Nieuws

De AVG stap voor stap

dinsdag 15 mei 2018    Dit artikel delen

De vragen omtrent de AVG blijven binnenstromen. Moet ik als zzp’er in de zorg voldoen aan de AVG? Hoe voldoe ik als zzp’er in de zorg aan de AVG? Hoe ga ik om met de privacyverklaring? Om je antwoord te geven op deze vragen besteden we nog eens extra aandacht aan dit onderwerp. Eerder dit jaar beschreven we een en ander over de AVG en waarom dit een belangrijk onderwerp is. 

Stap 1: geldt de AVG voor mij?

Vanaf 25 mei treedt de nieuwe Europese privacywet in werking en uiteraard is de vraag of dit voor jou ook van toepassing is als zzp’er in de zorg. Op het moment dat jij als ondernemer werkt met persoonsgegevens, is de AVG van toepassing op jou. Zzp’ers in algemene zin hebben dus absoluut te maken met de AVG, ze schrijven immers facturen uit. In de zorg verdient dit onderwerp nog eens extra jouw aandacht, omdat jij naast de naam en adres van jouw cliënt op een factuur, ook heel privacy gevoelige informatie opschrijft in bijvoorbeeld het zorgdossier. Ja, de AVG geldt dus ook voor zzp’ers in de zorg.

Stap 2: mág ik gegevens opslaan?

Niet iedereen mag zomaar gevoelige gegevens opslaan. Er moet een wettelijke grondslag zijn om dit te mogen doen. De Autoriteit Persoonsgegevens heeft een handig overzicht gemaakt van de 6 grondslagen die een reden vormen om persoonsgegevens te mogen verwerken; als je toestemming krijgt, als je vitale belangen dient, omdat je het wettelijk verplicht bent, omdat je een overeenkomst sluit, omdat het een algemeen belang dient of omdat je jouw belang kunt rechtvaardigen. Een zzp’er in de zorg heeft bijvoorbeeld vanuit de beroepsinhoud en kwaliteitswetgeving Wkkgz zowel ‘vitale belangen’ als ‘wettelijke verplichtingen’ om gegevens op te slaan. Ja, je mag dus gegevens opslaan.

Nieuwe privacywetgeving vanaf 25 mei 2018. Geldt de AVG voor mij?

Stap 3: mijn cliënt informeren

Je bent verplicht om aan jouw opdrachtgevers en cliënten kenbaar te maken dat jij gegevens opslaat. Het informeren van jouw klanten doe je via een privacyverklaring. Die privacyverklaring vinden kwaliteitsleden binnen de online omgeving van SoloPartners. Door de privacyverklaring te overleggen, geef je bij jouw klanten aan hoe en om welke redenen zij gevoelige informatie opslaat. Het is verstandig om klanten te laten tekenen voor het ontvangen van jouw verklaring. Zij bevestigen daarmee dat zij het belang van het opslaan van hun gevoelige informatie ondersteunen. Verplicht is het ondertekenen niet, de privacyverklaring dient ter informatie.

Stap 4: maak een verwerkingsregister aan

Binnen de AVG wordt van je verlangd dat je beschrijft welke persoonsgegevens je verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie je ze deelt. Deze informatie moet worden opgeslagen in een zogenaamd ‘verwerkingsregister’. Letterlijk; een register die beschrijft hoe jij jouw gegevens verwerkt. In dit register moet dus staan waarom je gevoelige gegevens opslaat en waar het vandaan komt. Waar je deze gegevens en dit register opslaat dien je ook te vermelden. Zodat jij kunt bewijzen dat je nagedacht hebt over wat je met persoonsgegevens doet. Je mag voor zo’n verwerkingsregister een eigen format gebruiken. De wijze waarop je toestemming vraagt aan klanten (bijvoorbeeld bij de intake, of via jouw website) moet ook in dit register beschreven worden.

Stap 5: sluit verwerkersovereenkomsten

Als jij een andere partij gebruikt om gevoelige gegevens bij op te slaan, dan dien je als zzp’er een ‘verwerkersovereenkomst’ af te sluiten met die leverancier. De leverancier ‘verwerkt’ in opdracht van jou gevoelige informatie. Denk hierbij bijvoorbeeld aan de leverancier van een Electronisch Clientendossier (ECD), een beveiligde app op jouw telefoon, of.. SoloPartners, waar jij bijvoorbeeld de beveiligde online omgeving gebruikt om jouw incidenten en klachten bij te registreren.

Stap 6: rapporteer datalekken

Een datalek moeten rapporteren is geen nieuwe eis, maar was al van toepassing. Ook hiervoor vind je een formulier binnen de online omgeving van SoloPartners. Met het registreren van een datalek kun jij aantonen hoe jij omgegaan bent met het verliezen van gevoelige informatie en dat je hier oog voor hebt gehad. Uiteraard is het de bedoeling dat je tot verbeteracties komt om herhaling te voorkomen.

FAQ: Heb ik per se een verwerkingsregister nodig?

Een veelgestelde vraag is of jij als zzp’er een verwerkingsregister nodig hebt. Een verwerkingsregister biedt inzage in waar je allemaal gegevens hebt opgeslagen en wie daar toegang tot hebben. Is het nou noodzakelijk dat ook jij een verwerkingsregister nodig hebt? Het is een onderwerp waar veel verschil van mening over is. Wij zijn van mening dat het niet noodzakelijk is dat je zo’n register hebt als zzp’er in de zorg. Het is zo dat zzp’ers in de zorg met risicovolle gegevens werken, maar in de praktijk worden die gegevens één plaats opgeslagen worden en niet op meerdere plaatsen. Die ene plaats is dan de relevante locatie voor het verwerkingsregister. Er is geen sprake van een onoverzichtelijk aantal plaatsen waar informatie wordt opgeslagen. Een zzp’er beheert en verwerkt de gegevens zelf en weet waar die staan. Wat ons betreft is zo’n register dus niet noodzakelijk. Waar jij uiteindelijk voor kiest is uiteraard aan jezelf.

Tot zover ons overzicht over de stappen die je kunt zetten in het AVG proof maken van jouw onderneming. Verdere vragen? Mail ze ons >>

Dit artikel delen