Drie mythes over de AVG

Geplaatst op: 26 juli 2019 - Aangepast op: 26 mei 2020 - Dit artikel printen - Dit artikel delen

Feit vs Fictie

De Algemene verordening gegevensbescherming (AVG) is een jaar geleden van toepassing geworden. Privacy en gegevensbescherming staan sindsdien hoog op de agenda. De meeste organisaties zijn sindsdien dan ook begonnen met de implementatie van de AVG, maar dit levert nog steeds veel verwarring op. Daarom bespreken wij in dit artikel de drie belangrijkste mythes rond de AVG. Wij eindigen het artikel met een lijst van verplichtingen vanuit de AVG. Zodat ook jij persoonsgegevens op de juiste manier kan beschermen.

Mythe 1: door de nieuwe wetgeving mag er niks meer

De AVG lijkt qua tekst en inhoud heel erg op zijn voorganger de Wet bescherming persoonsgegevens (Wbp). De meeste regels bestonden al, maar waren wij gewoon even vergeten. Een (be)verwerkersovereenkomst bijvoorbeeld moet technisch gezien al jarenlang afgesloten worden. En ook de beveiligingseisen zijn nagenoeg hetzelfde gebleven. De verwerkingen die je al deed mogen in 99% van de gevallen nog steeds. De AVG vereist alleen wel dat je hierover hebt nagedacht en dat je dit zo veilig mogelijk doet. Gezien de medische gegevens die je verwerkt, is dat ook logisch.

Mythe 2: wij mogen geen gegevens meer uitwisselen

In veel gevallen zijn persoonsgegevens nodig om zorg te kunnen leveren. Indien noodzakelijk mag je persoonsgegevens delen, maar wel onder bepaalde voorwaarden. Ten eerste moet de gegevensuitwisseling noodzakelijk zijn. Ten tweede mag je onder de AVG en Wet op de Geneeskundige BehandelingsOvereenkomst (WGBO) in de regel alleen gegevens van de patiënt delen met derden, met toestemming van de patiënt.

Dit hoeft niet als het gaat om een waarnemer of een rechtstreeks betrokkene. Zzp’ers in de thuiszorg zullen vaak met een groepje zorgverleners en een instelling de zorg op zich nemen. Betoogd kan worden dat al deze zorgverleners dan rechtstreeks betrokken zijn bij dezelfde zorg. Overigens strekt het begrip rechtstreeks betrokkene verder dan alleen zorgverleners. Op basis van dit begrip mag ook bijvoorbeeld een administratiekantoor of de overhead van een zorgorganisatie persoonsgegevens verwerken.

Het voorgaande laat zien dat samenwerking en de bijbehorende gegevensuitwisseling tussen zorgaanbieders mogelijk is. Wel moet nagedacht worden over de opbouw van het medisch dossier. Zorg dat hier gezamenlijk goede afspraken over gemaakt worden. Denk aan thema’s als:

  • Wie bewaart het dossier na gebruik?
  • Hebben andere zorgaanbieders dan nog recht op de informatie?
  • Wie is verantwoordelijk voor welke informatie?
  • Wat als een patiënt een verwijderingsverzoek doet? (of een ander verzoek)
  • Mag een zzp’er het Elektronisch cliëntendossier (ECD) van de instelling gebruiken en zo ja hoe?
  • Welke gegevens mag de zzp’er inzien?
  • Hoe worden gebruikte apparaten (telefoon, tablet) beschermd?

Deze afspraken moeten passen bij de verwachtingen die de patiënt heeft. Zorg er ook voor dat de gegevensuitwisseling veilig gebeurt. Van belang hierbij is dat de beveiliging op orde is en dat de gegevensuitwisseling binnen Europa en daarmee onder Europese regelgeving plaatsvindt. Wees daarom voorzichtig met Amerikaanse middelen zoals Whatsapp of Outlook. Het is beter om te kiezen voor één van de Europese varianten gericht op de zorg, zoals bijvoorbeeld Siilo en Zorgmail. Check bij verzending ook altijd goed of de mail naar de juiste persoon gaat, dit is één van de meest gemaakte fouten. Dit alles zodat gegevensuitwisseling zo veilig mogelijke plaatsvindt.

