement. 1 Bewustwording

Reglement AVG- Privacybeleid praktijk Osteopathie van den Houdt -Privacystatement

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

Reglement AVG- Privacybeleid Osteopathie Rotterdam -Privacystatement

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

Reglement AVG- Privacybeleid Osteopathie Oosterhout -Privacystatement

De nieuwe privacywetgeving:

Reglement AVG- Privacybeleid Praktijk voor Osteopathie AdFontes -Privacystatement

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Wettelijke kaders voor de omgang met gegevens

De AVG in vogelvlucht Wat moeten organisaties doen?

Privacy ondersteuning VNG/KING/IBD

Privacyverklaring. 1. Introductie. Naam zorgaanbieder: MoleMann Mental Health BV Wisselweg 158, Almere. Telefoon:

Transcriptie:

De AVG voor de zorg: 12 vragen en antwoorden Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector. 1. Wat is de AVG? De Algemene verordening gegevensbescherming (AVG) is een Europese verordening die betrekking heeft op de verwerking van persoonsgegevens van natuurlijke personen. Het regelt de privacyrechten van burgers en geeft verplichtingen voor overheden en bedrijven. De AVG vervangt de Wet bescherming persoonsgegevens (Wbp) en treedt per 25 mei 2018 in werking. Niet-naleving van de AVG kan leiden tot forse boetes (tot 20 miljoen euro of 4% van de wereldwijde jaaromzet) en aansprakelijkheid voor schade. 2. Is de AVG van toepassing op de zorgsector? De AVG geldt ook voor de zorgsector. De AVG is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Gegevens over de gezondheid van een persoon worden onder de AVG als bijzondere persoonsgegevens aangemerkt. Het verwerken daarvan is -net als onder de Wbp- verboden, tenzij daarvoor een in de AVG vastgelegde grondslag bestaat. 3. Blijven zorgspecifieke privacyregels van kracht? Zorgspecifieke privacyregels blijven naast de AVG van kracht, zoals die volgen uit de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de Wet kwaliteit, klachten en geschillen zorg (Wkkgz), de Wet op de beroepen in de individuele gezondheidszorg (Wet BIG), de Zorgverzekeringswet (Zvw), de Wet langdurige zorg (Wlz), de Wet marktordening gezondheidszorg (Wmg) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wagz). De AVG brengt ook geen veranderingen met zich mee voor het medisch beroepsgeheim. 4. Wanneer mogen patiëntgegevens onder de AVG worden verwerkt? De AVG kent zes grondslagen voor de rechtmatige verwerking van persoonsgegevens: 1) toestemming van de betrokkene, of als verwerking noodzakelijk is voor 2) uitvoering van een overeenkomst, 3) voldoen aan een wettelijke verplichting, 4) bescherming van vitale belangen, 5) vervulling van een taak van algemeen belang of uitoefening van openbaar gezag of als sprake is van 6) een (zwaarwegender) gerechtvaardigd belang van de gegevensverantwoordelijke of een derde. Verwerking van patiëntgegevens door een zorgaanbieder zal in de regel kunnen worden gebaseerd op de noodzaak van verwerking voor de uitvoering van de geneeskundige behandelingsovereenkomst en/of de toestemming van de patiënt (informed consent). Een schriftelijke (waaronder digitale) vastlegging van de toestemming van de patiënt (bijvoorbeeld in het medisch dossier) is noodzakelijk. Als de toestemming voor verwerking van patiëntgegevens reeds vóór inwerkingtreding van de AVG is verleend, dient binnen twee jaar vanaf 1

