Sinds de invoering van de AVG in mei 2018 zijn er organisaties en zorgverleners die onvoldoende aantoonbaar aan de eisen van de verwerkingsverantwoordelijke uit de wetgeving voldoen.

De afdeling Privacy & Security van GERRIT Diensten helpt jou bij het voldoen aan de eisen voor verwerkingsverantwoordelijke of bij het voldoen aan eisen vanuit normen zoals NEN 7510; informatiebeveiliging in de zorg. in deze blog legt onze Coördinator Informatiebeveiliging en kwaliteit Nico van Bergen Bravenboer de grondbeginselen van de AVG uit en aan welke verplichtingen je moet voldoen om persoonsgegevens te verwerken. Wil je meer weten? Neem dan gerust contact met ons op via telefoonnummer 085-7604076.

Grondbeginselen AVG

De verantwoordelijkheid als zorgverlener bij het verwerken van persoonsgegevens begint bij de bepalingen zoals die zijn op basis van de grondbeginselen uit de AVG, artikel 5:

1.Persoonsgegevens moeten:

a)worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);

d)juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”); 4.5.2016 L 119/35 Publicatieblad van de Europese Unie NL (1)Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (PB L 241 van 17.9.2015, blz. 1).

e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”);

f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).

2.De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).

Hoe vertaal je dat naar de dagelijkse praktijk? Rechtmatigheid, behoorlijkheid en transparantie

Rechtmatigheid, behoorlijkheid en transparantie betekenen dat de verwerking aan één van de onderstaande zes voorwaarden moet voldoen, wettig zijn en denk hierbij naast de AVG ook aan WGBO, Wabvpz en Wegiz. De verwerking moet uitlegbaar zijn, en de verwerking moet begrijpelijk en inzichtelijk is voor betrokkenen.
Gegevens mogen alleen worden verwerkt met:

  • ondubbelzinnige toestemming

Of wanneer dit noodzakelijk is voor:

  • de uitvoering van een overeenkomst met de betrokkene
  • het uitvoeren van een wettelijke plicht
  • het vrijwaren van een vitaal belang van de betrokkene
  • de vervulling van een taak van algemeen belang of openbaar gezag
  • het behartigen van een gerechtvaardigd belang van de verwerkingsverantwoordelijke

Doelbinding

De verwerking van gegevens moet een éénduidig doel hebben, en de verkregen persoonsgegevens mogen niet gebruikt worden voor een ander dan het vastgestelde doel. Gegevens die je dus opneemt in een EPD om zorg te verlenen mag je niet gebruiken voor andere doelen.

Minimale gegevensverwerking

Je mag als verwerkingsverantwoordelijke niet meer gegevens vragen en verwerken als dat noodzakelijk is voor het vastgestelde doel. Let dus op dat je niet zogenaamd overvraagd, het lijkt soms handig om alles te vragen en vast te leggen, maar kan er toe leiden dat de verwerking niet wettig is.

Juistheid

Gegevens die verwerkt worden moeten kloppen, en regelmatig gecontroleerd en geactualiseerd worden.

Opslagbeperking

Opslag van persoonsgegevens mag niet langer dan noodzakelijk, we spreken hier over de bewaartermijn van gegevens. Daarnaast moet de opslag zodanig zijn dat verwijdering of vernietiging ook mogelijk is.
Het kan soms voorkomen dat gegevens voor doeleinden zoals wetenschappelijk onderzoek langer bewaard worden, dit kan alleen als aanvullende maatregelen getroffen zijn zoals bijvoorbeeld het anonimiseren van gegevens.

Integriteit en vertrouwelijkheid

Als verantwoordelijke moet je de juiste maatregelen treffen om er voor te zorgen dat de gegevens integer en vertrouwelijk worden verwerkt. Deze organisatorische en technische maatregelen komen binnen de zorg voort uit normen zoals NEN 7510, NEN 7512, NEN 7513 en NTA 7516.

