Download onze Whitepaper
Wil jij gaan starten als zzp’er in de zorg of ben je al een tijdje ondernemer en wil je nog eens kijken of je alles op orde hebt? Download dan onze gratis whitepaper.
DownloadDrie mythes over de AVG
Laatste update 17 oktober 2022 om 11:52
Wij bespreken in dit artikel drie mythes rondom de AVG. Wij eindigen het artikel met een lijst van verplichtingen vanuit de AVG. Zodat ook jij persoonsgegevens op de juiste manier kan beschermen.
Mythe 1: door de AVG-wetgeving mag er niks meer
De AVG lijkt qua tekst en inhoud heel erg op zijn voorganger de Wet bescherming persoonsgegevens (Wbp). De meeste regels bestonden al, maar waren wij gewoon even vergeten. Een (be)verwerkersovereenkomst bijvoorbeeld moet technisch gezien al jarenlang afgesloten worden. En ook de beveiligingseisen zijn nagenoeg hetzelfde gebleven. De verwerkingen die je al deed mogen in 99% van de gevallen nog steeds. De AVG vereist wel dat je hierover hebt nagedacht en dat je dit zo veilig mogelijk doet. Gezien de medische gegevens die je verwerkt, is dat ook logisch.
Mythe 2: wij mogen geen gegevens meer uitwisselen
In veel gevallen zijn persoonsgegevens nodig om zorg te kunnen leveren. Indien noodzakelijk mag je persoonsgegevens delen, maar wel onder bepaalde voorwaarden. Ten eerste moet de gegevensuitwisseling noodzakelijk zijn. Ten tweede mag je onder de AVG en Wet op de Geneeskundige BehandelingsOvereenkomst (WGBO) in de regel alleen gegevens van de patiënt delen met derden, met toestemming van de patiënt.
Dit hoeft niet als het gaat om een waarnemer of een rechtstreeks betrokkene. Zzp’ers in de thuiszorg zullen vaak met een groepje zorgverleners en een instelling de zorg op zich nemen. Betoogd kan worden dat al deze zorgverleners dan rechtstreeks betrokken zijn bij dezelfde zorg. Overigens strekt het begrip rechtstreeks betrokkene verder dan alleen zorgverleners. Op basis van dit begrip mag ook bijvoorbeeld een administratiekantoor of de overhead van een zorgorganisatie persoonsgegevens verwerken.
Het voorgaande laat zien dat samenwerking en de bijbehorende gegevensuitwisseling tussen zorgaanbieders mogelijk is. Wel moet nagedacht worden over de opbouw van het medisch dossier. Zorg dat hier gezamenlijk goede afspraken over gemaakt worden. Denk aan thema’s als:
- Wie bewaart het dossier na gebruik?
- Hebben andere zorgaanbieders dan nog recht op de informatie?
- Wie is verantwoordelijk voor welke informatie?
- Wat als een patiënt een verwijderingsverzoek doet? (of een ander verzoek)
- Mag een zzp’er het Elektronisch cliëntendossier (ECD) van de instelling gebruiken en zo ja hoe?
- Welke gegevens mag de zzp’er inzien?
- Hoe worden gebruikte apparaten (telefoon, tablet) beschermd?
Deze afspraken moeten passen bij de verwachtingen die de patiënt heeft. Zorg er ook voor dat de gegevensuitwisseling veilig gebeurt. Van belang hierbij is dat de beveiliging op orde is en dat de gegevensuitwisseling binnen Europa en daarmee onder Europese regelgeving plaatsvindt. Wees daarom voorzichtig met Amerikaanse middelen zoals Whatsapp of Outlook. Het is beter om te kiezen voor één van de Europese varianten gericht op de zorg, zoals bijvoorbeeld Siilo en Zorgmail. Check bij verzending ook altijd goed of de mail naar de juiste persoon gaat, dit is één van de meest gemaakte fouten. Dit alles zodat gegevensuitwisseling zo veilig mogelijke plaatsvindt.
Mythe 3: wij moeten nu overal toestemming voor vragen
Als zorgaanbieder hoef je meestal geen toestemming te vragen voor de verwerking van persoonsgegevens. Je mag gewoon behandelen en in dat kader alle persoonsgegevens opslaan en gebruiken die nodig zijn voor de zorg. De wetgever heeft dit voor jou bepaald. Een toestemmingsformulier toevoegen bij de inschrijving is dus niet per se nodig.
