Informatie AVG
AVG in de Osteopathie praktijk
De AVG regelt het verzamelen, bewaren en verwerken van persoonlijk informatie van burgers en de mogelijkheid inzicht hierin te geven. Tevens de beveiliging van deze data.
Wij wijzen u voor de uitgebreide informatie en concrete stappen voor uw praktijkvoering 2018 allereerst naar de bekende openbare informatie hiertoe.
Zie hiertoe de broninformatie over AVG op op de website van de Autoriteit Persoonsgegevens.
Belangrijk is het toenemend besef dat de aanwijzingen niet een vrijblijvend maar een verplichtend karakter hebben, ook in de medische praktijkvoering.
Zie Autoriteit Persoonsgegevens:
Zie Veelgestelde vragen van zorgaanbieders en de gegeven antwoorden
Welke maatregelen moet ik nemen om patiëntgegevens te beveiligen?
Moet u als zorgaanbieder een FG aanwijzen?
Moet u als zorgaanbieder een DPIA doen?
Moet ik als zorgaanbieder ook een DPIA doen voor bestaande verwerkingsactiviteiten?
Bent u als kleine zorgaanbieder verplicht om een register van verwerkingsactiviteiten op te stellen?
Mag u onder de AVG persoonsgegevens verstrekken aan zorgverzekeraars?
Zie Vragen over privacyrechten in de zorg en de antwoorden
Verandert het recht op inzage voor het medisch dossier onder de AVG?
Geldt het recht op dataportabiliteit ook voor medische dossiers?
Geldt het recht op vergetelheid ook voor medische dossiers?
Zie Vragen over AVG & andere regels in de zorg en de antwoorden
Hoe verhoudt de AVG zich tot het beroepsgeheim en de Wgbo?
Wat is de verhouding tussen de AVG en de Wet cliëntenrechten bij elektronische verwerking van gegevens?
Tevens treft u in de balk naast dossier AVG ook het kopje “zelf doen” etc. met voorbeelden.
Praktisch voor u als zorgverlener Osteopathie:
1 Maak een privacybeleid en een privacyverklaring
U dient intern een privacybeleid te publiceren waarin staat wie welke rol heeft bij de omgang met persoonsgegevens in het algemeen en cliëntgegevens in het bijzonder. Het is belangrijk dat medewerkers daarvan op de hoogte zijn. Zij moeten dus regelmatig worden getraind in
het zorgvuldig omgaan met persoonsgegevens.
Voor de belanghebbenden binnen en buiten de praktijk maakt u een privacyverklaring. Die verklaring moet in eenvoudige taal precies en volledig uitleggen wat u doet met persoonlijke gegevens. Ook moet u mensen wijzen op hun rechten, zoals dat men gegevens mag aanpassen, het dossier mag inzien of zelfs laten vernietigen. Ook staan er contactgegevens in van de contactpersoon voor wat betreft gegevensbescherming (FG). Bovendien moet u de mensen wijzen op de mogelijkheid een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.
2 Zorg voor een datalekregistratie
Een datalek is een incident waarbij vertrouwelijke persoonsgegevens (mogelijk) onterecht verloren zijn gegaan, beschadigd werden of voor onbevoegden beschikbaar waren. Een datalek is natuurlijk niet leuk en iedereen probeert dat te voorkomen. Mocht het toch gebeuren, dan moet u dat datalek
goed documenteren. Ook als er geen verplichting bestaat tot het melden van het datalek aan de toezichthouder. Leg goed vast wat de oorzaak was, de gevolgen, wat u heeft gecommuniceerd en wat u heeft veranderd om herhaling te voorkomen.
3 Stel een verwerkingsregister op
Nieuw is dat alle verwerkingen (gebruik en/of opslag) van persoonsgegevens dienen te worden gedocumenteerd in een register. Daarin staan: uw praktijknaam, contactpersoon (verantwoordelijk voor gegevensbescherming) en contactgegevens. Daarnaast beschrijft u de categorieën persoonsgegevens en de doeleinden waarvoor deze worden verwerkt en aan wie ze eventueel worden verstrekt. Tenslotte wordt informatie opgenomen over de bewaartermijn van deze gegevens en hoe deze zijn beveiligd. Leg ook vast hoe en op welk moment gegevens worden verwijderd omdat u deze niet meer nodig hebt.
4 Sluit een verwerkersovereenkomst met uw leveranciers
In een dergelijke overeenkomst staan afspraken tussen u en de leverancier over de omgang met persoonlijke gegevens. Te denken valt aan het doel waarvoor de leverancier gegevens verwerkt, maar ook hoe te handelen bij een datalek. Ook staat er een geheimhoudingsverklaring in en informatie over eventuele sub-verwerkers aan wie diensten door de verwerker zijn uitbesteed. Een leverancier kan uw software-aanbieder zijn, maar ook uw accountant (salarisadministratie), een waarnemer of een externe systeembeheerder/ IT-adviseur.
5 Benoem een Functionaris Gegevensbescherming (FG)
Ook al is het niet helemaal duidelijk of het benoemen van een Functionaris Gegevensbescherming (FG) voor praktijken verplicht is, adviseren wij dit wel. Het gaat tenslotte om gevoelige zorggegevens. Het is goed een vast persoon in uw praktijk te benoemen die de centrale contactpersoon is op het gebied van gegevensbescherming. Communicatie en documentatie worden centraal en dus eenduidiger uitgevoerd. Als u een eenmanspraktijk hebt, is de praktijkeigenaar natuurlijk zelf het
aanspreekpunt.