inwerkingtreding van de AVG (25 mei 2018) te worden getoetst of die toestemming in overeenstemming met de strengere voorschriften van de AVG is verkregen. Alleen dan is het opnieuw vragen van toestemming niet vereist. 2 5. Staat de AVG in de weg aan verstrekking van patiëntgegevens aan een zorg- of ziektekostenverzekeraar? De Wet marktordening gezondheidszorg (Wmg), de Zorgverzekeringswet (Zvw) en de Wet langdurige zorg (Wlz) regelen de verstrekking van gegevens van zorgaanbieders aan c.q. ten behoeve van zorg-/ziektekostenverzekeraars, voor zover dat voor uitvoering van de zorg-/ziektekostenverzekering of deze wetten noodzakelijk is (denk aan declaratie van zorgkosten of het uitvoeren van materiële controles). In de AVG is onder meer een uitzondering op het verbod tot het verwerken van persoonsgegevens bepaald, voor zover de verwerking noodzakelijk is voor doeleinden van het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten. De regelingen van de Wmg, Zvw en Wlz bieden een nationale rechtsbasis die onder de reikwijdte van deze uitzonderingsbepaling valt. 6. Wat zijn de rechten van de patiënt bij gegevensverwerking onder de AVG? Een betrokkene heeft bij verwerking van zijn of haar persoonsgegevens recht op: 1) transparante informatie en communicatie, 2) inzage en rectificatie, 3) verwijdering ( recht op vergetelheid ), 4) beperking van de verwerking, 5) overdraagbaarheid van gegevens ( dataportabiliteit ), 6) het maken van bezwaar en 7) niet te worden onderworpen aan geautomatiseerde individuele besluitvorming, waaronder profilering. Onder het recht van inzage is ook het recht op afgifte van een kopie geschaard. Nieuw is dat een eerste kopie kosteloos dient te worden verstrekt. Daar waar onder de huidige wetgeving voor afgifte van een kopie van een medisch dossier kosten in rekening mochten worden gebracht, kan dat onder de AVG bij een eerste kopie dus niet meer. Voor elke volgende kopie mag wel een redelijke vergoeding worden gerekend. Dataportabiliteit houdt in dat de patiënt het recht heeft om geautomatiseerde verwerkte gegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en het recht om de gegevens (rechtstreeks, indien technisch mogelijk) zonder verhindering aan een andere verwerkingsverantwoordelijke over te laten dragen. Met name bij de overstap naar een andere zorgaanbieder zal een beroep op dit recht relevant zijn, indien gegevens in een digitaal patiëntinformatiesysteem zijn geregistreerd. 7. Welke verplichtingen heeft de zorgaanbieder onder de AVG? De verplichtingen van een zorgaanbieder bestaan uit 1) het treffen van passende technische en organisatorische maatregelen om naleving van de AVG te waarborgen, 2) gegevensbescherming door ontwerp en standaardinstellingen, 3) het sluiten van overeenkomst met een verwerker, 4) het bijhouden van een register van verwerkingsactiviteiten, 5) het zorgdragen voor persoonsgegevensbeveiliging, 6) het melden van datalekken aan de 2

toezichthoudende autoriteit en betrokkene, 7) het uitvoeren van een gegevensbeschermingseffectbeoordeling en 8) het aanstellen van een functionaris voor de gegevensbescherming. Verplichtingen 2 t/m 8 worden in de volgende onderdelen toegelicht. 8. Wat is gegevensbescherming door ontwerp en standaardinstellingen? Gegevensbescherming door ontwerp en door standaardinstellingen (privacy by design & privacy by default) betekent dat bij het ontwikkelen en bij de (technische en organisatorische) instellingen van een programma, app, website of dienst maximale privacy wordt betracht. Kortom: niet méér verzamelen en bewaren van gegevens dan nodig is. Voor zorgaanbieders is deze verplichting van belang met het oog op het ontwerp en gebruik van bijvoorbeeld websites (geen vakjes vooraf aanvinken; geen opt-out, maar opt-in), social media en e-health-applicaties (bijv. niet onnodig de locatie van gebruikers registreren). Het gaat echter niet alleen om (ICT-)opties, maar ook om het gebruik van privacyvriendelijke algemene voorwaarden. Privacyonderwerpen mogen niet in lange documenten worden weggestopt. Transparantie staat voorop. 9. Wat is een verwerkersovereenkomst en wanneer is deze verplicht? Het gebruik van een digitaal patiëntinformatiesysteem, cloudservices (voor e-mail), e-health-applicaties, de uitbesteding van de personeelsadministratie aan een administratiekantoor en het overlaten van de declaratie van zorg aan een factoringmaatschappij; allemaal voorbeelden van externe dienstverlening die gepaard gaan met externe verwerking van (bijzondere) persoonsgegevens ten behoeve van de zorginstelling. In zulke gevallen zijn de zorginstelling (als gegevensverantwoordelijke) en de leverancier/dienstverlener (als verwerker) verplicht een verwerkersovereenkomst ( bewerkersovereenkomst onder de Wbp) te sluiten. In de verwerkersovereenkomst worden afspraken vastgelegd met het oog op naleving van de AVG, zoals over het doel van de verwerking, de beveiliging van gegevens, incidentenmanagement, het uitvoeren van audits en de voorwaarden voor inschakeling van subverwerkers. 10. Wat is het register van verwerkingsactiviteiten? Geldt deze verplichting voor alle zorgaanbieders? De AVG bevat de verplichting voor verwerkingsverantwoordelijken en verwerkers om een register bij te houden van activiteiten waarbij persoonsgegevens worden verwerkt. In het register dienen onder meer te worden opgenomen 1) de contactgegevens van de verantwoordelijke (en haar eventuele vertegenwoordiger en functionaris voor de gegevensbescherming, 2) de verwerkingsdoeleinden, 3) de categorieën van betrokkenen en persoonsgegevens, 4) de categorieën van partijen aan wie de gegevens zullen worden verstrekt, 5) indien gegevens aan derde landen (buiten de EU) worden verstrekt: vermelding van het derde land en waar nodig documentatie omtrent de genomen passende waarborgen voor de bescherming van persoonsgegevens in dit derde land, 6) de beoogde bewaartermijnen, en 7) een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen. 3

