Mag ik identiteitsnummers van patiënten vastleggen?
Antwoord AVG-Helpdesk Zorg, Welzijn en Sport: Een logopedist is een zorgaanbieder (artikel 34 wet BIG en artikel 1 Wkkgz) en mag (en is soms zelfs verplicht) daarom een identiteitsnummer van een patiënt vast te leggen. (Zie hiervoor artikel 4 t/m 8 Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg). Waarbij in artikel 8 van de Wet de verplichting staat om het bsn vast te leggen.

Mogen verwijzingen ingescand worden?
Verwijzingen mogen worden gescand en digitaal worden bewaard. Wel is het van belang dat de verwijzing goed leesbaar is en de authenticiteit voldoende gewaarborgd is.

Hoe kan ik aan mijn cliënten laten zien dat ik AVG-proof ben?
Maak gebruik van de handige A4 poster om aan te tonen dat u AVG-proof bent. Download de poster en hang hem vervolgens op een zichtbare plek in uw praktijk.

In hoeverre is de AVG van toepassing op de kwaliteitskringen?
Een kwaliteitskring is geen juridische entiteit (rechtspersoon of natuurlijke persoon) en valt niet onder de werking van de AVG.

Mag je foto’s van cliënten op de website of Facebook plaatsen wanneer je daar toestemming voor hebt van de cliënt of zijn/haar ouders?
U dient uitdrukkelijke toestemming van ouders of de patiënt te hebben voor het plaatsen van foto’s op internet. U moet onder de AVG ook kunnen aantonen dat hiermee is ingestemd. Wij adviseren dan ook om deze toestemming schriftelijk vast te leggen.

Uitwisseling medische gegevens per e-mail
KNMG richtlijnen voor omgang met medische gegevens en de adviezen die ze geeft specifiek voor e-mail. met links naar o.a. de richtlijn omgang met medische gegevens). Het gaat hier met name om gedragsregels passend bij de wet- en regelgeving en niet zozeer om de technische uitwerking.

Hoe om te gaan met de Functionaris Gegevensbescherming?
Een FG is verplicht als de verwerkingsverantwoordelijke o.a. hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 AVG (artikel 37 lid 1 sub d AVG). Dit betreft o.a. medische gegevens en dat betekent dat een logopediepraktijk een FG zou moeten aanstellen. Er worden immers hoofdzakelijk medische gegevens verwerkt. De Autoriteit Persoonsgegevens heeft het standpunt ingenomen dat bij gegevensverwerking door een individuele arts geen FG hoeft te worden aangesteld (zie website Autoriteit Persoonsgegevens). Naar analogie zal dat ook voor de logopedist gelden die een eenmanszaak heeft. Het is nog niet bekend of het daadwerkelijk nodig is dat relatief kleine praktijken, denk aan een maatschap van twee logopedisten met bijvoorbeeld een medewerker, ook een FG moeten hebben.

Wat te doen met de oude dossiers? Moet ik tot 25 jaar terug zorgen dat deze dossiers voldoen aan de AVG?
De AVG geldt op alle persoonsgegevens die in de logopediepraktijk worden verwerkt dus ook voor ‘oude’ dossiers. De gegevens mogen niet langer worden bewaard dan noodzakelijk is gelet op het doel waarvoor deze verzameld zijn. De WGBO geeft een concretere invulling van de bewaartermijn, namelijk gedurende 20 jaar na afloop van de behandeling, tenzij goed hulpverlenerschap een langere bewaartermijn met zich meebrengt. Voor gegevens van een minderjarige geldt dat deze termijn begint te lopen vanaf de leeftijd van 18 jaar. Na de termijn moeten de gegevens vernietigd worden, behoudens de genoemde uitzondering;

Moet ik mijn medewerkers een extra geheimhoudingsverklaring laten tekenen?
Nee, er hoeft door medewerkers geen extra geheimhoudingsverklaring te worden getekend. De AVG en WGBO (medisch beroepsgeheim) verplichten tot geheimhouding.

