Hoe zorginstellingen zich kunnen voorbereiden op de AVG

De algemene verordening gegevensbescherming (AVG) – internationaal bekend als de General Data Protection Regulation (GDPR) – zal op 25 mei 2018 in werking treden, wat betekent dat elke organisatie die persoonsgegevens van EU-inwoners verwerkt, de AVG-regels moet naleven. Dit geldt ook voor de private en publieke gezondheidssector, waarbij het niet alleen toegepast moet worden op medische dossiers – die beschouwd worden als “gevoelige gegevens” – maar ook op persoonlijke gegevens.

Zorginstellingen moeten ervoor zorgen dat ze zowel aan de eisen van de nieuwe wet voldoen, als kunnen aantonen dat ze de informatie van hun patiënten goed beschermen. Daarnaast moeten alle ziekenhuizen en zorginstellingen de identiteit van hun patiënten controleren en een nauwkeurig systeem hanteren dat persoonsgegevens makkelijk kan wissen of rectificeren.

Drie categorieën van gezondheidsgegevens

1. Genetische gegevens worden gedefinieerd in Artikel 4(13) van de AVG als “persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon”.

2. Biometrische gegevens zijn gedefineerd in Artikel 4(14) als “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens”.

3. Gegevens over gezondheid worden ten slotte in Artikel 4(15) gedefinieerd als “persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven”.

Drie belangrijke stappen om aan de AVG te voldoen

Hoewel er veel stappen genomen moeten worden om aan de AVG te voldoen, willen we er drie benadrukken die zorginstanties als de belangrijkste moeten beschouwen:

1. Verantwoording. Organisaties moeten een AVG-nalevingsprogramma opstellen. Om dit te bereiken, raden wij aan een gap-analyse uit te voeren die je huidige nalevingsniveau met de AVG beschrijft. Het zal ook vaststellen waar je interne mogelijkheden zijn.

2. Functionaris voor gegevensbescherming (FG). Het aanstellen van een FG is verplicht als je organisatie verschillende gegevenscategorieën (zoals vermeld in Artikel 4 van de AVG) en persoonlijke gegevens met betrekking tot strafrechtelijke veroordelingen en overtredingen op grote schaal verwerkt. Het is ook verplicht wanneer gegevensverwerkende handelingen regelmatige en systematische controles van betrokkenen op grote schaal vereisen.

3. Gegevensbeschermingseffectbeoordeling (PIA). Organisaties moeten duidelijk maken wie verantwoordelijk is voor gegevensbeschermingseffectbeoordelingen, zodra deze nodig zijn. Daarnaast moeten ze hun procedures en beleid herzien om PIA-praktijken te ondersteunen.

Wij raden aan om je AVG-nalevingsplan op te starten aan de hand van een van onze GDPR Foundation cursussen in Amsterdam. Deze cursus biedt een uitgebreide introductie tot de Verordening en een overzicht van de wettelijke vereisten voor organisaties.

Reserveer nu je plek >>

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.