Wil je persoonsgegevens gebruiken voor iets anders dan de behandeling, dan kan toestemming wel nodig zijn. Wil je bijvoorbeeld persoonsgegevens doorgeven buiten de normale behandelkring en behandelovereenkomst bijvoorbeeld bij een verwijzing, dan heb je toestemming nodig van de patiënt. Dit hoeft niet per se schriftelijk, maar noteer een mondelinge toestemming in elk geval wel in het dossier.
Doe je bijvoorbeeld standaard kwaliteitsonderzoek op verzoek van een verzekeraar dan kan het wel handig zijn om hier voorafgaand aan de behandeling al toestemming voor te vragen, eventueel schriftelijk. Dan heb je alle formaliteiten in één keer gehad.
Geen mythe maar de echte verplichtingen
De AVG heeft mythes voortgebracht. Natuurlijk staan in de AVG ook veel daadwerkelijke verplichtingen. In het onderstaande schema hebben wij de belangrijkste verplichtingen nog een keer voor de zzp’er in de zorg onder elkaar gezet.
| Meer info | ||
| Grondslag | U heeft een valide reden nodig voor elke verwerking, bijvoorbeeld de behandelovereenkomst, een wettelijke verplichting of toestemming.
| Klik hier Zie stap 2 |
| Privacyverklaring | Een openbaar document waaruit geïnteresseerden kunnen opmaken hoe de organisatie omgaat met persoonsgegevens.
| Klik hier |
| Privacybeleid | Indien dit passend is voor uw organisatie moet u ook intern beleid opstellen, waaruit voor medewerkers duidelijk wordt hoe om te gaan met persoonsgegevens. Bij gebrek aan medewerkers, kan zeker bij zzp’ers afgevraagd worden of privacybeleid nodig is. Wel is het verstandig afspraken te maken met andere betrokken zorgverleners/instelling(en).
| |
| Verwerkingsregister | Een intern overzicht waaruit in één oogopslag blijkt welke gegevens de organisatie verwerkt en op welke wijze.
| Klik hier Zie stap 4 |
| Verwerkers-overeenkomst | Een overeenkomst met afspraken tussen de verwerker en verantwoordelijke.
| Klik hier Zie stap 5 |
| Datalekregister | Een document waarin u intern alle datalekken registreert. Denk er ook aan dat u de datalekken meldt bij de AP en de betrokkene(n) indien nodig.
| Klik hier Zie stap 6 |
| Beveiliging | De organisatorische en technische beveiliging van persoonsgegevens moet voldoende zijn.
| |
| Functionaris gegevensbescherming (FG) | De termen FG en DPIA zal de zzp’er in verband met de AVG tegenkomen. Dit zijn echter verplichtingen die niet gelden voor eenpitters, wat een ZZP’er per definitie is. Een FG is een medewerker of externe dienstverlener gespecialiseerd in de AVG en de daaruit voortvloeiende verplichtingen.
De DPIA is een risicoanalyse. | |
| DPIA |
Verplichtingen kunnen samenhangen met de positie van de zzp’er als ofwel verwerker ofwel verwerkingsverantwoordelijke. Zie hierover ons volgende artikel: klik hier.
Conclusie
Het is niet waar dat je niets meer mag, geen persoonsgegevens meer mag uitwisseling of overal toestemming voor nodig heeft. Wel moet je zorgvuldig met de persoonsgegevens omgaan. De AVG geeft daarvoor een wettelijk kader, zorg dat je hieraan voldoet. Je werkt immers wel met zeer gevoelige medische gegevens.
Dit artikel is geschreven door Kitty ten Bras jurist bij Eldermans|Geerts.
Deel dit bericht via:
SoloPartners
SoloPartners is dé brancheorganisatie voor zzp’ers in de zorg. Wij volgen de ontwikkelingen in de zorg en verspreiden actuele en begrijpelijke voorlichting en informatie aan onze leden en niet-leden. Het streven is om dé bron van informatie te zijn voor de zelfstandige zorgprofessional. Als lid van SoloPartners ondersteunen wij de zzp’er in de zorg in het voldoen aan wet- en regelgeving. Wil je weten hoe, lees dan verder.
Word direct lid Meer infoSluit je aan bij meer dan 40.000 leden
Basispakket
75,-
per jaar
- Erkende klachtenregeling
- Certificaat
- Gratis klachtenafhandeling
Kwaliteitspakket
160,-
per jaar
- Erkende klachtenregeling
- Jaarlijks gratis VOG
- Modelovereenkomsten