AVG Stappenplan

Onze Huisartsen ondersteunt u graag om met uw praktijk te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Wij adviseren u om onderstaande vijf stappen te doorlopen.

U kunt hierbij gebruikmaken van diverse (deels) ingevulde documenten aan de rechterkant op deze pagina.

  1. Sluit verwerkersovereenkomsten af
  2. Houd een verwerkingsregister bij
  3. Voer een DPIA uit
  4. Publiceer een actuele privacyverklaring
  5. Hanteer een procedure voor het melden van datalekken

Toelichting op het stappenplan

1. Verwerkersovereenkomsten afsluiten

Maakt de praktijk gebruik van een verwerker die de beschikking krijgt over persoonsgegevens die onder de verantwoordelijkheid van de praktijk vallen? Bijvoorbeeld een ICT-leverancier, of iemand die de salarisadministratie verzorgt? Dan verplicht de AVG de praktijk met deze partijen verwerkersovereenkomsten te sluiten. Werkt de praktijk nu met een zogenoemde bewerkersovereenkomst conform de Wbp, dan moet men deze laten aanpassen aan de eisen van de AVG. De leveranciers zullen de praktijk (of hebben reeds) een verwerkersovereenkomst aanbieden. Controleer of er van alle partijen een overeenkomst aangeboden is. In de checklist verwerkersovereenkomst vindt u een overzicht van welke onderwerpen in de overeenkomst moeten worden beschreven en welke afspraken (minstens) moeten worden gemaakt.

2. Verwerkingsregister aanleggen en bijhouden

De praktijk is verplicht een zogenoemd verwerkingsregister aan te leggen. Hierin vermeldt de praktijk alle soorten persoonsgegevens die in de praktijk bewaard worden, de wijze waarop de praktijk deze verwerkt, voor welk doel etc. U kunt gebruik maken van het sjabloon van Ineen, of de LHV welke het best bij uw praktijk past. Het verwerkingsregister is onderdeel van de volgende stap. 
TIP: er wordt gevraagd naar een Functionaris Gegevensbescherming (FG). 

3. Voer een Data Privacy Impact Assessment (DPIA) uit

Wat zijn de risico’s van verwerkingssystemen? Die moet de praktijk vóór invoering analyseren om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Volgens de nieuwe wet moet er in bepaalde gevallen een DPIA worden uitgevoerd. Met een DPIA worden vooraf de privacyrisico’s van gegevensverwerking in kaart gebracht, bijvoorbeeld het opnemen van medische dossiers in een informatiesysteem.

U bent verplicht om een DPIA uit te voeren bij wijzigingen in gegevensverwerking als dit een verhoogd risico met zich meebrengt. Bijvoorbeeld wanneer u een nieuw HIS aanschaft. Ook voor bestaande gegevensverwerking raadt de Autoriteit Persoonsgegevens aan om periodiek (bijv. eens per 3 jaar) een DPIA te (laten) uitvoeren.

4. Publiceer een actuele privacyverklaring

Inmiddels bent u intern bezig met het aanscherpen van uw informatiebeveiliging.
In een privacyverklaring informeert de praktijk patiënten schriftelijk en in begrijpelijke taal over onder meer: het doel van de verwerking van hun gegevens, aan wie de praktijk deze verstrekt en hoe lang de praktijk deze bewaart. Dat doet de praktijk ook over de wijze waarop patiënten hun rechten kunnen uitoefenen. De privacyverklaring moet de praktijk zowel op papier als online beschikbaar stellen. De privacyverklaring plaats je op je eigen praktijkwebsite.

5. Procedure datalekken

Op grond van de Wbp is de praktijk verplicht de datalekken te registreren die bij de toezichthouder (de Autoriteit Persoonsgegevens) zijn gemeld. De AVG stelt echter de verplichting om álle datalekken te noteren. De Autoriteit Persoonsgegevens heeft in 2016 op verschillende terreinen onderzoek gedaan en advies gegeven over nieuwe wet- en regelgeving. Op het snijvlak van privacy en medische zorg heeft zij specifiek aandacht besteed aan de meldplicht datalekken (beveiliging). Het is nodig dat u hiervoor een procedure opstelt.