icon

De AVG voor zorgondernemers – een overzicht

Zorgondernemers verwerken flinke hoeveelheden persoonsgegevens, en in veel gevallen zijn dit gezondheidsgegevens – gevoelige persoonsgegevens waar u op een zorgvuldige manier mee moet omgaan. Dat is niet alleen van belang om uw verplichtingen uit de wet na te leven, maar ook voor uw imago: een datalek kan het vertrouwen dat uw patiënten in u hebben ernstig schaden. Met welke verplichtingen krijgt u als zorgondernemer te maken?

Beveiliging

Een zorgvuldige omgang met gevoelige gegevens begint met goede beveiliging. Technische maatregelen, zoals versleuteling, beveiligde verbindingen en firewalls zijn uiteraard essentieel, maar vlak zeker ook het risico van menselijke fouten niet uit. Hanteer een duidelijk beleid voor omgang met persoonsgegevens, en houd uw medewerkers daar ook aan. Maakt u gebruik van externe partijen voor bijvoorbeeld de opslag van persoonsgegevens (zoals een clouddienst)? Maak dan goede afspraken, en leg die vast in een verwerkersovereenkomst. De Algemene verordening gegevensbescherming schrijft overigens niet voor welke beveiliging u moet toepassen, maar slechts dat die beveiliging “passend” moet zijn. Welke maatregelen voor u passend zijn, is een individuele afweging.

Informatieplicht

U bent verplicht om de personen waarover u gegevens verwerkt te informeren over die verwerking. Daarbij denkt u in de eerste plaats natuurlijk aan uw patiënten, maar ook over uw medewerkers verwerkt u de nodige gegevens. Al deze zogenaamde “betrokkenen” hebben er onder meer recht op te weten waarom u hun gegevens verwerkt, op welke wettelijk grond u dat doet en hoe lang u ze bewaart. Een praktische manier om die informatie te verstrekken is door middel van een privacyverklaring, die u bijvoorbeeld op uw website kunt publiceren en aan nieuwe patiënten en medewerkers kunt toesturen.

Verzoeken

Betrokkenen hebben recht op inzage in de gegevens die u over hen verwerkt. Dit recht is niet onbeperkt: in de rechtspraak is bepaald dat bijvoorbeeld medische analyses en notities ter voorbereiding op beoordeling van werknemers niet onder het inzagerecht vallen. Na inzage kunnen betrokkenen verzoeken om onder meer correctie of verwijdering van de gegevens. Een verwijderingsverzoek kan om verschillende redenen geweigerd worden, bijvoorbeeld wanneer u een wettelijke plicht heeft om de gegevens te bewaren.

Register

Een nieuwe verplichting op grond van de Algemene verordening gegevensbescherming is om een register van verwerkingsactiviteiten bij te houden. Daarin moet u per type verwerking (zoals de loonadministratie en de calamiteitenregistratie) onder meer opnemen welke persoonsgegevens u verwerkt, met welk doel u dat doet en aan wie de gegevens verstrekt worden. Een model voor het register zenden wij u op verzoek graag toe!

Datalek

Het kan de beste overkomen: het verlies van persoonsgegevens of zelfs een digitale inbraak. Een dergelijk datalek moet worden gemeld bij de Autoriteit Persoonsgegevens, en in sommige gevallen ook bij de betrokkenen. Wees hier op voorbereid, en zorg voor een vastgelegde procedure.

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
De AVG voor zorgondernemers – een overzicht

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor onze nieuwsbrief