Moet je als logopedist voldoen aan NEN 7510, 7512 en 7513 (zie de privacy policy, opgesteld door ZinZ) en wat houdt het in?
De Stichting Nederlands Normalisatie-instituut heeft een aantal beveiligingsnormen ontwikkeld; de NEN 7510, de NEN 7512 en de NEN 7513. De NEN 7512 en NEN 7513 vormen een uitwerking van de NEN 7510. De NEN 7510 bevat richtlijnen en uitgangspunten voor informatiebeveiliging in de zorg. De NEN 7512 ziet op de vertrouwensbasis bij elektronische communicatie in de zorg. De NEN 7513 biedt een norm voor logging. Op grond artikel 32 lid 1 AVG moet de verwerkingsverantwoordelijke, rekening houdend met de stand van de techniek, de uitvoeringskosten alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen passende technische en organisatorische maatregelen nemen om een op het risico afgestemd beveiligingsniveau te waarborgen. Zorgaanbieders, waaronder logopediepraktijken, zijn gehouden om bij aanvang van de behandeling de identiteit en het burgerservicenummer van de patiënt vast te stellen en de aard van het door de patiënt getoonde legitimatiebewijs en nummer daarvan te registreren in de administratie (artikelen 5 en 6 lid 2 Wet gebruik burgerservicenummer in de zorg (wbsn-z)). Ook is het verplicht om het burgerservicenummer van de patiënt vast te leggen (artikel 8 wbsn-z). In de wbsn-z is vastgelegd dat bij ministeriële regeling kan worden bepaald aan welke beveiligingseisen deze gegevensverwerking moet voldoen (artikel 10 wbsn-z). De minister van VWS heeft bij Regeling gebruik burgerservicenummer in de zorg d.d. 26 mei 2008 nadere regels gesteld omtrent het gebruik van het burgerservicenummer in de zorg. Artikel 2 van deze regeling vereist dat de gegevensverwerking als onder andere bedoeld in artikel 8 wbsn-z voldoet aan de NEN 7510. Uit de definitie van NEN 7510 in deze regeling volgt dat hieronder mede de uitwerkingen in de NEN 7511 en 7512 is begrepen (artikel 1 Regeling gebruik burgerservicenummer in de zorg). Het is dus voor een logopediepraktijk verplicht om te voldoen aan deze NEN-normen en daarbij wordt hiermee tevens invulling gegeven aan de verplichtingen uit de AVG om voldoende beveiligingsmaatregelen te nemen.

Hoe kan ik het beste vertrouwelijke patiëntinformatie ontvangen?
De verwerkingsverantwoordelijke moet, rekening houdend met de stand van de techniek, de uitvoeringskosten alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen passende technische en organisatorische maatregelen nemen om een op het risico afgestemd beveiligingsniveau te waarborgen (zie artikel 32 AVG). Kort gezegd, de informatie kan het beste via een beveiligde verbinding zoals gebruikelijk in de zorgsector worden ontvangen. Dat hoeft geen aparte inlog te zijn, maar kan ook een versleutelde e-mailverbinding zijn mits voldaan wordt aan het bepaalde in artikel 32 AVG. Nb. Wat vandaag als veilig wordt gezien, kan over enkele jaren uit de gratie zijn omdat het gezien de beveiligingsmogelijkheden alsdan niet langer als voldoende veilig wordt beschouwd.

Ik heb een dossier van een patiënt zelf ontvangen met medische geheimen. Wat moet ik hier mee doen?
Advies: als het gegevens bevat die voor een goede zorgverlening noodzakelijk zijn, kan het op grond van de dossierplicht worden toegevoegd in het EPD. Zo nee, vraag dan aan de patiënt wat de bedoeling is. De patiënt heeft op grond van de WGBO het recht om een verklaring te laten toevoegen aan het medisch dossier (zie artikel 7:454 lid 2 Burgerlijk Wetboek). Als het daar niet om te doen is, informeer de patiënt dat de gegevens worden vernietigd. Het is niet wenselijk om over meer (medische) persoonsgegevens te beschikken dan noodzakelijk gelet op het doel waarvoor deze zijn verzameld. Of anders gezegd, als u onnodig over vertrouwelijke gegevens beschikt bent u hiervoor ook verantwoordelijk.

Mogen klachten van een patiënt over de telefoon worden besproken met andere zorgverleners?
Ja. Uitzondering geldt als er reden is om aan te nemen dat de lijn wordt afgeluisterd. Dat zou schending van het medisch beroepsgeheim kunnen opleveren. Dit staat los van de AVG.