Verantwoordingsplicht

Als zorgverlener heb je een verantwoordingsplicht (accountability), dit betekent onder andere dat aantoonbaar voldoende maatregelen zijn genomen om de verwerking van persoonsgegevens veilig te laten zijn. De verantwoordingsplicht betekent ook dat je als zorgverlener de gevraagde verplichtingen als verwerkingsverantwoordelijke uit de AVG uitvoert.

Verwerker

Als je bij de verwerking van persoonsgegevens een andere partij inhuurt of gaat samenwerken met een ander partij om verwerkingen uit te voeren op de persoonsgegevens dan kan het zijn dat deze partij volgens de AVG een verwerker is. Als verwerkingsverantwoordelijke houdt dit in dat je afspraken moet maken met deze verwerker over de verwerking van persoonsgegevens. Veelal worden deze afspraken vastgelegd in een Verwerkersovereenkomst welke gekoppeld is aan het contract of de overeenkomst waarin de inhuur of samenwerking is bepaald. Binnen de zorg kan gebruik worden gemaakt van het model verwerkersovereenkomst Brancheorganisaties Zorg.

Overige verplichtingen AVG

In de AVG worden concreet een aantal verplichtingen beschreven voor de verwerkingsverantwoordelijke.

Verwerkingsregister

Je moet als zorgverlener een verwerkingsregister bijhouden waarin alle soorten verwerkingen staan. In het register moet onder andere worden vermeld:
naam en contactgegevens organisatie en eventueel FG

  • doeleinden per verwerking
  • beschrijving van categorie van betrokkenen
  • welk soort persoonsgegevens
  • bewaartermijn
  • mogelijke ontvangers
  • verwerking buiten EER
  • beschrijving van beveiliging

Register van datalekken bijhouden

Een datalek is een incident waarbij ongeoorloofd of onbedoeld toegang plaatsvindt tot persoonsgegevens zoals vernietiging, kwijtraken, wijzigen of verspreiden van persoonsgegevens.
Als zorgverlener dien je deze incidenten te registreren in een zogenaamd datalekkenregister, en onder bepaalde omstandigheden te melden aan de Autoriteit Persoonsgegevens (AP) en betrokkenen. Een datalek ontstaat bijvoorbeeld al wanneer een mail met medische gegevens naar de verkeerde ontvanger is verzonden.

DPIA uitvoeren

In de AVG is op hoofdlijnen aangegeven wanneer een Data Protection Impact Assessment uitgevoerd moet worden. De DPIA is een instrument om voorafgaand aan een nieuwe verwerking van persoonsgegevens de risico’s in kaart te brengen met als doel om de risico’s weg te nemen of te verkleinen tot een acceptabel niveau. Als verantwoordelijke moet je vooraf bepalen of een DPIA nodig is en op welke wijze deze uitgevoerd wordt.

Registratie toestemmingen

Als een verwerking van persoonsgegevens gebaseerd is op de grondslag ‘de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden’ dan ben je als verwerkingsverantwoordelijke verplicht om aantoonbaar te maken dat de betrokkene ook daadwerkelijk toestemming heeft gegeven. Voorbeelden hiervan zijn o.a. de toestemming bij LSP gebruik of het delen van informatie binnen XDS.

Functionaris Gegevensbescherming

In bepaalde situaties is het verplicht om een Functionaris Gegevensbescherming aan te stellen. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. Als het aanstellen van een FG niet verplicht is kan soms de keuze gemaakt worden om een Privacy Officer (PO) aan te stellen. Het is van belang om binnen de organisatie iemand te hebben de regelmatig controleert of de verwerkingen van persoonsgegevens voldoen aan eisen vanuit de AVG en overige wet- en regelgeving.

Hulp nodig? GERRIT helpt je!

Zie je door de bomen het bos niet meer? Of heb je te weinig tijd om je bezig te houden met alle verantwoordelijkheden die voortvloeien uit de AVG? GERRIT helpt je met advies rondom privacy en security en informatiebeveiliging. Neem gerust contact met ons op via telefoonnummer 085-7604076.