De Zorgprofessional
voor elkaar

Veelgestelde vragen over de AVG m.b.t. de Zelfstandige ZorgProfessional

Hier vind je een aantal vragen die voor ZZP'ers in de zorg spelen.
Je kunt gewoon op de vraag klikken, en dan klapt eronder het antwoord uit. Klik nogmaals op de vraag om het antwoord weer in te klappen.

Staat jou vraag er niet bij? Vraag ons via het contactformulier aan de rechter kant van deze pagina. Wij zullen ons best doen om een antwoord te vinden.

Nog meer informatie vind jij onder andere bij de  Autoriteit Persoonsgegevens

Ja.

De nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor zzp’ers die gegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of gegevens over hun gezondheid.

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg

Voor het vertrouwen van de patiënt in jou als zorgaanbieder is het belangrijk om de beveiliging van zijn/haar persoonsgegevens goed te regelen. Dat verandert niet met de komst van de Algemene verordening gegevensbescherming (AVG). Nieuw onder de AVG is wel de verantwoordingsplicht.

Verantwoordingsplicht

De verantwoordingsplicht houdt in dat jij moet kunnen aantonen dat jij de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens van jouw patiënten te beveiligen. En dat jouw gegevensverwerkingen aan de AVG voldoen. Dat houdt bijvoorbeeld in dat u:

  • niet méér persoonsgegevens verwerkt dan noodzakelijk is voor het doel van de verwerking;
  • de persoonsgegevens niet langer bewaart dan nodig is. 

Verplichte en extra maatregelen

In de AVG staan een aantal verplichte maatregelen genoemd waarmee jij aan jouw verantwoordingsplicht voldoet. Naast de verplichte maatregelen kan het nodig zijn om extra maatregelen te nemen.

  • Jij moet een register van verwerkingsactiviteiten bij te houden.
  • In de zorg is het maken van afspraken over autorisaties (wie toegang krijgt tot welke gegevens) extra belangrijk omdat het vaak om gevoelige persoonsgegevens gaat.
    Als jij met anderen voor dezelfde cliënt(en) zorgt, regel dan goed dat mensen alleen de nodige gegevens te zien krijgen. Dit geldt vooral als het gaat om onderaannemerschap.

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/zorgaanbieders-en-de-avg

Zorgaanbieders moeten een functionaris gegevensbescherming (FG) aanwijzen als zij op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over de gezondheid van mensen.

De Europese toezichthouders een aantal criteria opgesteld, voor wanneer er sprake is van een verwerking op grote schaal. namelijk:

 

De AVG geeft niet heel duidelijk aan of een FG voor zzp’ers in de zorg verplicht is. Maar uit de opvattingen van de toezichthouders laat zich afleiden dat niet het geval zal zijn.

Zo zien de privacytoezichthouders zien verwerkingen van bijzondere persoonsgegevens door individuele artsen niet als grootschalig. Individuele artsen hoeven dus geen FG aan te stellen.

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/zorgaanbieders-en-de-avg

 

Ja.

De Europese Commissie (EC) heeft een aantal landen vastgelegd, die een passend beschermingsniveau bieden, overeenkomstig het Europese niveau (zie onderstaande lijst).

De grote Tech- bedrijven zijn natuurlijk al lang voorbereid op 25 mei en je kunt dan ook overal informatie hierover vinden. Zoek gewoon naar [jouw dienstverlener] + GDPR.

Hier vind je al de meest gebruikte:

LET OP:

Het opslaan van gegevens telt als verwerking. Je maakt hier dan dus ook gebruik van een “verwerker” als jij gegevens in de cloud opslaat. Je hebt dan dus ook een verwerkersovereenkomst nodig!

Deze bedrijven geven zelf hun overeenkomst uit, omdat het voor hun niet te doen is om van iedere gebruiker een andere bijeenkomst te hanteren.

Landenlijst EC

De EC heeft besloten dat de volgende derde landen een passend beschermingsniveau bieden:

  • Andorra
  • Argentinië
  • Canada
    Let op: dit geldt alleen voor delen van Canada die vallen onder de Canadian Personal Information Protection and Electronic Documents Act. Onder meer Québec valt hier niet onder.
  • Faeröer Eilanden
  • Guernsey
  • Isle of Man
  • Israël
  • Jersey
  • Uruguay
  • Verenigde Staten (alléén voor doorgifte van gegevens op grond van het door de EC vastgestelde EU-VS privacy shield.)
  • Zwitserland.

U vindt de EC-besluiten op de website van de EC.