Conflict: 15 jaar bewaren versus gegevens verwijderen op verzoek van de patiënt
Ervan uitgaande dat het hier gaat om medische gegevens, op grond van de AVG heeft de betrokkene, i.c. de patiënt, recht op gegevenswissing (‘recht op vergetelheid’) als: de persoonsgegevens niet langer nodig zijn voor het doel waarvoor deze zijn verzameld: dit gaat hier niet op want de wetgever heeft in de WGBO expliciet opgenomen dat medische gegevens ten minste vijftien jaar moeten worden bewaard de patiënt de toestemming heeft ingetrokken en er geen andere rechtsgrond is voor de gegevensverwerking: er is een andere rechtsgrond dan toestemming, namelijk noodzakelijk voor het verstrekken van gezondheidszorg, zie artikel 9 lid2 sub h AVG de betrokkene bezwaar maakt tegen de verwerking overeenkomst artikel 21 AVG. In dat geval dient een belangenafweging te worden gemaakt, zie artikel 21 lid 1 AVG. Goed zorgverlenerschap kan met zich meebrengen dat de medische gegevens niet worden vernietigd de persoonsgegevens zijn onrechtmatig verwerkt: hier niet aan de orde de persoonsgegevens moeten worden gewist op grond van wetgeving: integendeel, zie bewaartermijn van vijftien jaar in de WGBO (artikel 7:454 lid 3 Burgerlijk Wetboek) de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van een informatiemaatschappij: niet aan de orde.

Mag ik vastleggen dat een patiënt Jehova getuige is?
Op grond van de WGBO geldt een dossierplicht voor de logopedist (artikel 7:454 Burgerlijk Wetboek). Dit houdt in dat een dossier moet worden bijgehouden waarin aantekeningen staan over de gezondheid van de patiënt, informatie over de uitgevoerde verrichtingen en andere gegevens voor zover dit voor een goede zorgverlening noodzakelijk is. De AVG kent een vergelijkbare bepaling. Persoonsgegevens over de gezondheid en religieuze of levensbeschouwelijke overtuigingen zijn bijzondere categorieën van persoonsgegevens. Deze gegevens mogen worden verwerkt dus vastgelegd o.a. als dit noodzakelijk is voor het verstrekken van gezondheidszorg (artikel 9 lid 2 sub h AVG). Als het voor een goede zorgverlening noodzakelijk is om dit gegeven vast te leggen, is het toegestaan. Het is aan de behandelend logopedist om dit te bepalen.

Waarop moet je letten bij het delen van informatie?
Onderstaand antwoord komt uit een interview voor het Tijdschrift voor Logopedie met Rob Stadt, Functionaris voor de Gegevensbescherming (FG) bij de brancheorganisatie voor fysiotherapeuten, het KNGF.

In de Wet op de geneeskundige behandelingsovereenkomst (WGBO) staat met wie welke informatie gedeeld mag worden. Dat verandert niet. ‘Wel is het zo dat de rechten van betrokkenen in de AVG meer expliciet worden (bijvoorbeeld over wie wel en wie niet binnen een organisatie toegang hebben tot dossiergegevens) en dat nog niet ieder EPD daar klaar voor is. Zonder extra maatregelen (zoals versleuteling) is het gelet op de risico’s niet verstandig om vertrouwelijke gegevens via e-mail uit te wisselen en is het bijvoorbeeld beter om een SMS te gebruiken als je iemand aan zijn afspraak wilt herinneren. Zorgverleners kunnen veilig met elkaar communiceren via Siilo, een soort whatsapp. Ook zijn er beveiligde regionale netwerken voor zorgverleners. ‘Zorg voor een goede verwerkersovereenkomst als je hiervan gebruikmaakt’, adviseert Stadt. Hetzelfde geldt voor het verzenden van videobeelden van bijvoorbeeld observaties. Nooit als bijlage bij een e-mail, maar ook dan alleen versleuteld en via diensten die voldoende waarborgen bieden en ook zelf voldoen aan de AVG. Omdat deze partijen dan de rol van verwerker hebben, is ook hiermee een verwerkingsovereenkomst nodig. Dossiergegevens zijn bijzondere persoonsgegevens en die kunnen niet zomaar worden gedeeld met iemand die geen behandelrelatie in de zin van de WGBO heeft. En stel dat één van je cliënten zelf aangeeft dat hij het prima vindt om inhoudelijke informatie met jou te delen via e-mail? Stadt: ‘Het is dan verstandig de cliënt te wijzen op de risico’s en het niet te doen’.

