Door de verordening gelden voor heel Europa dezelfde regels voor het verwerken van persoonsgegevens. Het uitgangspunt van de AVG is dat persoonsgegevens niet zonder meer verwerkt en beheerd mogen worden door zorginstellingen.
Toestemming verlenen
Elke praktijk verwerkt, al dan niet bewust, persoonsgegevens. Zo zijn namen, adressen en telefoonnummers van klanten al aan te merken als persoonsgegevens. Je dient als bedrijf enorm waakzaam te zijn met het beheren en verwerken van deze gegevens. Zo is het bijvoorbeeld vereist dat jouw patiënt expliciet toestemming verleent, alvorens je rechtmatig persoonsgegevens verwerkt. Dit wordt met ingang van de AVG strenger.
Je moet als bedrijf ook aantonen welk rechtmatig doel je hebt voor het verwerken van persoonsgegevens. Tevens volgt er een strengere handhaving op de nieuwe regelgeving.
Ondersteuning door NVLF
De NVLF merkt dat er veel vragen zijn over de invoering van de AVG. Daarom biedt de NVLF op verschillende manieren ondersteuning aan, zoals gratis webinars, het stappenplan en de invulworkshops. Rob Stadt, Functionaris voor de Gegevensbescherming (FG) bij de brancheorganisatie voor fysiotherapeuten, heeft ook veel vragen verzameld en beantwoord op de website zichtopmijngegevens.nl bij de FAQ’s. Daar kan je ook zelf vragen stellen.
Bekijk de Checklist: houd grip op persoonsgegevens – van de autoriteit persoonsgegevens.
Privacy policy
De NVLF heeft een model privacy policy opgesteld voor logopedisten. Deze kun je gebruiken en onder de aandacht brengen van cliënten door bijvoorbeeld publicatie op de website. Voor bestaande klanten zou een aparte mailing of bericht in een nieuwsbrief kunnen worden overwogen. De boodschap zou kunnen luiden: “Wij zijn AVG-proof dus in onze praktijk wordt zorgvuldig met jouw medische persoonsgegevens omgegaan”.
Verwerkersovereenkomsten
De verwerkersovereenkomst vervangt in mei de bewerkersovereenkomst die nu onder de Wet bescherming persoonsgegevens valt. Een verwerkersovereenkomst is wettelijk verplicht wanneer een partij (‘de verwerkingsverantwoordelijke’) het verwerken van bepaalde persoonsgegevens aan een andere partij (‘de verwerker’) wil uitbesteden. Verwerken is o.a. verzamelen, vastleggen, bewaren, raadplegen en ter beschikking stellen. Zie artikel 4 lid 8 en artikel 28 lid 3 AVG. Bij logopedisten gaat dit vooral om ICT-leveranciers of ICT-dienstverleners.
Denk verder aan:
• een aanbieder die diensten “in de cloud” aanbiedt, zoals het beheer van klantenadministraties of hosted mailboxen;
• een bedrijf dat nieuwsbrieven rondstuurt op basis van bestanden die zijn klanten aanleveren;
• een aanbieder van een online boekhoudprogramma;
• een bedrijf dat facturatie, personeelsadministratie en debiteurenbeheer uitvoert namens een opdrachtgever.
Deze bedrijven stellen veelal zelf een verwerkersovereenkomst op. Een aantal leveranciers heeft de overeenkomsten al op hun website staan en anders zijn ze ermee bezig. Uitgangspunt is dat logopedisten deze verwerkersovereenkomsten dus niet zelf gaan maken.
Mocht een logopedist onverhoopt toch een verwerkersovereenkomst moeten aanbieden, omdat de leverancier/gegevensverwerker dit niet doet, dan verwijzen wij voor een standaard verwerkersovereenkomst naar dit voorbeeld. Let wel: Dit is een voorbeeld waar geen rechten aan ontleend kunnen worden.
Hoe zit het dan met bijvoorbeeld zorgverzekeraars, zorgverleners en scholen?
Er is geen verwerkersovereenkomst nodig tussen bijvoorbeeld zorgverzekeraars, zorgverleners onderling, ouders en scholen. Tussen zorgaanbieders en zorgverzekeraars bijvoorbeeld worden wel gegevens uitgewisseld, hierbij geldt echter dat er geen sprake is van het uitbesteden van werkzaamheden van de zorgaanbieder naar de zorgverzekeraar of omgekeerd. Er worden wel gegevens verstrekt, maar niet namens een andere partij verwerkt. Een verwerkersovereenkomst is daarom ook niet noodzakelijk. Een ander voorbeeld is de huisarts. Wanneer verwerkt een huisarts ten behoeve van de logopedist persoonsgegevens? Als de logopedist een terugkoppeling aan de huisarts geeft over bijvoorbeeld het verloop van de behandeling, dan verwerkt de huisarts deze informatie. De informatie zal worden vastgelegd in het HIS ten behoeve van de behandelingsovereenkomst die de huisarts met de patiënt heeft (dit is een eigen doel). De huisarts kwalificeert ten aanzien van het HIS als verwerkingsverantwoordelijke en is geen verwerker van de logopedist. Dit geldt ook voor andere medische specialisten en collega paramedische zorgverleners. Bij scholen is het eveneens de vraag in welk opzicht zij persoonsgegevens ten behoeve van de logopedist verwerken.
Helpdesk voor AVG
Het ministerie van VWS heeft een AVG helpdesk voor zorg en welzijn opgericht. Bij deze helpdesk kunt u terecht voor vragen over privacy in het algemeen en de AVG in het bijzonder. De helpdesk beschikt over een aparte telefonische hulplijn voor zorgaanbieders die verantwoordelijk zijn voor de implementatie van de AVG. Kijk voor meer informatie op: www.avghelpdeskzorg.nl.
Elektronische inzage en afschrift patiëntendossier per 1 juli 2020 verplicht
Met ingang van 1 juli 2020 krijgt de patiënt het recht op (elektronische) inzage in zijn medisch dossier. Daarnaast kan de patiënt op verzoek een digitaal overzicht ontvangen van de logging-gegevens van zijn medisch dossier. Dit volgt uit de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz).
De Wabvpz is de opvolger van de Wet cliëntenrechten bij elektronische verwerking van gegevens die sinds 1 juli 2017 van kracht is. Lees hier wat de belangrijkste verplichtingen zijn.
Handige links
Wat houdt de nieuwe wet in en wat moet er gedaan worden?
https://avgverenigingen.nl/privacy-avg-wet-korte-uitleg/
Meer informatie over het AVG-programma om aan de eisen te voldoen
https://www.avg-programma.nl/ons-programma
Veelgestelde vragen over de AVG
https://zichtopmijngegevens.nl/faqs/