Algemene Verordening Gegevensbescherming (AVG)

In mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG zorgt voor betere beveiliging van persoonsgegevens. Dit heeft ook gevolgen voor logopedisten.

Door de verordening gaan voor heel Europa dezelfde regels gelden voor het verwerken van persoonsgegevens. Het uitgangspunt van de AVG is dat persoonsgegevens niet zonder meer verwerkt en beheerd mogen worden door zorginstellingen.

Toestemming verlenen
Elke praktijk verwerkt, al dan niet bewust, persoonsgegevens. Zo zijn namen, adressen en telefoonnummers van klanten al aan te merken als persoonsgegevens. U dient als bedrijf enorm waakzaam te zijn met het beheren en verwerken van deze gegevens. Zo is het bijvoorbeeld vereist dat uw patiënt expliciet toestemming verleent, alvorens u rechtmatig persoonsgegevens verwerkt. Dit wordt met ingang van de AVG strenger.

U moet als bedrijf ook aantonen welk rechtmatig doel u heeft voor het verwerken van persoonsgegevens. Tevens volgt er een strengere handhaving op de nieuwe regelgeving.

Ondersteuning door NVLF
De NVLF merkt dat er veel vragen zijn over de invoering van de AVG. Daarom biedt de NVLF op verschillende manieren ondersteuning aan, denk aan de gratis webinars, het stappenplan en de invulworkshops. Rob Stadt, Functionaris voor de Gegevensbescherming (FG) bij de brancheorganisatie voor fysiotherapeuten, heeft ook veel vragen verzameld en beantwoord op de website zichtopmijngegevens.nl bij de FAQ’s. Daar kunt u ook zelf vragen stellen.

Privacy policy
De NVLF heeft een model privacy policy opgesteld voor logopedisten. Deze kunt u gebruiken en onder de aandacht brengen van cliënten door bijvoorbeeld publicatie op de website. Voor bestaande klanten zou een aparte mailing of bericht in een nieuwsbrief kunnen worden overwogen. De boodschap zou kunnen luiden: "Wij zijn AVG-proof dus in onze praktijk wordt zorgvuldig met uw medische persoonsgegevens omgegaan".

Verwerkersovereenkomsten
De verwerkersovereenkomst vervangt in mei de bewerkersovereenkomst die nu onder de Wet bescherming persoonsgegevens valt. Een verwerkersovereenkomst is wettelijk verplicht wanneer een partij (‘de verwerkingsverantwoordelijke’) het verwerken van bepaalde persoonsgegevens aan een andere partij (‘de verwerker’) wil uitbesteden. Verwerken is o.a. verzamelen, vastleggen, bewaren, raadplegen en ter beschikking stellen. Zie artikel 4 lid 8 en artikel 28 lid 3 AVG.  Bij logopedisten gaat dit vooral gaan om ICT-leveranciers of ICT-dienstverleners.

Denk verder aan:
• een aanbieder die diensten “in de cloud” aanbiedt, zoals het beheer van klantenadministraties of hosted mailboxen;
• een bedrijf dat nieuwsbrieven rondstuurt op basis van bestanden die zijn klanten aanleveren;
• een aanbieder van een online boekhoudprogramma;
• een bedrijf dat facturatie, personeelsadministratie en debiteurenbeheer uitvoert namens een opdrachtgever;

Deze bedrijven stellen veelal zelf een verwerkersovereenkomst op. Een aantal  leveranciers heeft de overeenkomsten al op hun website staan en anders zijn ze er mee bezig. Uitgangspunt is dat logopedisten deze verwerkersovereenkomsten dus niet zelf gaan maken. De NVLF houdt een overzicht bij waarin duidelijk wordt wie een verwerkersovereenkomst aanbiedt of er mee bezig is.

Mocht onverhoopt toch een verwerkersovereenkomst door de logopedist aangeboden dienen te worden, omdat de leverancier/gegevensverwerker  dit niet doet, dan verwijzen wij voor een standaard verwerkersovereenkomst naar het standaard model van de NVZ.

Hoe zit het dan met bijvoorbeeld zorgverzekeraars, zorgverleners en scholen?
Er is geen verwerkersovereenkomst nodig tussen bijvoorbeeld zorgverzekeraars, zorgverleners onderling, ouders en scholen. Tussen zorgaanbieders en zorgverzekeraars bijvoorbeeld worden wel gegevens uitgewisseld, hierbij geldt echter dat er geen sprake is van het uitbesteden van werkzaamheden van de zorgaanbieder naar de zorgverzekeraar of omgekeerd. Er worden wel gegevens verstrekt, maar niet namens een andere partij verwerkt. Een verwerkersovereenkomst is daarom ook niet noodzakelijk. Een ander voorbeeld is de huisarts. Wanneer verwerkt een huisarts ten behoeve van de logopedist persoonsgegevens? Als de logopedist een terugkoppeling aan de huisarts geeft over bijvoorbeeld het verloop van de behandeling, dan verwerkt de huisarts deze informatie. De informatie zal worden vastgelegd in het HIS ten behoeve van de behandelingsovereenkomst die de huisarts met de patiënt heeft (dit is een eigen doel). De huisarts kwalificeert ten aanzien van het HIS als verwerkingsverantwoordelijke en is geen verwerker van de logopedist. Dit geldt ook voor andere medische specialisten en collega paramedische zorgverleners. Bij scholen is het eveneens de vraag in welk opzicht zij persoonsgegevens ten behoeve van de logopedist verwerken.

Helpdesk voor AVG
Het ministerie van VWS heeft een AVG helpdesk voor zorg en welzijn opgericht. Bij deze helpdesk kunt u terecht voor voor vragen over privacy in het algemeen en de AVG in het bijzonder. De helpdesk beschikt over een aparte telefonische hulplijn voor zorgaanbieders die verantwoordelijk zijn voor de implementatie van de AVG. Kijk voor meer informatie op: www.avghelpdeskzorg.nl.

Relevante artikelen

- AVG: privacyreglement en verwerkersovereenkomst

- NVLF ondersteunt bij invoering AVG

- Ondersteuning bij invoering AVG

- Ondersteuning invoering AVG

- Wat betekent de AVG voor logopedisten?

- Nieuwe verplichtingen verwerking elektronische cliëntgegevens

Handige links

Wat houdt de nieuwe wet in en wat moet er gedaan worden?
https://avgverenigingen.nl/privacy-avg-wet-korte-uitleg/

Meer informatie over het AVG-programma om aan de eisen te voldoen
https://avgverenigingen.nl/oplossing-verenigingen-hele-oplossing/

Kennisberichten over de AVG en wat dit betekent voor verenigingen.
https://avgverenigingen.nl/kennisbank/

Eerlijk is eerlijk, ervoor zorgen dat uw organisatie AVG-proof wordt én blijft is geen leuke klus. Hier enkele tips om collega’s te motiveren.
https://avgverenigingen.nl/avg-motiveer-collegas/

Veelgestelde vragen over de AVG
https://zichtopmijngegevens.nl/faqs/