Informatiebeveiliging en AVG

HomeDienstenJuridischInformatiebeveiliging en AVG
Informatiebeveiliging lijkt een ingewikkelde materie en iets waar je als zorgverlener weinig invloed op hebt. Maar het tegendeel is waar. Er zijn kaders en aandachtspunten waar je samen met collega’s bewust van moet zijn.

Wettelijke plicht

Bij artsen rust de plicht om vertrouwelijk om te gaan met gegevens van patiënten.
Dit betekent dat wanneer die gegevens (elektronisch) worden verwerkt deze voldoende beveiligd moeten worden tegen verlies, onrechtmatige toegang en ander onrechtmatig gebruik ervan. Veilig omgaan met patiëntengegevens is dus van groot belang binnen de huisartsenpraktijk, voor iedere medewerker, zowel elektronisch als op papier.

Wat is de AVG?

De Algemene Verordening Gegevensbescherming (AVG) is een privacywet die geldt in de hele Europese Unie (EU). In de EU heeft nu nog elke lidstaat een eigen privacywet. Deze nationale wetten zijn allemaal gebaseerd op de Europese privacyrichtlijn uit 1995.

Voor Nederland is de nationale uitvoering van deze richtlijn uitgewerkt in de Wet bescherming persoonsgegevens (Wbp). De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving. De AVG-regels gelden ook voor het medisch beroepsgeheim.
De volgende wetten gelden voor:

  •     Wet op de geneeskundige behandelingsovereenkomst (WGBO).
  •     Wet kwaliteit, klachten en geschillen zorg (Wkkgz).
  •     Wet op de beroepen in de individuele gezondheidszorg (Wet BIG).
  •     Zorgverzekeringswet (Zvw).
  •     Wet marktordening gezondheidszorg (Wmg).
  •     Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Wat betekent dit in de dagelijkse praktijk?

De AVG ziet toe op de verwerking van alle patiëntengegevens, ook de niet-digitale. Onder de AVG gelden er informatieverplichtingen en regels over het werken met toestemming van de patiënt. In veel gevallen ben je ook verplicht zijn om een register van verwerkingsactiviteiten bij te houden, een data protection impact assessment (DPIA) uit te voeren en een functionaris voor de gegevensbescherming (FG) aan te stellen.

Daarnaast vallen ook andere persoonsgegevens onder de werking van de AVG, denk bijvoorbeeld aan de personeelsdossiers van medewerkers en gegevens van sollicitanten.

De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen.
De nadruk ligt op de verantwoordingsplicht van organisaties om te kunnen aantonen dat zij zich aan de wet houden. De praktijk laat met documenten zien dat zij een goede informatiebeveiliging nastreeft.