AVG

De AVG in het kort

De Algemene Verordening Gegevensbescherming (AVG) heeft als doel de privacy van betrokkenen te beschermen. Betrokkenen zijn in het geval van huisartsenpraktijken meestal patiënten. Privacy is extra belangrijk als het om medische gegevens gaat. De AVG schrijft onder meer voor welke gegevens je wanneer mag verzamelen, waarover je patiënten moet inlichten en hoe je omgaat met een datalek. Als praktijk ben je er zelf verantwoordelijk voor om aan de AVG te voldoen en dit aan te tonen.

De AVG voor praktijken

Het volgende document beschrijft in het kort de (formele) wetgeving rondom AVG en geeft een aantal praktische tips over wat je als praktijk kan doen en waar je rekening mee moet houden: AVG impact voor praktijken.

Verwerkingsregister

Om alle processen in de praktijk waar persoonsgegevens een rol spelen te kunnen controleren, schrijft de AVG voor dat deze processen in een zogenaamd verwerkingsregister moeten zijn opgenomen en uitgewerkt. De ROHA heeft een generiek verwerkingsregister opgesteld dat als basis kan worden gebruikt in de praktijk. Wil je dit verwerkingsregister gebruiken voor jouw praktijk? Neem dan contact op met de security officer van de ROHA.

Verwerkersovereenkomsten

Als onderdeel van de AVG moet je in kaart brengen welke partijen informatie van jouw praktijk gebruiken. Denk aan de ROHA, ZorgDomein en het LSP. Het volgende voorbeeld kun je gebruiken om de verwerkers van jouw informatie in kaart te brengen: voorbeeld overzicht contracten en verwerkersovereenkomsten.

Veilig Incident Melden (VIM)

Alle medewerkers, zowel van praktijken als de ROHA, hebben de plicht om informatieveiligheidsincidenten te melden en te (laten) registreren. Praktijkmedewerkers doen dit bij hun management, en/of conform de specifieke afspraken die hierover zijn gemaakt in hun praktijk.

Wat is een informatieveiligheidsincident?

Een informatieveiligiheidsincident betreft alle gebeurtenissen die tot een inbreuk leiden van beschikbaarheid, integriteit of vertrouwelijkheid van informatie of zaken die daar bijna toe hebben geleid, of kunnen leiden.

Voorbeelden van informatieveiligheidsincidenten zijn:

  • Verlies, diefstal of onbevoegde inzage van (zeer) vertrouwelijke gegevens;
  • Het (on)opzettelijk lekken van gegevens;
  • Ongeautoriseerde toegang tot beveiligde ruimten;
  • Onzorgvuldige omgang met beveiligingsbeleid (zoals post-its met wachtwoord);
  • Niet naleven van de beleidsregels omtrent informatiebeveiliging;
  • Ontvangen van een verdachte e-mail;
  • Inbraak of pogingen daartoe;
  • Schending van de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie.

Meldt ook gebeurtenissen zoals: het bewust niet naleven van regels en procedures, niet effectieve regels en procedures en onduidelijkheden in regels en procedures.

Bewijs

Als je een incident meldt, moet je passend bewijsmateriaal aanleveren. Hierop mogen geen persoonsgegevens zichtbaar zijn op printscreens en foto’s. Daarnaast is een getuigenverklaring (het feit dat de melding wordt gedaan) vaak voldoende.

Onderzoek en maatregelen

Incidenten worden geregistreerd en samen met de betrokken zorgverlener, collega’s en andere deskundigen verder onderzocht. Op basis van het resultaat van het onderzoek worden, als dat nodig is, zo snel mogelijk maatregelen getroffen zodat de kwaliteit van de zorg gewaarborgd blijft.

Meldingen worden periodiek geanalyseerd en betrokkenen worden ingelicht over de uitkomsten en conclusies van de analyse. Daarnaast worden eventuele (structurele) verbetermaatregelen uitgevoerd.

Datalekken

De AVG schrijft ook voor dat er een protocol is voor het melden van datalekken. Een datalek is bijvoorbeeld een kwijtgeraakte usb-stick, een gestolen laptop of een inbraak in een systeem als daar persoonsgegevens op staan.

Heb je een datalek en/of heb je twijfel of een VIM of een ander incident mogelijk een datalek is? Neem dan direct, uiterlijk binnen 24 uur, contact op met de security officer of de functionaris gegevensbescherming van de ROHA. Het volgende protocol treedt dan in werking: ROHA protocol meldplicht datalekken.

Meer weten?

Heb je nog vragen of wil je meer weten over de AVG? Neem dan contact op met de security officer.