VPHuisartsen ondersteunt u, net als andere koepelorganisaties, graag om met uw praktijk te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Theo van Ardenne, jurist van VPH, gaf hierover op de ALV van 18 april een voordracht. Wij adviseren u om onderstaande vijf stappen te doorlopen. U kunt hierbij gebruikmaken van diverse (deels) ingevulde documenten aan de rechterkant op deze pagina. Wij refereren aan en bieden u hierbij documenten aan van onder andere InEen en LHV. Ook kunt u gebruik maken van betaalde oplossingen, die u het werk gedeeltelijk of geheel uit handen nemen.

  1. Sluit verwerkersovereenkomsten af
  2. Houd een verwerkingsregister bij
  3. Voer een DPIA uit
  4. Publiceer een actuele privacyverklaring
  5. Hanteer een procedure voor het melden van datalekken


Toelichting op het stappenplan

1. Verwerkersovereenkomsten afsluiten

Maakt de praktijk gebruik van een verwerker die de beschikking krijgt over persoonsgegevens die onder de verantwoordelijkheid van de praktijk vallen? Bijvoorbeeld een ICT-leverancier, of iemand die de salarisadministratie verzorgt? Dan verplicht de AVG de praktijk met deze partijen verwerkersovereenkomsten te sluiten. Werkt de praktijk nu met een zogenoemde bewerkersovereenkomst conform de Wbp, dan moet men deze laten aanpassen aan de eisen van de AVG.
De leveranciers zullen de praktijk (of hebben reeds) een verwerkersovereenkomst aanbieden. Controleer of er van alle partijen een overeenkomst aangeboden is. Controleer ook -voordat u tekent of akkoord gaat- of de verantwoordelijkheid/aansprakelijkheid bij problemen niet op u wordt afgeschoven: dat hoeft u niet te accepteren. Gebruik dan de verwerkersovereenkomst van VPH (zie onder) en stuur deze retour aan de verwerker. Indien deze weigert de overeenkomst te tekenen, verzoekt u om schriftelijke bevestiging hiervan. Maar u tekent dan verder geen overeenkomst. U heeft dan in ieder geval aan uw inspanningsverplichting voldaan. Bewaar de documenten goed. In de checklist verwerkersovereenkomst vindt u een overzicht van welke onderwerpen in de overeenkomst moeten worden beschreven en welke afspraken (minstens) moeten worden gemaakt.

TIP: Een jurist van de LHV heeft de verwerkersovereenkomsten van enkele grote leveranciers voor u gecontroleerd. U vindt een overzicht hiervan vanaf week 16 op deze pagina. Zo weet u of u deze verantwoord kunt ondertekenen.


2. Verwerkingsregister aanleggen en bijhouden

De praktijk is verplicht een zogenoemd verwerkingsregister aan te leggen. Hierin vermeldt de praktijk alle soorten persoonsgegevens die in de praktijk bewaard worden, de wijze waarop de praktijk deze verwerkt, voor welk doel etc. U kunt gebruik maken van het sjabloon van InEen of de LHV, welke het best bij uw praktijk past. Het verwerkingsregister is onderdeel van de volgende stap.

TIP: er wordt gevraagd naar een Functionaris Gegevensbescherming (FG). U kan uzelf benoemen tot FG.


3. Voer een Data Privacy Impact Assessment (DPIA) uit

Wat zijn de risico’s van verwerkingssystemen? Die moet de praktijk vóór invoering analyseren om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Volgens de nieuwe wet moet er in bepaalde gevallen een DPIA worden uitgevoerd. Met een DPIA worden vooraf de privacyrisico’s van gegevensverwerking in kaart gebracht, bijvoorbeeld het opnemen van medische dossiers in een informatiesysteem.

U bent verplicht om een DPIA uit te voeren bij wijzigingen in gegevensverwerking als dit een verhoogd risico met zich meebrengt. Bijvoorbeeld wanneer u een nieuw HIS aanschaft. Ook voor bestaande gegevensverwerking raadt de Autoriteit Persoonsgegevens aan om periodiek (bijv. eens per 3 jaar) een DPIA te (laten) uitvoeren.

TIP: plan hiervoor minstens één dagdeel vrij. U kunt gebruik maken van de handreiking DPIA van InEen.


4. Publiceer een actuele privacyverklaring

Inmiddels bent u intern bezig met het aanscherpen van uw informatiebeveiliging.
In een privacyverklaring informeert de praktijk patiënten schriftelijk en in begrijpelijke taal over onder meer: het doel van de verwerking van hun gegevens, aan wie de praktijk deze verstrekt en hoe lang de praktijk deze bewaart. Dat doet de praktijk ook over de wijze waarop patiënten hun rechten kunnen uitoefenen. De privacyverklaring moet de praktijk zowel op papier als online beschikbaar stellen. Het voorbeeld van een privacyverklaring dient u aan te vullen met uw eigen gegevens en kunt u op uw website plaatsen.

TIP: Heeft u een Pharmeon website? Dan verzorgen zij voor u een standaard privacyverklaring die u in sommige gevallen alleen nog dient aan te passen. Deze ontvangt u uiterlijk in week 16.


5. Procedure datalekken

Op grond van de Wbp is de praktijk verplicht de datalekken te registreren die bij de toezichthouder (de Autoriteit Persoonsgegevens) zijn gemeld. De AVG stelt echter de verplichting om álle datalekken te noteren (dus geen verplichting deze standaard allemaal te melden!). De Autoriteit Persoonsgegevens heeft in 2016 op verschillende terreinen onderzoek gedaan en advies gegeven over nieuwe wet- en regelgeving. Op het snijvlak van privacy en medische zorg heeft zij specifiek aandacht besteed aan de meldplicht datalekken (beveiliging). Het is nodig dat u hiervoor een procedure opstelt.

TIP: Stel een persoon aan binnen uw organisatie die beveiligingsincidenten en potentiële datalekken beoordeelt en die zo nodig meldt bij de Autoriteit Persoonsgegevens. Zorg ervoor dat de betreffende medewerker voldoende is toegerust voor deze taak en biedt zo nodig scholing aan. Deze medewerker (FG) kunt u ook gewoon zelf zijn.