Is iedere logopedist verwerkingsverantwoordelijke?
Onderstaand antwoord komt uit een interview voor het Tijdschrift voor Logopedie met Rob Stadt, Functionaris voor de Gegevensbescherming (FG) bij de brancheorganisatie voor fysiotherapeuten, het KNGF.

Een logopedist met een eigen praktijk is zelf verwerkingsverantwoordelijke. Voor logopedisten in loondienst, of dat nu bij een logopediepraktijk of bij een school of een zorginstelling is, geldt dat het management van de organisatie verwerkingsverantwoordelijke is. ‘Een van de taken van de verwerkingsverantwoordelijke is ervoor zorgen dat de medewerkers zich bewust zijn van de regels ten aanzien van de bescherming van persoonsgegevens’, zegt Stadt. Bewustwording is essentieel, stelt hij. ‘Als er dingen fout gaan, bijvoorbeeld gegevens die in handen van onbevoegden terecht komen, is dat bijna altijd een gevolg van menselijk handelen. Iemand is slordig en laat bijvoorbeeld een wachtwoord slingeren. De praktijkhouder of de instelling is hier verantwoordelijk voor en moet zorgen dat het niet gebeurt. Zorg dat je voldoet aan de norm voor informatiebeveiliging voor de sector zorg, NEN7510.’

Wanneer zet je een verwerkersovereenkomst in?
Een verwerkersovereenkomst is wettelijk verplicht als een zorgaanbieder een derde partij inschakelt die persoonsgegevens verwerkt namens de zorgaanbieder, bijvoorbeeld de leverancier van het cliënten/patiëntendossier. Veelal wordt de overeenkomst opgesteld door de EPD-leverancier. In de overeenkomsten met de zorgverzekeraars zijn de verplichtingen opgenomen. Hiervoor hoeft geen extra verwerkersovereenkomst afgesloten worden.

Moet ik elke cliënt informeren over de privacyverklaring?
Onderstaand antwoord komt uit een interview voor het Tijdschrift voor Logopedie met Rob Stadt, Functionaris voor de Gegevensbescherming (FG) bij de brancheorganisatie voor fysiotherapeuten, het KNGF.

Dat moet. Dit geldt zowel voor nieuwe cliënten als voor bestaande cliënten. Zij moeten op de hoogte worden gebracht van het privacybeleid. Op basis van de inhoud van de privacyverklaring wordt de betrokkene in staat gesteld om vooraf een afweging te maken of de persoonsgegevens in vertrouwen kunnen worden verstrekt of niet. Dit kan door de privacyverklaring op de website te plaatsen en op te hangen in de wachtruimte. Hoewel dat niet wordt voorgeschreven, kun je overwegen om een privacyverklaring te laten tekenen. Het is belangrijk dat je overtuigd bent dat de inhoud voor de betrokkene duidelijk is. Bij eventuele conflicten kan het een voordeel zijn als je cliënt de overeenkomst heeft ondertekend.

Wat houdt de privacyverklaring in?
Onderstaand antwoord komt uit een interview voor het Tijdschrift voor Logopedie met Rob Stadt, Functionaris voor de Gegevensbescherming (FG) bij de brancheorganisatie voor fysiotherapeuten, het KNGF.

Een privacyverklaring is bedoeld om betrokkenen, zoals patiënten of cliënten, te informeren over de manier waarop een zorgverlener of een instelling met persoonsgegevens omgaat. Er moet bijvoorbeeld in staan welke gegevens worden vastgelegd en met welk doel dit gebeurt, hoe de gegevens worden beveiligd en aan wie ze eventueel worden verstrekt. Ook staat in de privacyverklaring hoe lang de gegevens bewaard worden. De rechten van de betrokkene zijn ook een belangrijk onderdeel van de privacyverklaring’, zegt Stadt. ‘Zo heeft de betrokkene bijvoorbeeld recht op het intrekken van zijn toestemming en op inzage, correctie en verwijdering van de gegevens.’ Op NVLF.nl staat wat er in een privacyverklaring moet worden vermeld, je vindt daar ook een format die u kunt gebruiken. De uiteindelijke inhoud bepaal je als logopedist zelf.’ aldus Stadt. ‘Stel dat je als logopedist in het kader van een wetenschappelijk onderzoek persoonsgegevens verstrekt aan een andere partij. Dan moet je dat melden in je privacyverklaring. Hiervoor moet de betrokkene expliciet toestemming geven. Die toestemming kan dus ook weer worden ingetrokken.’

