U verwerkt als zorgverlener vaak gevoelige gegevens, zoals patiëntgegevens. Het is belangrijk dat deze gegevens beschermd zijn tegen ongeoorloofde toegang of wijziging door derden. Daarom dient u te voldoen aan de richtlijnen van de AVG, de Algemene Verordening Gegevensbescherming. Deze vallen onder het toezicht van de Autoriteit Persoonsgegevens (AP).
Voor de meeste praktijken is dit geen eenvoudige opgave. Het is tijdsintensief en ingewikkeld om alle richtlijnen te bestuderen. In een aantal stappen geven wij u inzicht in de belangrijkste regels rondom de AVG en helpen u bij de inrichting ervan.
Wilt u direct weten of uw praktijk klaar is voor de AVG en wat u eventueel nog moet doen, dan raden wij u aan de AVG Regelhulp te gebruiken.
De Functionaris Gegevensbescherming (FG) is iemand die toezicht houdt op de verwerking van persoonsgegevens. Het is niet voor iedere zorgorganisatie verplicht om een FG te hebben. Echter, wij adviseren u wel om deze rol binnen uw praktijk aan te wijzen. Via het dienstenpakket van Stichting Privacyzorg bent u ook verzekerd van een FG voor uw praktijk.
In een verwerkingsregister houdt u gegevens bij over de verwerking van persoonsgegevens. Met dit register toont u aan dat u aan de AVG voldoet. Voor het bijhouden van een verwerkingsregister kunt u dit sjabloon downloaden. Het bijhouden van het verwerkingsregister lijkt complex, maar door het sjabloon als basis te gebruiken, zijn veel van de velden al voor u ingevuld. Houd deze toelichting bij de hand bij het invullen van de overige velden.
Na het eenmalig invullen van een verwerkingsregister is het belangrijk om het document actueel te houden. Dat kunt u het beste doen door wijzigingen direct te verwerken en iemand hiervoor verantwoordelijk te maken binnen uw praktijk.
Na het eenmalig invullen van een verwerkingsregister is het belangrijk om het document actueel te houden. Dat kunt u het beste doen door wijzigingen direct te verwerken en iemand hiervoor verantwoordelijk te maken binnen uw praktijk.
Zoals gezegd geeft de AVG richtlijnen voor het verwerken van gegevens. Wanneer externe partijen in opdracht van u persoonsgegevens verwerken, dient u met deze partij een verwerkersovereenkomst af te sluiten. Hierbij kunt u denken aan uw HIS-leverancier of de salarisadministratie. Met deze verwerkersovereenkomst maakt u afspraken over hoe deze externe partijen de veiligheid van de gegevens garanderen.
Wanneer u twijfelt of een verwerkersovereenkomst nodig is, dan kunt u dit beslisschema van de LHV gebruiken om dit vast te stellen. Het kan zijn dat een leverancier een eigen verwerkersovereenkomst aanbiedt. U kunt dan deze checklist gebruiken om te bepalen of deze voldoet aan de verplichtingen van de AVG. Voor uw HIS-leverancier is het niet nodig om deze te controleren: deze is voor iedere praktijk hetzelfde en is door Stichting Privacyzorg gecontroleerd. BIedt een partij geen verwerkersovereenkomst aan, gebruik dan dit sjabloon om de verwerkersovereenkomst op te stellen. Deze dient door beide partijen ondertekend en gearchiveerd te worden.
Wanneer u twijfelt of een verwerkersovereenkomst nodig is, dan kunt u dit beslisschema van de LHV gebruiken om dit vast te stellen. Het kan zijn dat een leverancier een eigen verwerkersovereenkomst aanbiedt. U kunt dan deze checklist gebruiken om te bepalen of deze voldoet aan de verplichtingen van de AVG. Voor uw HIS-leverancier is het niet nodig om deze te controleren: deze is voor iedere praktijk hetzelfde en is door Stichting Privacyzorg gecontroleerd. BIedt een partij geen verwerkersovereenkomst aan, gebruik dan dit sjabloon om de verwerkersovereenkomst op te stellen. Deze dient door beide partijen ondertekend en gearchiveerd te worden.
Een DPIA staat voor ‘Data Protection Impact Assessment’. Deze brengt de risico’s in kaart van de gegevensverwerking in uw praktijk. Hiermee kunt u als praktijk maatregelen treffen om de risico’s te verkleinen. Net als bij een verwerkingsregister is het verstandig om deze actueel te houden. Wanneer u wijzigingen gaat doorvoeren zoals het wisselen van leverancier of HIS, is het dringende advies de DPIA opnieuw uit te voeren of te vernieuwen. U kunt een DPIA uitvoeren in samenwerking met uw leverancier, met hulp van Stichting Privacyzorg, of u kunt dit document raadplegen.
Er is altijd een risico dat er ondanks de maatregelen een datalek plaats vindt in uw praktijk. Wat een datalek precies is en of deze wel of niet gerapporteerd dient te worden, kunt u vinden op deze pagina. Hier vindt u ook tips en checklists om datalekken te voorkomen.
Er is altijd een risico dat er ondanks de maatregelen een datalek plaats vindt in uw praktijk. Wat een datalek precies is en of deze wel of niet gerapporteerd dient te worden, kunt u vinden op deze pagina. Hier vindt u ook tips en checklists om datalekken te voorkomen.
Heeft u na het doorlopen van de beschreven stappen nog vragen, dan is er een AVG helpdesk beschikbaar om specifieke vraagstukken te behandelen. Deze helpdesk heeft alle informatie op het gebied van AVG en privacy gebundeld en zoveel mogelijk toegankelijk gemaakt voor het zorgveld.
Ook kun je kijken naar het LHV Webdossier Informatiebeveiliging, die je op weg helpt om de juiste maatregelen te nemen om jouw praktijk veilig te houden.
Ook kun je kijken naar het LHV Webdossier Informatiebeveiliging, die je op weg helpt om de juiste maatregelen te nemen om jouw praktijk veilig te houden.
