AVG en de zorgsector: waar moet u op letten?

De AVG heeft voor zorginstellingen veel nieuwe verantwoordelijkheden met zich mee gebracht op het gebied van privacy en gegevensbescherming. In deze blog brengen we enkele belangrijke aandachtspunten voor zorginstellingen in kaart, namelijk het verwerkingsregister, een functionaris gegevensbescherming en gegevensbeschermingseffectbeoordelingen (DPIA’s).

Verwerkingsregister

Het is vaak een misverstand dat het verwerkingsregister alleen verplicht is voor organisaties met meer dan 250 personen in dienst. Een verwerkingsregister bijhouden is ook verplicht bij verwerkingen die een risico inhouden voor de rechten en vrijheden van betrokkenen, bij structurele verwerkingen of verwerkingen van bijzondere persoonsgegevens. Een verwerkingsregister zal hierdoor al snel verplicht zijn. In de zorg worden veel gezondheidsgegevens verwerkt van betrokkenen.

Gezondheidsgegevens zijn bijzondere persoonsgegevens in de zin van de AVG. De hoofdregel is dus dat zorginstellingen die gezondheidsgegevens verwerken een verwerkingsregister moeten bijhouden. In dit verwerkingsregister worden alle verwerkingsactiviteiten binnen de organisatie bijgehouden. Concrete voorbeelden van verwerkingsactiviteiten zijn: het verwerken van patiëntgegevens in een Elektronisch Patiëntendossier (EPD), het uitwisselen van patiëntgegevens met andere zorginstellingen, ziekenhuizen of zorgverzekeraars en digitale correspondentie met patiënten.

De Autoriteit Persoonsgegevens heeft in juli 2018 aangekondigd steekproefsgewijs te gaan controleren bij onder andere organisaties in de zorgsector of een verwerkingsregister aanwezig is. Zorg er dus voor dat u dit op orde heeft en voorkom boetes!

Functionaris Gegevensbescherming

Een Functionaris Gegevensbescherming (FG) is een interne toezichthouder binnen een organisatie en adviseert en informeert over verplichtingen uit de AVG en ziet toe op naleving van de AVG. Een zorginstelling moet een FG aanwijzen wanneer op grote schaal bijzondere persoonsgegevens verwerkt worden. Europese toezichthouders hebben bepaald dat zorggroepen, huisartsenposten en apotheken grootschalig bijzondere persoonsgegevens verwerken. Voornoemde organisaties zijn dus verplicht een FG aan te wijzen! Voor huisartsenpraktijken en andere instellingen voor medisch specialistische zorg geldt dat sprake is van een grootschalige verwerking van bijzondere persoonsgegevens wanneer zij meer dan 10.000 ingeschreven patiënten hebben óf gemiddeld meer dan 10.000 patiënten per jaar behandelen en de gegevens van deze patiënten in één informatiedossier staan. Van belang is dus hoeveel patiënten een zorginstelling heeft (per jaar) voor de vraag of een FG verplicht aangewezen moet worden.

Gegevensbeschermingseffectbeoordeling (DPIA)

Een DPIA is – kort gezegd – een instrument om bij mogelijke gegevensverwerkingen de (privacy)risico’s voor betrokkenen in kaart te brengen en te beoordelen. Een DPIA moet uitgevoerd worden wanneer een verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Er bestaan negen criteria voor het vaststellen of een verwerking een hoog risico inhoudt. Enkele criteria die relevant kunnen zijn voor zorginstellingen: het gaat om gevoelige persoonsgegevens, het betreft kwetsbare personen (zoals kinderen of patiënten/cliënten) en de verwerking is grootschalig (hiervoor wordt verwezen naar de toelichting bij de FG: aantal patiënten/cliënten). Wanneer aan twee van deze criteria wordt voldaan, is sprake van een hoog risico.

Volgens de Autoriteit Persoonsgegevens geldt de verplichting om een DPIA uit te voeren alleen voor verwerkingen die ná 25 mei 2018 zijn gestart, tenzij de bestaande gegevensverwerking gaat veranderen (bijvoorbeeld als gebruik wordt gemaakt van nieuwe technologie of als persoonsgegevens gebruikt worden voor een nieuw doel). Het is wel mogelijk om ook een DPIA uit te voeren voor huidige (onveranderde) verwerkingen, maar dit is niet verplicht. Wanneer u twijfelt over de rechtmatigheid van een verwerking met een mogelijk hoog risico, dan adviseren wij een DPIA uit te voeren ook al is het niet verplicht.

Aanvullende wet- en regelgeving

Specifieke wetgeving voor de zorgsector blijft naast de AVG gelden, zoals de Wet op de geneeskundige behandelingsovereenkomst (WGBO), Wet kwaliteit, klachten en geschillen zorg (Wkkgz), Wet op de beroepen in de individuele gezondheidszorg (Wet BIG), Zorgverzekeringswet (Zvw), Wet marktordening gezondheidszorg (Wmg) en Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Beroepscodes, gedragsregels en handreikingen voor verschillende beroepen in de zorg blijven ook gelden.

Tot slot

Kort en goed:

  • Stel een verwerkingsregister op en werk dit verwerkingsregister geregeld bij.
  • Zorg ervoor dat een FG wordt aangewezen (indien dit verplicht is).
  • Voer DPIA’s uit voor verwerkingen met een waarschijnlijk hoog risico.
  • Verlies specifieke wet- en regelgeving voor de zorg en beroepscodes en gedragsregels niet uit het oog; dit blijft gelden!

In toekomstige blogs zullen wij nader ingaan op beroepscodes en de AVG en hoe dit zich verhoudt tot bijvoorbeeld socialmediagebruik in de zorg.

Heeft u hulp nodig bij de implementatie van de AVG? Neem dan contact op met onze sectie privacyrecht via het e-mailadres privacyrecht@vangelderadvocaten.nl of telefonisch via 088- 88 40 840. Wij helpen u graag verder.