Deze verplichting geldt onder meer voor ondernemingen of organisaties die 250 of meer personen in dienst hebben of -ongeacht het aantal werknemers- als sprake is van stelselmatige verwerking van (bijzondere) persoonsgegevens en/of als die verwerking een hoog risico voor rechten en vrijheden van de betrokkene inhoudt. Ook (kleine) zorgaanbieders met minder dan 250 werknemers zullen dus een register moeten bijhouden, aangezien zij doorgaans structureel bijzondere persoonsgegevens (medische gegevens) van patiënten verwerken. 11. Wat is een gegevensbeschermingseffectbeoordeling? Welke zorginstellingen zijn verplicht zo n beoordeling uit te voeren? Een gegevensbeschermingseffectbeoordeling (DPIA: Data Privacy Impact Assessment) is het in kaart brengen van de privacygevolgen van gegevensverwerking. Deze beoordeling dient te worden verricht als de soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, omvang, context en doeleinden een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt. Een beoordeling is onder meer verplicht in geval van grootschalige verwerking van bijzondere persoonsgegevens, zoals in de zorg bij de verwerking van patiëntgegevens het geval kan zijn. In dit verband vindt de Artikel 29-werkgroep (het advies -en overlegorgaan van Europese privacytoezichthouders) de volgende omstandigheden van belang: het aantal betrokkenen, de hoeveelheid gegevens, de duur van de gegevensverwerking en de geografische reikwijdte van de verwerking. Als voorbeeld van grootschalige gegevensverwerking heeft de werkgroep een ziekenhuis genoemd en als voorbeeld voor niet-grootschalige gegevensverwerking een individuele arts. Voor beantwoording van de vraag of sprake is van een hoog risico heeft de Artikel 29-werkgroep negen criteria opgesteld. Voor de zorg relevante criteria zijn, naast de grootschaligheid van de verwerking, of sprake is van de verwerking van 1) gevoelige gegevens of gegevens met een hoog persoonlijk karakter en 2) gegevens die betrekking hebben op kwetsbare betrokkenen (zoals -volgens de werkgroeppatiënten). De werkgroep gaat ervan uit dat er sprake is van een hoog risico indien minstens twee van de negen criteria van toepassing zijn. Niettemin kan in sommige gevallen ook de toepasselijkheid van één van de criteria bepalend zijn. Als uit de beoordeling volgt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, is voorafgaande raadpleging van de Autoriteit Persoonsgegevens (AP) verplicht. 12. Wat is een functionaris voor de gegevensbescherming en (vanaf) wanneer is aanstelling verplicht? Een functionaris voor de gegevensbescherming (FG) (Data Protection Officer) ziet toe op de rechtmatige verwerking van persoonsgegevens binnen een organisatie. Volgens de AVG is een FG verplicht voor organisaties die hoofdzakelijk zijn belast met grootschalige verwerking van bijzondere categorieën persoonsgegevens (zoals patiëntgegevens). Voor zorginstellingen is van belang dat de Nederlandse wetgever op de komst van de AVG vooruitloopt. Vanaf 1 januari 2018 is het Besluit elektronische gegevensverwerking door zorgaanbieders van kracht. In dit besluit is de benoeming 4

van een FG voor instellingen als bedoeld in de Wkkgz verplicht gesteld, voor het geval sprake is van verwerking van bijzondere persoonsgegevens op grote schaal. Alleen solistisch werkende zorgverleners vallen niet onder de definitie van instelling. Voor de uitleg van het begrip op grote schaal sluit het Besluit aan bij het begrip grootschalige verwerking uit de AVG. De Artikel 29-werkgroep heeft als voorbeeld voor grootschalige gegevensverwerking een ziekenhuis genoemd en als voorbeeld voor niet-grootschalige gegevensverwerking, een individuele arts. Voor zorgaanbieders die niet solistisch werken, geldt dus in beginsel dat zij reeds per 1 januari 2018 over een FG dienen te beschikken. Een organisatie kan kiezen voor een interne of externe FG. De functie van FG mag met een andere functie worden gecombineerd, maar mag daarmee niet conflicteren. Advies? Voor advies over privacyvraagstukken in de zorg kunt u contact opnemen met mr. E. Luijendijk of mr. N. van den Burg, telefonisch (030-2122800) of per e-mail (e.luijendijk@kbsadvocaten.nl; n.vandenburg@kbsadvocaten.nl). 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback