Wieringa AdvocatenWieringa Advocaten • Postbus 10100 1001 EC Amsterdam • IJdok 17 1013 MM Amsterdam • +31 (0)20 624 6811 • wieringa@wieringa.nl
 
Privacy

De AVG voor zorgondernemers – een overzicht

Aan welke privacy-eisen moeten ondernemers in de zorg voldoen?

Zorgondernemers verwerken flinke hoeveelheden persoonsgegevens, en in veel gevallen zijn dit gezondheidsgegevens – gevoelige persoonsgegevens waar u op een zorgvuldige manier mee moet omgaan. Dat is niet alleen van belang om uw verplichtingen uit de wet na te leven, maar ook voor uw imago: een datalek kan het vertrouwen dat uw patiënten in u hebben ernstig schaden. Met welke verplichtingen krijgt u als zorgondernemer te maken?

Beveiliging

Een zorgvuldige omgang met gevoelige gegevens begint met goede beveiliging. Technische maatregelen, zoals versleuteling, beveiligde verbindingen en firewalls zijn uiteraard essentieel, maar vlak zeker ook het risico van menselijke fouten niet uit. Hanteer een duidelijk beleid voor omgang met persoonsgegevens, en houd uw medewerkers daar ook aan. Maakt u gebruik van externe partijen voor bijvoorbeeld de opslag van persoonsgegevens (zoals een clouddienst)? Maak dan goede afspraken, en leg die vast in een verwerkersovereenkomst. De Algemene verordening gegevensbescherming schrijft overigens niet voor welke beveiliging u moet toepassen, maar slechts dat die beveiliging “passend” moet zijn. Welke maatregelen voor u passend zijn, is een individuele afweging.

Informatieplicht

U bent verplicht om de personen waarover u gegevens verwerkt te informeren over die verwerking. Daarbij denkt u in de eerste plaats natuurlijk aan uw patiënten, maar ook over uw medewerkers verwerkt u de nodige gegevens. Al deze zogenaamde “betrokkenen” hebben er onder meer recht op te weten waarom u hun gegevens verwerkt, op welke wettelijk grond u dat doet en hoe lang u ze bewaart. Een praktische manier om die informatie te verstrekken is door middel van een privacyverklaring, die u bijvoorbeeld op uw website kunt publiceren en aan nieuwe patiënten en medewerkers kunt toesturen.

Verzoeken

Betrokkenen hebben recht op inzage in de gegevens die u over hen verwerkt. Dit recht is niet onbeperkt: in de rechtspraak is bepaald dat bijvoorbeeld medische analyses en notities ter voorbereiding op beoordeling van werknemers niet onder het inzagerecht vallen. Na inzage kunnen betrokkenen verzoeken om onder meer correctie of verwijdering van de gegevens. Een verwijderingsverzoek kan om verschillende redenen geweigerd worden, bijvoorbeeld wanneer u een wettelijke plicht heeft om de gegevens te bewaren.

Register

Een nieuwe verplichting op grond van de Algemene verordening gegevensbescherming is om een register van verwerkingsactiviteiten bij te houden. Daarin moet u per type verwerking (zoals de loonadministratie en de calamiteitenregistratie) onder meer opnemen welke persoonsgegevens u verwerkt, met welk doel u dat doet en aan wie de gegevens verstrekt worden. Een model voor het register zenden wij u op verzoek graag toe!

Datalek

Het kan de beste overkomen: het verlies van persoonsgegevens of zelfs een digitale inbraak. Een dergelijk datalek moet worden gemeld bij de Autoriteit Persoonsgegevens, en in sommige gevallen ook bij de betrokkenen. Wees hier op voorbereid, en zorg voor een vastgelegde procedure.

Deel dit artikel via     
Twitter     Twitter     E-mail     

Victors recente berichten

Schrijf u in voor onze nieuwsbrief

Wij zijn bezig een specifieke nieuwsbrief voor de zorg te ontwikkelen. We zijn nog niet zo ver dat we deze al kunnen aanbieden. Wél hebben wij sinds jaar en dag onze algemene nieuwsbrief, die vrijwel iedere week verschijnt. Daarin vindt u alle blogjes – ook de zorg gerelateerde – sinds het verschijnen van de vorige nieuwsbrief. Wilt u zich daar kosteloos en vrijblijvend op abonneren, maak dan gebruik van onderstaand formulier.

 

waarnaar bent u op zoek?

pagina's waarop minstens één van de zoektermen voorkomt
pagina's waarop alle zoektermen voorkomen
pagina's waarop de exacte tekst voorkomt

in de hele website
alleen in de blog
in de website met uitzondering van de blog

Wieringa Advocaten