logo_verbeteraars

info@zorgverbeteraars.nl

06 26 44 36 44 (bel)

06 26 44 36 44 (whatsapp)

Europese privacywetgeving en de gevolgen voor de zorgsector

Vanaf 25 mei 2018 is in iedere lidstaat van de Europese Unie de algemene verordening gegevensbescherming (AVG) van toepassing. Deze nieuwe privacyregelgeving zal de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. Welke gevolgen heeft dit voor de zorgsector?

door Rik Gerritsen (gastblog)

In de zorgsector worden hoofdzakelijk gezondheidsgegevens verwerkt. De term ‘verwerken’ behelst vrijwel alles; van het opslaan van persoonsgegevens, het registeren van gegevens, tot het anonimiseren van persoonsgegevens. De AVG kwalificeert deze gegevens als bijzondere persoonsgegevens, vanwege de gevoelige aard van deze gegevens. Verwerking van deze gegevens is in beginsel verboden. Uitzondering op de regel geldt onder andere wanneer de verwerking noodzakelijk is voor de zorgverlening of wanneer de patiënt expliciet toestemming geeft (Art. 9 AVG).

Er bestaat een spanningsveld tussen enerzijds de gezondheid van de patiënt, waarbij communicatie over het dossier van de patiënt noodzakelijk is, en anderzijds het waarborgen van de privacy; hierin zit de uitdaging om de theorie, praktisch uitvoerbaar te maken.

Administratieve veranderingen

De AVG verlangt meer transparantie rondom de verwerking van (bijzondere) persoonsgegevens (Art. 5 AVG). In de praktijk betekent dit onder meer dat betrokkenen in begrijpelijke taal worden geïnformeerd over de verwerking van hun gegevens en over hun rechten (Art. 12 AVG). Tevens introduceert de AVG een nieuw recht voor betrokkenen: het recht op ‘overdraagbaarheid van gegevens’ (Art. 20 AVG). Betrokkenen kunnen van hun zorgverlener verlangen dat zij (of een andere zorgverlener) hun persoonsgegevens in een automatisch gegenereerd bestand, zoals een PDF-bestand, willen ontvangen.

Zorginstellingen krijgen in de AVG een grotere verantwoordingsplicht (“Transparantie en het recht op informatie”). Dit uit zich onder andere in het verplicht aanleggen en bijhouden van een verwerkingsregister (Art. 30 AVG). In dit register beschrijft u onder meer welke gegevens er worden verwerkt en hoe lang deze worden opgeslagen. De Autoriteit Persoonsgegevens (AP) kan straks het verwerkingsregister vorderen. Indien u niet aan dergelijke vordering kunt voldoen loopt u het risico op een fikse boete.

Beveiliging

Net als de Wbp verplicht de AVG dat bijzondere persoonsgegevens adequaat worden beveiligd. In de zorgsector worden veelal de NEN-normen gevolgd. Onze inschatting is dat dit met de komst van de AVG (vooralsnog) niet anders zal zijn. Nieuw ten opzichte van de Wbp is dat de AVG een aantal concrete beveiligingsmaatregelen voorschrijft. Waar mogelijk dienen zorginstellingen te werken met pseudoniemen, wat inhoudt dat gezondheidsgegevens worden vervormd zodat deze niet meer herleidbaar zijn naar de desbetreffende patiënten. Als de opslagtermijn van de persoonsgegevens afloopt en u wilt deze gegevens gebruiken voor statistische of wetenschappelijke doeleinden, dan dient u deze gegevens te anonimiseren.

Een Data Protection Impact Assessments (DPIA) kan helpen te bepalen of het beveiligingsniveau van een systeem of proces adequaat is (Art. 35 AVG). Bij grootschalige verwerkingen van bijzondere persoonsgegevens, zoals in ziekenhuizen, is dit zelfs verplicht. De DPIA is een instrument om vroegtijdig privacy risico’s in kaart te brengen.

 

Datalekken

Maar liefst 29 procent van alle datalekken in het jaar 2016 vond volgens de AP plaats in de zorgsector (“Datalekken zorg zorgwekkend probleem”). Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan of een onrechtmatige verwerking niet is uit te sluiten. Onder het regime van de AVG moet een datalek uiterlijk binnen 72 uur na ontdekking bij de AP worden gemeld (Art. 33 AVG). Bij de melding van een datalek aan de AP, zult u ook een afweging moeten maken om dit al dan niet te melden aan betrokkenen. Vraag uzelf af of het datalek ongunstige gevolgen heeft of kan hebben voor de persoonlijke levenssfeer van betrokkenen. Dit zal vrijwel altijd het geval zal zijn met het verlies van medische gegevens; zo lekte in 2016 een lijst met namen en gegevens van duizenden patiënten die worden behandeld voor psychiatrische problemen doordat een e-mail naar een aantal verkeerde adressen werd gestuurd (“Meeste melding van datalekken uit zorgsector”).

Tot slot

Hetgeen hierboven is beschreven is geen uitputtende lijst met verplichtingen vanuit de AVG. Het is een indicatie van wat er staat te gebeuren. Als verwerker van bijzondere persoonsgegevens zult u een Functionaris voor gegevensbescherming (FG) moeten aanstellen. Werk vervolgens nauw samen met de FG om privacyvriendelijk beleid op te stellen. Het beleidsplan zal de leidraad worden om te kunnen voldoen aan de wettelijke normen.

Communiceer binnen uw instelling goed met uw collega’s, de FG en leveranciers over het waarborgen van de privacy van patiënten. Creëer bewustwording: zo raakt iedereen er gebrand op om bijvoorbeeld niet zomaar bij een collega achter de computer te gaan zitten, nonchalant om te gaan met wachtwoorden en/of bewust of onbewust persoonsgegevens te delen met derden die niet bevoegd zijn.

Rik Gerritsen is jurist bij LegalIT en volgt op de voet alle ontwikkelingen rondom privacy gerelateerde wetgeving en beleid.
Samen met drie vennoten adviseert hij organisaties over hoe zij hun privacybeleid compliant kunnen maken aan de algemene verordening gegevensbescherming (AVG).
LegalIT biedt u praktische oplossingen voor al uw privacy- en securityvraagstukken.

Wij maken graag dingen beter.

Meer over Zorgverbeteraars

Gerelateerd

Derde editie ‘Kwaliteit verbeteren in de Zorg’ in de maak

Kwaliteit verbeteren in de zorg is een praktisch handboek voor (toekomstige) zorgverleners. Het helpt je de kennis en vaardigheden te …

Lees meer

Uit de oude doos, wat betekent ons logo?

Huisstijl Zorgverbeteraars, ons verjaardagscadeautje 5 jaar geleden

Lees meer

Verslag #Ontdekdezorgweek

In het kader van #Ontdekdezorg Week liep Zorgverbeteraar Bas Smit een avondje mee op de Huisartsenpost in Drachten. Een kort …

Lees meer

Ontwerp & Realisatie Publiek