AVG verplichtingen en dienstenbeschrijving

Minimale AVG verplichtingen zorgverlener

Verwerkingsregister

U bent verplicht een verwerkingsregister aan te leggen. Hierin moet alle type verwerkingen die u als organisatie uitvoert worden vastgelegd. Denk bijvoorbeeld aan zorgdossiers, maar ook de personeelsdossiers van uw eigen personeel. Van elke verwerking dient informatie te worden verzameld zoals type, doeleinden en wettelijke grondslag. Daarnaast dienen de genomen technische en organisatorische beveiligingsmaatregelen van die verwerkingen te worden benoemd.

Verwerkersovereenkomst

U maakt voor u dagelijkse zorgverlening ongetwijfeld gebruik van dienstverleners die u inschakelt zoals een internet provider, hostingprovider, HIS, ECD, eHealth applicatie of boekhoudsoftware. Hiervoor heeft de AVG verplicht gesteld dat u met alle partijen door wie u persoonsgegevens laat verwerken een overeenkomst sluit. Hierin moeten onder andere de wettelijke verplichtingen die op u als Verantwoordelijke liggen worden doorgegeven aan een derde partij (de verwerker). Daarnaast stelt de AVG diverse overige verplichtingen aan de inhoud.

Privacyverklaring

Iedere zorgverlener dient over een privacyverklaring te beschikken. Tevens moet deze voor patiënten inzichtelijk zijn. In de verklaring moet onder andere worden beschreven waarvoor de gegevens worden verwerkt, hoe lang ze worden bewaard en hoe de gegevens worden beveiligd.

Data Protection Impact Assessment (DPIA)

Voor zorgverleners geldt dat ze per definitie werken met bijzondere persoonsgegevens. Daarom is het altijd verstandig een DPIA uit te voeren. Bij een dergelijke risicoanalyse worden de privacy risico’s voor de betrokkenen in beeld gebracht en worden daarop passende technische en organisatorische maatregelen bepaald. Een belangrijke maatregel want in 2017 kwam ruim 30% van de gemelde datalekken uit de zorgbranche. Bent u zich er bijvoorbeeld van bewust dat faxen en e-mails met patiëntgegevens zeer onveilig zijn en dus een groot risico opleveren. U bent verplicht de resultaten van een DPIA te bewaren.