AVG stappenplan ‘Doe Het Zelf’

VPHuisartsen ondersteunt u graag om met uw praktijk te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Wij adviseren u om onderstaande vijf stappen te doorlopen. U kunt hierbij gebruikmaken van diverse documenten (downloads) onderaan deze pagina (met dank aan Theo van Ardenne, LHV, InEen en OnzeHuisartsen). Binnenkort komen er ook betaalde oplossingen via onze website beschikbaar.

  1. Sluit verwerkersovereenkomsten af
  2. Houd een verwerkingsregister bij
  3. Voer een DPIA uit
  4. Publiceer een actuele privacyverklaring
  5. Hanteer een procedure voor het melden van datalekken


Toelichting op het stappenplan

1. Verwerkersovereenkomsten afsluiten

Maakt de praktijk gebruik van een verwerker die de beschikking krijgt over persoonsgegevens die onder de verantwoordelijkheid van de praktijk vallen? Bijvoorbeeld een ICT-leverancier, of iemand die de salarisadministratie verzorgt? Dan verplicht de AVG de praktijk met deze partijen verwerkersovereenkomsten te sluiten. Werkt de praktijk nu met een zogenoemde bewerkersovereenkomst conform de Wbp, dan moet men deze laten aanpassen aan de eisen van de AVG.
De leveranciers zullen de praktijk (of hebben reeds) een verwerkersovereenkomst aanbieden. Controleer of er van alle partijen een overeenkomst aangeboden is. Controleer ook -voordat u tekent of akkoord gaat- of de verantwoordelijkheid/aansprakelijkheid bij problemen niet op u wordt afgeschoven: dat hoeft u niet te accepteren. Gebruik dan de verwerkersovereenkomst van VPH (zie onder) en stuur deze retour aan de verwerker. Indien deze weigert de overeenkomst te tekenen, verzoekt u om schriftelijke bevestiging hiervan. Maar u tekent dan verder geen overeenkomst. U heeft dan in ieder geval aan uw inspanningsverplichting voldaan. Bewaar de documenten goed. In de checklist verwerkersovereenkomst vindt u een overzicht van welke onderwerpen in de overeenkomst moeten worden beschreven en welke afspraken (minstens) moeten worden gemaakt.

2. Verwerkingsregister aanleggen en bijhouden

De praktijk is verplicht een zogenoemd verwerkingsregister aan te leggen. Hierin vermeldt de praktijk alle soorten persoonsgegevens die in de praktijk bewaart worden, de wijze waarop de praktijk deze verwerkt, voor welk doel etc. U kunt gebruik maken van het sjabloon van Ineen, of de LHV welke het best bij uw praktijk past. Het verwerkingsregister is onderdeel van de volgende stap.

TIP: er wordt gevraagd naar een Functionaris Gegevensbescherming (FG). U kan uzelf benoemen tot FG.

3. Voer een Data Privacy Impact Assessment (DPIA) uit

Wat zijn de risico’s van verwerkingssystemen? Die moet de praktijk vóór invoering analyseren om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Volgens de nieuwe wet moet er in bepaalde gevallen een DPIA worden uitgevoerd. Met een DPIA worden vooraf de privacyrisico’s van gegevensverwerking in kaart gebracht, bijvoorbeeld het opnemen van medische dossiers in een informatiesysteem.

U bent verplicht om een DPIA uit te voeren bij wijzigingen in gegevensverwerking als dit een verhoogd risico met zich meebrengt. Bijvoorbeeld wanneer u een nieuw HIS aanschaft. Ook voor bestaande gegevensverwerking raadt de Autoriteit Persoonsgegevens aan om periodiek (bijv. eens per 3 jaar) een DPIA te (laten) uitvoeren.

TIP: plan hiervoor minstens één dagdeel vrij. U kunt gebruik maken van de handreiking DPIA van VPH of Ineen.

4. Publiceer een actuele privacyverklaring

Inmiddels bent u intern bezig met het aanscherpen van uw informatiebeveiliging.
In een privacyverklaring informeert de praktijk patiënten schriftelijk en in begrijpelijke taal over onder meer: het doel van de verwerking van hun gegevens, aan wie de praktijk deze verstrekt en hoe lang de praktijk deze bewaart. Dat doet de praktijk ook over de wijze waarop patiënten hun rechten kunnen uitoefenen. De privacyverklaring moet de praktijk zowel op papier als online beschikbaar stellen. Het voorbeeld van een privacyverklaring dient u aan te vullen met uw eigen gegevens en kunt u op uw website plaatsen.

TIP: Heeft u een Pharmeon website? Dan verzorgen zij voor u een standaard privacyverklaring die u in sommige gevallen alleen nog dient aan te passen. 

5. Procedure datalekken

Op grond van de Wbp is de praktijk verplicht de datalekken te registreren die bij de toezichthouder (de Autoriteit Persoonsgegevens) zijn gemeld. De AVG stelt echter de verplichting om álle datalekken te noteren (dus geen verplichting deze standaard allemaal te melden!). De Autoriteit Persoonsgegevens heeft in 2016 op verschillende terreinen onderzoek gedaan en advies gegeven over nieuwe wet- en regelgeving. Op het snijvlak van privacy en medische zorg heeft zij specifiek aandacht besteed aan de meldplicht datalekken (beveiliging). Het is nodig dat u hiervoor een procedure opstelt.

TIP: Stel een persoon aan binnen uw organisatie die beveiligingsincidenten en potentiële datalekken beoordeelt en die zo nodig meldt bij de Autoriteit Persoonsgegevens. Zorg ervoor dat de betreffende medewerker voldoende is toegerust voor deze taak en biedt zo nodig scholing aan. Deze medewerker (FG) kunt u ook gewoon zelf zijn.

 

Downloads ter ondersteuning

Algemeen
Voordracht AVG door Theo van Ardenne

STAP 1 
Beslisschema verwerkersovereenkomst
Checklist eisen verwerkersovereenkomst
Voorbeeld Verwerkersovereenkomst VPHuisartsen
Voorbeeld verwerkersovereenkomst

STAP 2 
Voorbeeld verwerkingsregister (LHV)
Toelichting voorbeeld verwerkingsregister (LHV)

STAP 3
Handreiking DPIA (InEen)
Handreiking risicobeoordeling (InEen)
NEN7510 risicobeoordeling en DPIA (InEen)

STAP 4 
Aanvraagformulier medische gegevens patient
Voorbeeld privacyverklaring AVG

STAP 5
Handreiking meldplicht datalekken

 

Bronnen: Theo van Ardenne, OnzeHuisartsen, LHV, InEen