Maakt het uit of een logopedist zelfstandig werkt of in loondienst?
Iedereen die met persoonsgegevens werkt, moet zich houden aan de AVG. Als logopedisten in loondienst werken, moet hun werkgever ervoor zorgen dat zij werken volgens de AVG. De werkgever, bijvoorbeeld een ziekenhuis, een onderwijsinstelling of een praktijkhouder, zal de werknemers een geheimhoudingsverklaring voorleggen. Ook zal de werkgever andere maatregelen nemen, bijvoorbeeld om de toestemming van patiënten of leerlingen te waarborgen. Wie zelfstandig werkt, moet dit zelf regelen. Het maakt dan niet uit of je werkzaam bent als praktijkhouder of bijvoorbeeld als coach. Dit geldt voor alle zelfstandigen, al dan niet met personeel, die met persoonsgegevens werken. Het betekent bijvoorbeeld dat je een zogenaamde verwerkersovereenkomst moet sluiten met de leveranciers van de software die gebruik wordt. Wie werknemers heeft, zal hen vragen een geheimhoudingsverklaring te tekenen. Ook moeten zelfstandig werkende logopedisten – of ze nu in hun eentje werken of logopedisten in loondienst hebben – hun privacybeleid publiceren op hun website. Hierin zal ondermeer vermeld zijn dat patiënten of cliënten het recht hebben om hun gegevens uit de bestanden te verwijderen.

Wat betekent de AVG voor logopedisten?
Belangrijk is dat iedereen die met persoonsgegevens werkt, zich realiseert dat de dataveldjes op het beeldscherm persoonsinformatie betreft. Er is een verschil tussen gewone persoonsinformatie en bijzondere persoonsinformatie. De gewone persoonsinformatie betreft gegevens als naam, adres en telefoonnummer. Bijzondere persoonsinformatie betreft bijvoorbeeld afkomst, etnische afkomst, religie, politieke voorkeur of gegevens die met gezondheid te maken hebben. Met alle persoonsinformatie moet je zorgvuldig omgaan, maar voor bijzondere persoonsinformatie gelden extra waarborgen. Dit soort informatie mag je alleen bezitten en verwerken als daar een reden voor is. De logopedist zal meestal een reden hebben om over gezondheidsgegevens te beschikken. Maar om over deze informatie te beschikken, is toestemming nodig van de persoon om wie het gaat. Stel dat iemand die nog geen patiënt is naar een logopediepraktijk mailt dat zij denkt dat ze dyslexie heeft en overweegt een afspraak te maken. Een logopedist registreert die gegevens misschien al, want dat is handig als het inderdaad tot een afspraak komt. Dat mag niet volgens de AVG, want de vrouw in kwestie heeft geen toestemming gegeven. Ze heeft zich weliswaar vrijwillig gemeld, maar dat is niet voldoende. Zo’n probleem kun je bijvoorbeeld praktisch oplossen door op het contactveld op de website een algemene voorwaarde toe te voegen, waarin deze toestemming opgenomen is. Zo zijn er tal van voorbeelden waar logopedisten mee aan de slag moeten om te voldoen aan de AVG.

Waarom komt er nieuwe wetgeving?
Vrijwel elke organisatie werkt met digitale persoonsgegevens. Dat geldt ook voor de logopediepraktijk. Informatie over de patiënt en de behandeling wordt ingevoerd in de computer. Ook zijn er koppelingen met internet, bijvoorbeeld de mogelijkheid voor patiënten om op de website van de praktijk online een afspraak te maken met een logopedist. Daarnaast is patiënteninformatie vaak elektronisch beschikbaar, bijvoorbeeld in het Elektronisch Patiëntendossier. Die digitalisering is handig. Maar het leidt soms ook tot heel vervelende incidenten; iedereen kent de berichten over persoonsgegevens die onbedoeld opeens online zichtbaar waren voor iedereen. De huidige privacywetgeving is niet toegesneden op de digitalisering. De AVG is dat wel.

Wat is de AVG?
De AVG is de nieuwe Europese privacywetgeving. De AVG zorgt ervoor dat de privacyrechten van personen – of het nu patiënten zijn, of consumenten, of burgers – worden uitgebreid en versterkt. Zo kunnen personen straks aan organisaties vragen om hun persoonsgegevens te verwijderen. ook hebben organisaties toestemming nodig om persoonsgegevens te verwerken.