Mythe 3: wij moeten nu overal toestemming voor vragen

Als zorgaanbieder hoef je meestal geen toestemming te vragen voor de verwerking van persoonsgegevens. Je mag gewoon behandelen en in dat kader alle persoonsgegevens opslaan en gebruiken die nodig zijn voor de zorg. De wetgever heeft dit voor jou bepaald. Een toestemmingsformulier toevoegen bij de inschrijving is dus niet per se nodig.

Wil je persoonsgegevens gebruiken voor iets anders dan de behandeling, dan kan toestemming wel nodig zijn. Wil je bijvoorbeeld persoonsgegevens doorgeven buiten de normale behandelkring en behandelovereenkomst bijvoorbeeld bij een verwijzing, dan heb je toestemming nodig van de patiënt. Dit hoeft niet per se schriftelijk, maar noteer een mondelinge toestemming in elk geval wel in het dossier.

Doe je bijvoorbeeld standaard kwaliteitsonderzoek op verzoek van een verzekeraar dan kan het wel handig zijn om hier voorafgaand aan de behandeling al toestemming voor te vragen, eventueel schriftelijk. Dan heb je alle formaliteiten in één keer gehad.

Geen mythe maar de echte verplichtingen

De AVG heeft een hoop mythes voortgebracht. Natuurlijk staan in de AVG ook veel daadwerkelijke verplichtingen. In het onderstaande schema hebben wij de belangrijkste verplichtingen nog een keer voor de zzp’er in de zorg onder elkaar gezet.

Meer info
Grondslag U heeft een valide reden nodig voor elke verwerking, bijvoorbeeld de behandelovereenkomst, een wettelijke verplichting of toestemming.


Klik hier
Zie stap 2
Privacyverklaring Een openbaar document waaruit geïnteresseerden kunnen opmaken hoe de organisatie omgaat met persoonsgegevens.


Klik hier
Privacybeleid Indien dit passend is voor uw organisatie moet u ook intern beleid opstellen, waaruit voor medewerkers duidelijk wordt hoe om te gaan met persoonsgegevens. Bij gebrek aan medewerkers, kan zeker bij zzp’ers afgevraagd worden of privacybeleid nodig is. Wel is het verstandig afspraken te maken met andere betrokken zorgverleners/instelling(en).


Verwerkingsregister Een intern overzicht waaruit in één oogopslag blijkt welke gegevens de organisatie verwerkt en op welke wijze.


Klik hier
Zie stap 4
Verwerkers-overeenkomst Een overeenkomst met afspraken tussen de verwerker en verantwoordelijke.


Klik hier
Zie stap 5
Datalekregister Een document waarin u intern alle datalekken registreert. Denk er ook aan dat u de datalekken meldt bij de AP en de betrokkene(n) indien nodig.


Klik hier
Zie stap 6
Beveiliging De organisatorische en technische beveiliging van persoonsgegevens moet voldoende zijn.


Functionaris gegevensbescherming (FG) De termen FG en DPIA zal de zzp’er in verband met de AVG tegenkomen. Dit zijn echter verplichtingen die niet gelden voor eenpitters, wat een ZZP’er per definitie is. Een FG is een medewerker of externe dienstverlener gespecialiseerd in de AVG en de daaruit voortvloeiende verplichtingen.


De DPIA is een risicoanalyse.

DPIA

Verplichtingen kunnen samenhangen met de positie van de zzp’er als ofwel verwerker ofwel verwerkingsverantwoordelijke. Zie hierover ons volgende artikel: klik hier.

Conclusie

De meeste verplichtingen uit de AVG zijn niet nieuw. Desondanks zijn de nodige mythes ontstaan met foutieve werkvormen ten gevolg. Het is niet waar dat je niets meer mag, geen persoonsgegevens meer mag uitwisseling of overal toestemming voor nodig heeft. Wel moet je zorgvuldig met de persoonsgegevens omgaan. De AVG geeft daarvoor een wettelijk kader, zorg dat je hieraan voldoet. Eventueel kun je daarbij standaarddocumenten aanschaffen van SoloPartners of Eldermans|Geerts. Je werkt immers wel met zeer gevoelige medische gegevens.

Dit artikel is geschreven door Kitty ten Bras jurist bij Eldermans|Geerts.

Dit artikel delen