8 januari 2020 - Er zijn weinig sectoren waar privacy zo belangrijk is als in de zorg. Helaas zijn alle regels en verplichtingen omtrent privacy niet op één plaats terug te vinden, wat de overzichtelijkheid niet ten goede komt. Een deel staat bijvoorbeeld beschreven in de WGBO, een ander deel in de regelgeving omtrent het EPD en dan is er ook nog de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG waaraan u moet voldoen. Daarom spraken wij voor dit artikel met Elisabeth Thole. Als partner en advocaat leidt zij bij Van Doorne het Privacy Team. Zij vertelt hoe u voorkomt u dat u het overzicht verliest en het misgaat in uw zorginstelling.
Veel privacyregels zijn niet nieuw
“Het is belangrijk om te beseffen,” begint Thole, “dat een groot deel van de regels niet nieuw is, maar met de komst van de AVG is de bewustwording en de kans op handhaving enorm toegenomen. Omdat in de zorgsector gevoelige persoonsgegevens worden verwerkt, en het regelmatig mis gaat, heeft de Autoriteit Persoonsgegevens (AP) privacy in de zorg eerder als één van de speerpunten in haar toezichtkader benoemd. Met die focus op de zorg is het voor u des te belangrijker ervoor te zorgen dat uw zorginstelling voldoet aan de eisen.”
Zorg voor goede beveiliging
Uiteraard moet uw zorginstelling voldoen aan belangrijke privacyverplichtingen, zoals het informeren van de patiënten. In dat kader moet u ook bepalen of de grondslag in orde is, op basis waarvan u gegevens verwerkt. En dat de beveiliging goed is geregeld, waaronder adequaat autorisatiebeheer en proactieve controle op de toegang tot de persoonsgegevens.
Functionaris voor Gegevensbescherming
“Een ander belangrijk punt,” vertelt Thole “is dat uw zorginstelling een goede Functionaris voor Gegevensbescherming (FG) heeft. Het is mooi om te zien dat een verkennend onderzoek van de AP heeft uitgewezen dat de FG's in de zorg goed ''opereren". Belangrijke aandachtspunten zijn steeds:
- Is uw FG voldoende onafhankelijk?
- Welke andere taken rusten op de FG?
- Kent de FG de zorgsector en haar gevoeligheden?
- Is uw FG goed vindbaar, en is de FG ook communicatief vaardig: kan de FG zowel met patiënten, het bestuur en de AP communiceren?
In juni 2019 schreef de AP ‘Aanbevelingen voor een effectieve FG in het ziekenhuis’, waarin zij aanbevelingen doet aan de Raden van Bestuur én aan de FG’s zelf. Deze ‘Aanbevelingen voor een effectieve FG in het ziekenhuis’ geven aan dat de AP de taken van een FG erg belangrijk vindt.”
Voer een DPIA uit
Omdat u als zorgverlener bijzondere persoonsgegevens verwerkt, geeft Thole aan dat het daardoor al snel nodig is om een DPIA uit te voeren. Zij legt uit: “Met een DPIA brengt u vooraf de privacyrisico’s van een gegevensverwerking in kaart. Op basis van de DPIA neemt u vervolgens maatregelen om deze risico’s te verkleinen. Een DPIA is niet altijd en voor alle gegevensverwerkingen verplicht. U moet het advies van uw FG inwinnen bij het uitvoeren van een DPIA. Het uitvoeren van een DPIA is verder geen eenmalige aangelegenheid, en hangt af van welke verwerkingen u uitvoert. Wanneer u, bijvoorbeeld, een nieuwe samenwerking aangaat, zult u mogelijk opnieuw een DPIA uit moeten voeren.”
Registreer het juiste
Er bestaat in de zorgsector ook vaak nog onduidelijkheid over welke gegevens opgenomen moeten worden in het interne verwerkingsregister en, vooral, welke mate van detail daarbij moet worden aangehouden. Thole legt uit: “Omdat u moet verantwoorden welke persoonsgegevens u verwerkt, is de documentatieverplichting erg belangrijk. Het vormt de basis voor al uw andere AVG verplichtingen. In het register moet u precies vastleggen welke gegevens u verwerkt. Dat register gebruikt u vervolgens ook om u privacy statement op te stellen en om na te gaan met welke partijen u bijvoorbeeld een verwerkersovereenkomst moet sluiten.
Het verwerkingsregister mag eenvoudigweg in Excel zijn, maar hoe groter de zorginstelling hoe handiger het is om gebruik te maken van een specifieke software tool. In het verwerkingsregister legt u vast:
- Welke persoonsgegevens u verwerkt
- De categorieën van betrokkenen
- Op welke grondslag u zich baseert
- Voor welke doeleinden u de persoonsgegevens verwerkt
- Hoe lang u de gegevens bewaart
- Wie de ontvangers van de gegevens zijn
- Of u gegevens doorgeeft naar derde landen
- In welk systeem of in welk bestand u de gegevens heeft opgeslagen
Dit laatste is een aanbeveling van de AP. De reden voor deze aanbeveling is waarschijnlijk dat u op die manier bijvoorbeeld eenvoudiger kunt voldoen aan een inzageverzoek.”
Beleid voor omgang met de rechten van betrokkenen
Verder raadt zij aan om een beleid op te stellen over hoe om te gaan met de rechten van betrokkenen: “Wanneer er een inzageverzoek komt, is het prettig om helder te hebben hoe u aan een dergelijk verzoek moet voldoen.
In het beleid geeft u antwoord op vragen zoals: Binnen welke termijn moeten wij aan een verzoek voldoen? Aan wie mogen we welke gegevens verstrekken? Hoe borgen wij de privacy van andere betrokkenen in het dossier, bijvoorbeeld van de medewerkers?”
Melden van datalekken
Ten slotte wijst Thole op de meldplicht datalekken: “De meeste datalekken komen in de zorg voor. Belangrijk is dat u binnen 72 uur na het ontdekken van een datalek dit meldt bij de AP. Dat hoeft dan nog geen definitieve melding te zijn, maar u moet het wel binnen deze termijn melden. Ook moet u tijdig de betrokkenen informeren over het incident, als het incident waarschijnlijk een privacyrisico voor hen oplevert. Verder moet u alle datalekken - ook de niet meldplichtige datalekken - in uw datalekregister opnemen.”