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal-gegevensverkeer/doorgifte-binnen-en-buiten-de-eu

Ook als kleine/ individuele zorgaanbieder ben jij in de meeste gevallen wel verplicht om een register van verwerkingsactiviteiten op te stellen. Dit komt omdat kleine zorgaanbieders doorgaans structureel bijzondere persoonsgegevens verwerken: namelijk medische gegevens van hun patiënten.

Volgens de Algemene verordening gegevensbescherming (AVG) ben jij als organisatie met minder dan 250 werknemers verplicht om een register op te stellen wanneer jij persoonsgegevens verwerkt:

  • die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie jij persoonsgegevens verwerkt en/of
  • waarvan de verwerking niet incidenteel is en/of
  • die vallen onder de categorie bijzondere persoonsgegevens.

Een voorbeeld en uitleg voor een verwerkingsregister vindt jij hier.

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/zorgaanbieders-en-de-avg

Sommige gegevensverwerkingen leveren een hoog privacyrisico op voor de betrokken personen. Onder de Algemene verordening gegevensbescherming (AVG) bent is men in zo’n geval verplicht om een data protection impact assessment (DPIA) uit te voeren. Dit geldt echter niet voor individuele zorgverleners.

Een individuele zorgverlener, dus een natuurlijke persoon die beroepsmatig zorg verleent, is hoe dan ook niet verplicht om een DPIA uit te voeren.

Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat jij maatregelen kunt nemen om de risico’s te verkleinen.

Hoe bepaal jij of er sprake is van een "waarschijnlijk hoog privacyrisico"?

De werkgroep van Europese privacytoezichthouders (WP29) heeft een lijst van criteria opgesteld om u als verantwoordelijke te helpen om het privacyrisico van jouw gegevensverwerking in te schatten. Voor zorgaanbieders kunnen de volgende criteria uit die lijst leiden tot een hoog risico:

  • Jij verwerkt gevoelige gegevens. Het gaat hierbij om bijzondere categorieën van persoonsgegevens, zoals gegevens over de gezondheid van mensen.
  • Jij verwerkt op grote schaal (bijzondere) persoonsgegevens. De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. De werkgroep van Europese toezichthouders adviseert om met de volgende criteria te bepalen of hiervan sprake is:
    - de hoeveelheid mensen van wie gegevens worden verwerkt;
    - de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
    - de tijdsduur van de gegevensverwerking;
    - de geografische reikwijdte van de gegevensverwerking.
  • Jij verwerkt gegevens over kwetsbare personen. Bij zorgaanbieders kan er sprake zijn van een ongelijke machtsverhouding tussen jou als verantwoordelijke en de betrokken personen zoals kinderen, ouderen, wilsonbekwame en andere kwetsbare patiënten. 

-> Meer informatie en uitleg over de criteria om de hoogte van het privacyrisico in te schatten

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/zorgaanbieders-en-de-avg

Dat is nog niet helemaal duidelijk. De Autoriteit Persoonsgegevens geeft dit ook toe.

Er zijn wel een aantal criteria voor de grootschalige verwerking van (bijzondere) persoonsgegevens:

  • het aantal betrokkenen (de mensen van wie jij gegevens verwerkt);
  • de hoeveelheid gegevens die jij verwerkt;
  • de duur van de gegevensverwerking;
  • de geografische reikwijdte van de verwerking.

Voorbeelden van grootschalige verwerkingen

Hieronder vindt jij een aantal voorbeelden van verwerkingen die de Europese toezichthouders als grootschalig zien (bron: Guidelines on Data Protection Officers / Nederlandse vertaling guidelines).

  • Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
  • Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
  • Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.
  • Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
  • Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.
  • Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten. Zoals inhoud, verkeer en locatie.

Voorbeeld van een niet-grootschalige verwerking

De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig. Hieronder val ook jij als zelfstandige verpleegkundige/ verzorgende/ begeleider.

Standaard

De Europese privacytoezichthouders verwachten dat er op den duur een praktische standaard komt waarmee u eenvoudiger bepaalt of u volgens de AVG op grote schaal (bijzondere) persoonsgegevens verwerkt en dus een FG moet aanstellen en een DPIA moet uitvoeren. Zodra hierover meer bekend is, vindt u die informatie op deze website.

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg

Als zorgaanbieder mag jij onder de Algemene verordening gegevensbescherming (AVG) persoonsgegevens blijven verstrekken aan zorgverzekeraars.

De regels die onder de huidige Wet bescherming persoonsgegevens (Wbp) gelden voor bijvoorbeeld het verstrekken van gegevens aan zorgverzekeraars voor de declaratie van zorgkosten, het aanvragen van machtigingen en het uitvoeren van formele en materiële controle blijven onder de AVG dus bestaan.

