Zondag 28 januari was het de Dag van de Privacy. Een goed moment voor zorginstellingen om te kijken hoe het staat met de gegevensbescherming van cliënten en medewerkers. Over slechts enkele maanden is het al zover, dan treedt de nieuwe privacywet in werking. Organisaties, dus ook zorginstellingen moeten dan aan nieuwe regels voldoen, op straffe van fikse boetes. Waar gaat er precies veranderen en waar moet je als instelling om denken? Hoe ver ben je in jouw organisatie met het doorvoeren van de nieuwe privacy eisen? De specialisten van Power of 4 kunnen je ondersteunen.

Van Wbp naar AVG

De nieuwe privacywet – de Algemene verordening gegevensbescherming (AVG) – gaat in Nederlandse de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. Onder de AVG wordt de bescherming van persoonsgegevens strenger. Wat gaat er precies veranderen?

Verantwoordingsplicht

Vanaf 25 mei krijgen zorginstellingen meer verantwoordelijkheden in het goed beschermen van de persoonsgegevens van cliënten en patiënten. Zij hebben dan bovendien een verantwoordingsplicht. Dit houdt in dat zij voortaan moeten kunnen aantonen welke technische en organisatorische maatregelen zijn genomen voor de beveiliging van persoonsgegevens. Ook moeten zorginstellingen goede argumenten hebben om bepaalde persoonsgegevens te verwerken.

Toestemming

Onder de AVG mogen persoonsgegevens alleen worden verwerkt en bewaart met toestemming van de persoon zelf, in dit geval dus patiënt of cliënt. Instellingen moeten daarom goed nadenken over de (digitale) toepassingen en systemen die zij inzetten voor de zorg. Waaronder elektronische patiëntendossiers en inlogomgevingen van ziekenhuiswebsites of zorgverzekeraars. Aan de andere kant hebben mensen straks ook het recht om ‘vergeten’ te worden. Zij kunnen dan een verzoek indienen om bepaalde gegevens te laten verwijderen. Over de uitvoering van deze maatregel is nog niet veel duidelijk. Zorginstellingen doen er goed aan om er alvast rekening mee te houden dat het mogelijk moet zijn om gegevens uit hun systeem te wissen.

Wat betekent dit voor zorginstellingen

Per 25 mei aanstaande gelden een aantal nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt. Zorginstellingen zullen vaak een register van verwerkingsactiviteiten moeten bijhouden en een privacy impact assessment uitvoeren. Ook moet veelal een functionaris voor de gegevensbescherming aangenomen worden. Daarnaast moeten zorginstellingen zorgvuldige dossiers bijhouden over hun privacybeleid en de praktische uitvoering ervan. Als de Autoriteit Persoonsgegevens (AP) daarom vraagt, moeten zij duidelijk kunnen aantonen welke persoonsgegevens zij in hun systeem hebben opgenomen en waarom, hoe lang zij deze gegevens bewaren en hoe het delen van gegevens met derden is geregeld. Onder de AVG mogen zorgaanbieders persoonsgegevens blijven verstrekken aan zorgverzekeraars, daarin verandert niets.

Bestaande regels die gewoon blijven gelden

Binnen de zorg zijn er al enkele wetten vastgesteld en die blijven ook gewoon bestaan. Dat betekent dat onder meer de Wet op geneeskundige behandelingsovereenkomsten (WGBO), de Wet kwaliteit, klachten en geschillen zorg (Wkkgz), de Wet marktordering gezondheidszorg (Wmg) en de Zorgverzekeringswet (Zvw) blijven, maar worden bevestigd en versterkt door de AVG. Ook gaan de nieuwe regels van de AVG naast het medisch beroepsgeheim bestaan.

Boetes

Instanties die vanaf 25 mei niet voldoen aan de eisen van de AVG lopen het risico op hoge boetes. De Autoriteit Persoonsgegevens kan boetes uitdelen van 20 miljoen euro of 4 procent van de groepsjaaromzet.

Bron: Autoriteit Persoonsgegevens