Privacy

Verwerking van (bijzondere) persoonsgegevens

De Algemene verordening gegevensbescherming (hierna: AVG) is van toepassing wanneer er sprake is van verwerking van persoonsgegevens. Onder ‘verwerken’ wordt het uitwisselen, verzamelen, opvragen, raadplegen en verstrekken van gegevens verstaan. Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare personen. Losse gegevens die samengevoegd kunnen leiden tot de identificatie van een bepaalde persoon vormen ook persoonsgegevens.

De AVG is een Europese verordening die rechtstreekse werking heeft in Nederland en heeft als wetgevend instrument voorrang op ons nationale recht. Dit betekent dat op nationaal niveau geen wet- en regelgeving mag zijn die in strijd is met bepalingen uit de AVG en is nationale wetgeving bij de invoering van de AVG, zo nodig, aangepast. De AVG geeft op verschillende onderdelen ruimte om onderwerpen op nationaal niveau (verder) re regelen. Dit is uitgewerkt in de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG) of in sectorale wetten.

Het systeem van een verordening met nadere uitwerkingen in UAVG of sectorale wetten betekent in de praktijk dat (meestal) meerdere wetten naast elkaar moeten worden bekeken als het gaat om de verwerking van persoonsgegevens.

De Nederlandse ggz heeft bij de inwerkingtreding van de AVG verschillende documenten ontwikkeld voor leden die behulpzaam kunnen zijn bij de praktische uitvoering van de privacywetgeving. Het staat zorginstellingen vrij die bij de Nederlandse ggz zijn aangesloten om naar eigen inzicht en behoefte documenten en modellen aan te passen naar de eigen instelling en huisstijl, binnen de wettelijke kaders die hiervoor staan.

Leden kunnen de handreikingen en modellen opvragen via zorgenrecht@denederlandseggz.nl.

Model register van verwerkingsactiviteiten

In de Algemene verordening gegevensbescherming (AVG) staan een aantal verplichte maatregelen genoemd waarmee een zorgaanbieder aan zijn verantwoordingsplicht (accountability) dient te voldoen. De verantwoordingsplicht houdt in dat u als zorgaanbieder moet kunnen aantonen dat uw gegevensverwerkingen aan de regels van de AVG voldoen. Eén van deze verplichte maatregelen is het bijhouden van een register van verwerkingsactiviteiten. De Nederlandse ggz heeft voor haar leden een model/handreiking ontwikkeld die behulpzaam kan zijn of als voorbeeld kan dienen bij het registeren van verwerkingsactiviteiten.

Model register van verwerkingsactiviteiten
Toelichting gebruik Model register van verwerkingsactiviteiten
Notitie bewaartermijnen december 2017

Model privacyregelement januari 2018

De Algemene Verordening Gegevensbescherming (AVG) stelt het opstellen van privacybeleid (gegevensbeschermingsbeleid) verplicht (als onderdeel van de verantwoordingsplicht en als dat in verhouding staat tot de verwerkingsactiviteiten die een zorgaanbieder verricht). Zorgaanbieders verwerken bijzondere persoonsgegevens (gegevens met betrekking tot de gezondheid) en zijn daarom in principe verplicht dergelijk beleid op te stellen.

Met dit model privacyreglement geeft de Nederlandse ggz een voorbeeld voor een praktische en toegankelijke uitwerking van de vanaf 25 mei 2018 geldende privacyregels neergelegd in de AVG. Met het aanpassen van dit model privacyreglement aan het beleid van en uitvoeringspraktijk in uw organisatie, voldoet u aan de verplichting om privacybeleid op te stellen (voor wat betreft de gegevensverwerking die zich richt op de zorgrelatie tussen zorgaanbieder en cliënten).

Functieprofiel functionaris voor gegevensbescherming (FG)

De functionaris voor gegevensbescherming (FG, data protection officier DPO) houdt intern toezicht en adviseert over de toepassing en naleving van de AVG door de zorgorganisatie. Het aanstellen van een functionaris voor gegevensbescherming is in sommige gevallen verplicht. Ziekenhuizen zijn in ieder geval verplicht om een functionaris voor gegevensbescherming aan te stellen aangezien het verwerken van gegevens over de gezondheid een kernactiviteit is van het ziekenhuis en er sprake is van een dergelijke verwerking op grote schaal.

De Nederlandse ggz heeft voor haar leden een handleiding gebruik Functieprofiel Functionaris voor Gegevensbescherming en een Functionaris voor Gegevensbescherming ontwikkeld die behulpzaam kunnen zijn bij het aanstellen van een functionaris voor gegevensbescherming. Het staat iedereen overigens vrij om naar eigen inzicht en behoefte dergelijke documenten aan te passen voor gebruik binnen zijn of haar organisatie.

Handleiding gebruik Functieprofiel Functionaris voor Gegevensbescherming
Functieprofiel Functionaris voor Gegevensbescherming

Model en handleiding DPIA

De AVG stelt het uitvoeren van een gegevensbeschermingseffectbeoordeling (Data Privacy Impact Assesment, DPIA) verplicht indien sprake is van een verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Een DPIA helpt om de risico’s, die verbonden zijn aan de verwerking van gegevens, op passende wijze te beheren. De Nederlandse ggz heeft voor haar leden een handleiding DPIA opgesteld om te bepalen wanneer, wie en hoe een DPIA moet worden uitgevoerd en een model voor het uitvoeren van de DPIA en het opstellen van het bijbehorende rapport.

Handleiding Gegevensbeschermingseffectbeoordeling (Privacy Impact Assesment, PIA, Data Protection Impact Assessment, DPIA)
Model Gegevensbeschermingseffectbeoordeling (Privacy Impact Assesment, PIA, Data Protection Impact Assessment, DPIA)

Standaard modelverwerkersovereenkomst voor de zorgsector

Actiz, de Nederlandse ggz, NFU, NVZ en VGN verenigd in de Brancheorganisaties Zorg (BoZ) hebben in het kader van de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) een standaard modelverwerkersovereenkomst ontwikkeld. Het model is ontwikkeld in nauwe samenwerking met zorgorganisaties, leveranciers en deskundigen. Er is ook een Engelse versie beschikbaar.

Om goede zorg te kunnen verlenen, worden in de zorg dossiers van cliënten of patiënten aangelegd, die zeer gevoelige gegevens bevatten. Het recht op privacy en de daarop gebaseerde wetgeving brengt mee dat degenen die deze persoonsgegevens verwerken, daar heel zorgvuldig mee omgaan. Daarom is het essentieel om goede afspraken te maken met partijen die in opdracht van zorginstellingen met deze bijzondere persoonsgegevens te maken krijgen, zodat die gegevens te allen tijde veilig en verantwoord worden verwerkt. Met een zogeheten verwerkersovereenkomst kunnen (en moeten) daarover met de opdrachtnemer afspraken worden gemaakt. Het sluiten van een verwerkersovereenkomst is wettelijk verplicht als een zorgaanbieder een derde partij inschakelt die persoonsgegevens verwerkt namens de zorgaanbieder, bijvoorbeeld de leverancier van het cliënten/patiëntendossier. De overeenkomst is in 2022 herzien.