De zorgsector heeft niet alleen een fysieke zorgtaak, maar is ook verplicht zorg te dragen voor de juiste omgang met privacygevoelige gegevens. Dit is onder andere vastgelegd in de
Algemene Verordening Gegevensbescherming (AVG), die kaders schept voor een verantwoorde omgang met persoonsgegevens. De AVG geldt voor iedere organisatie, waarbij geldt: hoe gevoeliger de gegevens, hoe meer maatregelen vereist. In de zorgsector worden zeer privacygevoelige gegevens verwerkt van een kwetsbare doelgroep, dus ligt de lat op de bescherming van deze gegevens extra hoog. En dus heeft de zorgsector allerlei verplichtingen rond patiëntgegevens. Daarbij zijn onder andere transparantie, documentatie, beveiliging en structuur cruciaal.
Wat zijn nu de belangrijkste richtlijnen van de AVG en gegevensbescherming in de zorg? En hoe voldoe je aan de verplichtingen als zorgaanbieder? Lees er hier alles over.
De AVG-wet: de basisprincipes
De Algemene Verordening Gegevensbescherming (AVG) is een Europees opgelegde verordening. Het doel is kaders stellen voor de verwerking van persoonsgegevens. De AVG is ingegaan in 2018, ter vervanging van de Wet bescherming persoonsgegevens.
De kern van de AVG is artikel 5, met daarin de beginselen van gegevensverwerking. De drie belangrijkste elementen zijn:
- Rechtmatigheid (gegevens mogen alleen verwerkt worden als een geldige wettelijke grondslag is)
- Transparantie (betrokkenen moeten duidelijk geïnformeerd worden over wat er met hun gegevens gebeurt)
- Doelbinding (gegevens mogen enkel verzameld worden voor gerechtvaardigd doel, wat specifiek en duidelijk is omschreven).
In de praktijk komt dit erop neer dat gegevens alleen verwerkt worden als de betrokkene toestemming verleent, als het noodzakelijk is voor het voldoen aan wettelijke verplichtingen, of wanneer dit nodig is om de geneeskundige behandelingsovereenkomst na te leven.
Voor cliënten wier zorggegevens worden opgeslagen, geeft de AVG aan welke rechten zij hebben. Hier valt onder andere het recht op inzage en verwijdering onder.
Aanvullende wetten voor de zorg voor gegevensbescherming
Specifiek voor de zorg gelden er een aantal aanvullende wetten, zoals de Wabvpz (Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg), de WGBO (Wet op de geneeskundige behandelingsovereenkomst en mindere mate de Wkkgz (Wet kwaliteit, klachten en geschillen zorg.
De AVG-verplichtingen voor zorgorganisaties
De AVG stelt: hoe meer risico een (zorg)organisatie loopt, hoe meer maatregelen zijn vereist. Sommige hiervan gelden voor alle zorgverleners, terwijl de invulling van andere verplichtingen afhangt van onder andere de omvang van de organisatie en de categorie persoonsgegevens.
Dit zijn de belangrijkste verplichtingen waar de meeste zorgorganisatie aan dienen te voldoen:
- niet meer gegevens verzamelen dan absoluut noodzakelijk
- goede afspraken maken met en eisen stellen aan ketenpartners die over informatie beschikken
- register bijhouden van activiteiten met persoonsgegevens, inclusief verantwoordelijken
- privacyrisico’s in kaart brengen
- interne of externe functionaris gegevensbescherming aanstellen
- Inrichten van proces van datalek- en incidentregistratie
- techniek en organisatie op dusdanig kwalitatief peil brengen dat naleving van de AVG mogelijk wordt gemaakt.
Waarom is de AVG nodig in de zorg?
Verantwoorde omgang met persoonsgegevens is nodig voor het vertrouwen, het voorkomen van fouten en misbruik van gegevens. Het beveiligen van gegevens is noodzakelijk om ervoor te zorgen dat een (zorg)organisatie het risico om getroffen te worden door een cyberaanval wil reduceren. De zorgsector is namelijk op het gebied van privacy op meerdere manieren kwetsbaar. Ten eerste is de zorg dagelijks doelwit van cyberaanvallen. Zowel grote als kleinere zorgorganisaties worden getroffen door ransomware-aanvallen en datalekken. Daarnaast zullen er altijd menselijke fouten worden gemaakt. De AVG en de aanvullende wetten omtrent gegevensbescherming bieden kaders om je als (zorg)organisatie hier tegen te wapenen.
AVG-naleving als zorgaanbieder: praktische tips
Hoe heb je als zorgonderneming zo min mogelijk zorgen over AVG-naleving? Onze tips:
- Stel een duidelijk privacybeleid op
- Benoem verantwoordelijken en verantwoordelijkheden
- Breng en houd de informatiebeveiliging op peil
- Test geregeld hoe het gesteld is met de AVG compliance
- Train en school medewerkers zodat zij alert en adequaat handelen
- Schakel externe expertise in wanneer nodig
We zien vooral bij kleine organisaties dat dat ‘AVG-gedonder’ ervaren wordt als een last en een zorg. Daardoor is de motivatie om met gegevensbescherming serieus aan de slag te gaan soms laag. Ons inziens kunnen we daarom het beste sturen op de intrinsieke motivatie van zorgorganisaties om goed voor hun cliënten/patiënten te zorgen – wat het dus essentieel maakt om ook zo zorgvuldig om te gaan met hun gegevens.
Hebben certificeringen nut wat betreft gegevensbescherming in de zorg?
Gebruik cybercertificering zoals de NIS2 en NEN als kader en houvast voor het op peil brengen van je informatiebeveiliging. Het is echter niet zo dat wanneer je voldoet aan NEN7510, of maatregelen neemt om te voldoen aan NIS2, dit ook betekent dat alle zaken rond gegevensbescherming op orde zijn. NEN7510 en NIS2 draaien om informatiebeveiliging, met links en rechts wat aandacht voor het verantwoord omgaan met persoonsgegevens.
Lees hier meer over de opbrengsten van cybercertificeren voor jouw organisatie
Wil jouw zorgorganisatie weten of jullie AVG compliance en cyberweerbaarheid op peil zijn? Of gelijk aan de slag met een van onze tips of een privacyvraagstuk? Kom met ons in contact, wij kunnen op alle fronten helpen. Van privacyscans tot consultancy, Functionaris Gegevensbescherming en Privacy Officer as a Service: we hebben het in huis.