6 Onderzoek privacy risico’s
Als u ná 31 mei 2018 een nieuwe gegevensverwerking start waar een risico met betrekking tot persoonlijke gegevens bestaat, dan dient u dat risico te onderzoeken voordat u die gegevensverwerking start. Dat geldt ook wanneer een dergelijke gegevensverwerking wijzigt. U kunt denken aan wanneer u een praktijk overneemt of nieuwe software implementeert. In een dergelijk onderzoek benoemt u risico’s en formuleert u maatregelen om die risico’s te verkleinen.
7 Zorg dat uw beveiliging op orde is
Uw beveiliging moet op orde zijn en blijven. Die beveiligingsmaatregelen moeten passend zijn bij het risico en de gevoeligheid van de gegevens. Ze kunnen fysiek zijn (afsluitbare ruimten en kasten, opgeruimde bureaus) en digitaal (firewall, virusbeveiliging). Zorg bijvoorbeeld dat u bij uit dienst treden van medewerkers direct sleutels inneemt en hun systeemrechten verwijdert. Uw gegevens staan op een streng beveiligde locatie en worden regelmatig gebackupt.
8 Tref voorbereidingen op de uitgebreide cliëntrechten
Een aantal rechten bestaat al langer, maar nu worden rechten voor cliënten meer nadrukkelijk neergezet. Te denken valt aan het recht op correctie, op inzage en op verwijdering (wissing).
Nieuw is een recht op dataportabiliteit, waarbij een cliënt het recht heeft zijn/haar gegevens mee te nemen in een veelgebruikt en leesbaar formaat. Een goed formaat is Excel, Word of pdf.
Voor de goede orde: het gaat hier alleen om informatie die de cliënt zelf aan u heeft aangeleverd. Dus niet om informatie van de zorgverlener, zoals behandelinformatie en diagnoses.
Het recht op dataportabiliteit is een nieuw recht onder de AVG.
Het is het recht van patiënten om persoonsgegevens mee te nemen en over te dragen aan een andere zorgaanbieder. Het recht geldt voor een deel van de gegevens in medische dossiers.
Welke gegevens wel
De persoonsgegevens die uw patiënt zelf actief en bewust heeft verstrekt, vallen onder het recht op dataportabiliteit. Dat geldt ook voor de gegevens die de patiënt indirect heeft verstrekt door het gebruik van een dienst of een apparaat.
Welke gegevens niet
De gegevens in het medisch dossier die niet direct of indirect door het gebruik van een dienst of een apparaat door de patiënt zijn verstrekt, vallen niet onder het recht op dataportabiliteit. Het recht op dataportabiliteit geldt bijvoorbeeld niet voor de conclusies, diagnoses, vermoedens of behandelplannen die u als zorgverlener op basis van de door de patiënt verstrekte gegevens vaststelt.
Geldt het recht op vergetelheid ook voor medische dossiers?
Het recht om vergeten te worden geldt in principe niet voor medische dossiers. Patiënten mogen u wel vragen om gegevens uit hun medisch dossier te verwijderen.
Deze wet regelt dat mensen het recht hebben om hun zorgverlener te vragen om de gegevens eerder te vernietigen. U moet daar gehoor aan geven, tenzij een bepaald voorschrift of specifieke wet bepaalt dat u de gegevens moet bewaren. Bijvoorbeeld vanwege het belang van iemand anders. Of omdat de gegevens nodig zijn voor het leveren van zorg.
Reageren op een verzoek
Heeft een patiënt u gevraagd om vernietiging van zijn of haar medisch dossier? Dan moet u als zorgverlener binnen 3 maanden aan dit verzoek voldoen. Wanneer u het verzoek afwijst, dan moet u de patiënt laten weten waarom. Het liefst schriftelijk.
Verwijdert u alleen een onderdeel uit het medisch dossier? Dan kunt u in het dossier vermelden dat een deel van de gegevens op verzoek van de patiënt is verwijderd.
Toestemming verwerking persoonsgegevens?
Voor de doorgifte van persoonsgegevens aan derden kan het vragen van toestemming wel nodig zijn. Voor het verstrekken van persoonsgegevens aan zorgverzekeraars heeft u geen toestemming nodig van de patiënt. Dit is wel het geval voor het verstrekken van persoonsgegevens aan huisarts/verwijzers en overige zorgverleners buiten uw praktijk. De wijze waarop toestemming wordt verkregen is vormvrij volgens de Wgbo en kan dus mondeling. De toestemming dient u wel vast te leggen in het dossier (een vinkje ‘toestemming’ in het dossier).
Resumerend
- Maak een AVG-map
- Personeel in dienst? Ook de verwerking van personeelsgegevens valt onder de AVG.
- Het is raadzaam om in het jaarverslag van uw praktijk een hoofdstuk op te nemen waarin u beschrijft wat er het afgelopen jaar t.a.v. de AVG gebeurd is en hierin het verwerkings- en datelekregister opneemt.
- Stop een voorbeeld van het privacybeleid ook in de PIM!
Het bestuur NOF
Deze handleiding is zorgvuldig samengesteld. Echter, u kunt er geen rechten aan ontlenen: de uiteindelijke wettekst(en), die u kunt downloaden via de website van de Autoriteit Persoonsgegevens, zijn leidend.