Lees meer over onder welke voorwaarden zorgverzekeraars medische gegevens mogen verwerken.

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/zorgaanbieders-en-de-avg

Nee.

Patiënten hebben onder de Algemene verordening gegevensbescherming (AVG) net als nu recht op inzage in hun medisch dossier. Bijvoorbeeld om röntgenfoto’s, diagnoses en operatieverslagen te bekijken. Alleen in jouw persoonlijke werkaantekeningen hoef jij geen inzage te geven. Nieuw is wel dat jij straks geen vergoeding meer mag vragen voor de inzage.

Vergoeding voor kopieën

Patiënten hebben ook recht op kopieën van hun medische gegevens. Hiervoor mag jij onder de AVG geen kosten in rekening brengen. Onder de huidige Wet bescherming persoonsgegevens (Wbp) mag dit nog wel. Maar verzoekt een patiënt om meer dan een kopie van alle gegevens? Dan mag jij hiervoor wel een redelijke vergoeding vragen.

Geen volledige inzage medisch dossier

Verzoekt een patiënt om toegang tot zijn of haar dossier? Maar wordt daardoor de privacy van iemand anders dan de patiënt zelf geschaad? Dan mag jij de patiënt weigeren om een bepaald gedeelte van zijn/haar medisch dossier in te zien.

Jij moet dan wel kunnen aantonen dat dat het geval is. Het belang van de privacy van de ander moet daarbij zwaarder wegen dan het belang dat de patiënt heeft bij inzage in het betreffende gedeelte van zijn/haar medisch dossier.

Relevante wetten:

Het recht op inzage is geregeld in zowel de AVG als de Wet op de geneeskundige behandelovereenkomst (WGBO).

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/zorgaanbieders-en-de-avg

Het recht op dataportabiliteit is een nieuw recht onder de AVG. Het is het recht van mensen om persoonsgegevens mee te nemen en over te dragen aan een andere (zorg)aanbieder. Het recht geldt voor een deel van de gegevens in medische dossiers.

Welke gegevens wel

De persoonsgegevens die jouw cliënt zelf actief en bewust heeft verstrekt, vallen onder het recht op dataportabiliteit. Dat geldt ook voor de gegevens die de cliënt indirect heeft verstrekt door het gebruik van een dienst of een apparaat. Bijvoorbeeld de gegevens die een pacemaker of een bloedrukmeter genereert.

Welke gegevens niet

De gegevens in het medisch dossier die niet direct of indirect door het gebruik van een dienst of een apparaat door de patiënt zijn verstrekt, vallen niet onder het recht op dataportabiliteit.

Het recht op dataportabiliteit geldt bijvoorbeeld niet voor de conclusies, assesments, vermoedens of zorgplannen die jij als zorgverlener op basis van de door de patiënt verstrekte gegevens vaststelt.

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/zorgaanbieders-en-de-avg

Het recht om vergeten te worden geldt in principe niet voor medische dossiers. De Algemene verordening gegevensbescherming (AVG) biedt namelijk ruimte aan nationale wetgeving. Onder meer om uitzonderingen op het recht op vergetelheid te regelen. Cliënten mogen jou wel vragen om gegevens uit hun dossier te verwijderen.

Regels in Wgbo

In Nederland zijn de regels voor het bewaren van medische dossiers opgenomen in de Wet op de geneeskundige behandelovereenkomst (Wgbo). Hierin is bepaald dat medische dossiers 15 jaar bewaard moeten worden. 

Deze wet regelt dat mensen het recht hebben om hun zorgverlener te vragen om de gegevens eerder te vernietigen. Jij moet daar gehoor aan geven, tenzij een bepaald voorschrift of specifieke wet bepaalt dat jij de gegevens moet bewaren. Bijvoorbeeld vanwege het belang van iemand anders. Of omdat de gegevens nodig zijn voor het leveren van zorg.

Reageren op een verzoek

Heeft een cliënt jou gevraagd om vernietiging van zijn of haar dossier? Dan moet jij als zorgverlener binnen 3 maanden aan dit verzoek voldoen. Wanneer jij het verzoek afwijst, dan moet jij de cliënt laten weten waarom. Het liefst schriftelijk.

Verwijder jij alleen een onderdeel uit het dossier? Dan kun jij in het dossier vermelden dat een deel van de gegevens op verzoek van de cliënt is verwijderd.

Meer informatie

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/zorgaanbieders-en-de-avg

Jouw vraag over de AVG

Die hebben wij nodig om jou ons antwoord toe te sturen.