AVG in de zorg

3 mei 2018 Door: Richard Beverwijk

De impact van de inwerkingtreding van de AVG in de zorg is relatief beperkt.  Dit heeft er mee te maken dat er voor de zorg al veel wetgeving is op het gebied van de privacy en de bescherming van vertrouwelijke gegevens. Bovendien bestaat er het medisch beroepsgeheim, vastgelegd in de Wet op de Geneeskundige Behandelovereenkomst en de Wet op de Beroepen in de Gezondheidszorg. Bedrijven en instellingen in de zorg zijn vaak verplicht om de voldoen aan NEN of ISO-normen die gelden voor de zorgsector, zoals de NEN 7510 en 7513 voor de beveiliging van dossiers.

De AVG in de zorg is aanvullend op de bestaande wettelijke regeling. Voor de zorgsector zijn vooral de bepalingen over de zogenaamde bijzondere persoonsgegevens van belang. Bijzondere persoonsgegevens zijn gegevens over ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Voor de verwerking van bijzondere gegevens, waaronder dus gegevens over gezondheid, gelden strengere eisen in de AVG dan voor ‘gewone’ persoonsgegevens. Verstrekking aan derden is bijvoorbeeld in beginsel alleen mogelijk met toestemming van de zorgvrager, maar op grond van de huidige regels staat dat de zorgaanbieder ook niet vrij. Hieronder een aantal onderwerpen die onder de AVG ook voor de zorg gaan veranderen.

Moet een zorgaanbieder een functionaris gegevensbescherming (FG) aanwijzen?

Een zorgaanbieder moet FG aanwijzen als op grote schaal bijzondere persoonsgegevens verwerkt, zoals gegevens over de gezondheid. In de AVG staat niet heel specifiek omschreven wanneer een verwerking grootschalig is. Dat is afhankelijk van de situatie. Wel hebben de Europese toezichthouders een aantal criteria opgesteld, namelijk:

  • het aantal betrokkenen (de mensen van wie u gegevens verwerkt)
  • de hoeveelheid gegevens die u verwerkt;
  • de duur van de gegevensverwerking;de geografische reikwijdte van de verwerking.

De Europese privacytoezichthouders noemen een ziekenhuis als expliciet voorbeeld van een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt. Een ziekenhuis is dus verplicht om een FG aan te stellen. De privacytoezichthouders zien verwerkingen van bijzondere persoonsgegevens door individuele artsen niet als grootschalig. Individuele artsen hoeven dus geen FG aan te stellen. Dit zelfde zal gelden voor andere individuele zorgaanbieders, zoals fysiotherapeuten.

Is een data protection impact assessment (DPIA) in de zorg altijd verplicht?

Sommige gegevensverwerkingen leveren een hoog privacyrisico op voor de betrokken personen. Onder AVG is een verwerkingsverantwoordelijke in dat geval verplicht om een DPIA uit te voeren.

De werkgroep van Europese privacytoezichthouders (WP29) heeft een lijst van criteria opgesteld om te helpen om het privacyrisico van de gegevensverwerking in te schatten. Voor zorgaanbieders kan een DIA verplicht zijn indien op grote schaal bijzondere persoonsgegevens worden verwerkt. Echter, voor een individuele zorgverlener, dus een natuurlijke persoon die beroepsmatig zorg verleent, is het niet verplicht om een DPIA uit te voeren.

Heeft een zorgvrager ook het recht op vergetelheid?

Op grond van de AVG heeft een betrokkenen het recht om al zijn persoonsgegevens te laten wissen. Dit zogenaamde recht van vergetelheid is niet mogelijk indien het gaat om gegevens die zijn opgenomen in een medisch dossier. Voor een medisch dossier geldt wettelijk een bewaartermijn van tenminste 15 jaar. Op grond van de Wet Geneeskundige Behandelovereenkomst kan een patiënt wel een verzoek indienen om zijn dossier geheel of gedeeltelijk te  vernietigen, maar de behandelaar kan dit weigeren indien sprake is van een aanmerkelijk belang van een ander om het dossier te bewaren.

Wanneer is een Privacy Statement in de zorg verplicht?

Als u als zorgaanbieder offline of online persoonsgegevens verzamelt, bijvoorbeeld via een inschrijfformulier, contactformulier, of als u een medisch dossier aanlegt dan bent verplicht om een privacyverklaring te gebruiken zodat uw patiënten of cliënten op de hoogte zijn van de wijze waarop u omgaat met de persoonsgegevens, waaronder de medische gegevens van uw patiënten of cliënten.

In onze webshop vindt u een model Privacy Statement Zorg, dat voldoet aan de bestaande wettelijke regels en de aanvullende eisen van de AVG in de zorg.