AVG

Sinds 25 mei 2018 is er een nieuwe privacywet van kracht: de Algemene Verordening Gegevensbescherming (AVG). Deze wet is de opvolger van de Wbp. De AVG stelt eisen aan de omgang met persoonsgegevens. Dat heeft ook gevolgen voor huisartsen(praktijken).

De AVG stelt een aantal aanvullende eisen ten opzichte van de Wet bescherming persoonsgegevens (Wbp). Deze nieuwe verplichtingen zijn er vooral op gericht om:

  • gegevens beter te beveiligen;
  • patiënten meer controle te geven over hun gegevens;
  • De praktijk te stimuleren gericht beleid te maken op het gebruik en de verwerking van persoonsgegevens.

De belangrijkste nieuwe verplichtingen waar we aan voldoen zijn:

  1. Het sluiten van verwerkersovereenkomsten
  2. Het bijhouden van een verwerkingsregister
  3. Het publiceren van een privacyverklaring
  4. Het periodiek of bij invoering van een nieuw systeem uitvoeren van een Data Protection Impact Assessment (DPIA).

Overige verplichtingen vanuit de AVG:

Patiëntenrechten:

  • Patiënten hebben recht op inzage in hun persoonsgegevens en om deze te laten aanvullen, corrigeren, verwijderen of af te schermen. Met de AVG hebben patiënten daar bovenop het recht bezwaar te maken tegen de verwerking van bepaalde gegevens.
  • De huisarts mag alleen met toestemming van de patiënt elektronisch gegevens delen.

Veiligheid:

  • De huisarts ziet erop toe dat de systemen en andere middelen waarmee persoonsgegevens worden verwerkt (bijv. een HIS) door de leverancier standaard privacyvriendelijk zijn ingesteld (“privacy by default”). Ook informeert de huisarts bij de selectie van nieuwe systemen of bij het ontwerp van het systeem al rekening is gehouden met de privacyregels (“privacy by design”). Deze principes waren al van belang, maar worden expliciet verplicht onder de AVG.
  • Inbreuken op de beveiliging van persoonsgegevens (datalekken) moeten worden gemeld bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking en vaak ook bij patiënten. Nieuw is dat de AVG ook verplicht alle datalekken in de praktijk vast te leggen, ook als het gaat om kwesties die niet bij de Autoriteit Persoonsgegevens hoeven te worden gemeld.