De nieuwe privacywet (AVG) en de thuiszorg, hoe zit het precies?
De nieuwe privacywetgeving, de AVG, heeft ervoor gezorgd dat we elke dag per e-mail worden gebombardeerd met nieuwe privacyverklaringen. Maar de wet is meer dan dat en een grote stap voor de bescherming van de privacy. Ook voor de zorgverleners in de thuiszorg en begeleiding heeft deze wet gevolgen. Misschien denk je dat je als kleine zorgaanbieders of ZZP-ers niks hoeft te doen of dat het voor jou geen consequenties heeft, maar dat is natuurlijk niet waar. Ook de eenpitter moet de privacy van de cliënten gewoon goed op orde hebben. De precieze eisen van de AVG zijn nog best lastig omdat de wet redelijk 'vaag' is en er aardig wat ruimte is voor interpretatie. Wij proberen daarom wat helderheid te creëren voor jullie.
Wat houdt de AVG in?
De AVG, ook wel bekend als GDPR, vervangt de Wet Bescherming Persoonsgegevens en is uitgebreider op een aantal vlakken. Hij is al sinds 2016 in werking getreden maar op 25 mei 2018 is hij ook echt van toepassing en wordt er gehandhaafd. De wet geldt voor elk bedrijf in Europa en is daarom heel breed opgezet. De bestaande regels over privacy worden door de AVG bevestigd en op onderdelen versterkt. De volgende wetten blijven dus gewoon gelden:
- Wet op de geneeskundige behandelingsovereenkomst (WGBO);
- Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
- Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
- Zorgverzekeringswet (Zvw);
- Wet marktordening gezondheidszorg (Wmg);
- Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
De kern van de wet is dat jij je bewust bent van alle persoonsgegevens die je verwerkt, op welke wijze je ze verwerkt en wat de risico's daarvan zijn. Vervolgens moet je in kaart brengen hoe je die risico’s beperkt en ervoor zorgt dat er geen gegevens op straat komen te liggen. Daarnaast moet je toestemming of een grondslag (reden) hebben om de gegevens te verwerken.
Allereerst: wat zijn persoonsgegevens?
Er zijn veel soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers, postcodes met huisnummers en ip-adressen zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst, BSN of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn extra beschermd en mag je alleen verwerken voor speciale doeleinden. Als je bijvoorbeeld een BSN moet gebruiken om te declareren dan mag je het opslaan. Ook is het verwerken van persoonsgegevens met het oog op een goede behandeling, verzorging of begeleiding gewoon toegestaan.
Je mag echter niet iets vastleggen "omdat je het handig vindt om te weten". Bedenk dus goed wat je vastlegt en met welk doel! Met name de bijzondere persoonsgegevens zoals ras, geloof en seksuele voorkeuren zijn in de zorg iets om in de gaten te houden wat dat betreft. Heb je die echt nodig voor het leveren van de zorg? Een goede richtlijn is wat je zelf zou willen dat mensen over jou vastleggen als je zorg ontvangt. Wat dat betreft is de AVG een implementatie van een zeer oud en simpel principe: "Wat gij niet wilt dat u geschiedt, doe dat ook een ander niet."
Zorg voor toestemming
Dit was al van toepassing maar je moet toestemming vragen om de persoonsgegevens te verwerken. Zorg dat je kunt aantonen dat je cliënt je toestemming heeft gegeven voor de verwerking en beveiliging van zijn/haar gegevens. Voor het verstrekken van de gegevens aan derden moet je apart toestemming vragen. Je moet daarbij aangeven om wie het gaat en wat het doel is van de gegevensdeling. Wil je los daarvan af en toe een nieuwsbrief aan je cliënten sturen? Vraag daar ook los toestemming voor. Je kunt vervolgens dus alleen de dingen doen waar je toestemming voor hebt. Dat klinkt logisch maar vroeger werd er nog wel eens wat gedeeld waar de cliënten helemaal niks van af wisten.
Alle zaken betreffende de verwerking van de gegevens neem je op in een privacyreglement, wat je vervolgens aan je cliënt geeft bij de intake. Ook in je Algemene voorwaarden moet je hiernaar verwijzen. Laat ze vervolgens akkoord geven op dit document zodat je later kan laten zien dat je cliënt dit gelezen heeft.
Leg vast welke maatregelen je neemt
Verder is het belangrijk om vast te leggen wat je doet om de gegevens te beschermen. Zo kun je altijd laten zien aan de Autoriteit Persoonsgegevens wat je doet en waarom. Je bent als zorgverlener eigenlijk wel verplicht een Data Protection Impact Assessment (DPIA) uit te voeren. Met een DPIA breng je in kaart met welke privacyrisico’s je te maken hebt en neem je maatregelen om deze risico’s zo klein mogelijk te maken. Je moet zelf inschatten of je dit doet of niet. Volgens de criteria heb je als kleine zorgverlener sowieso ‘gevoelige gegevens’ en ‘gegevens over kwetsbare personen’ en dus moet je het eigenlijk doen. Als je het niet doet, leg dan vast waarom niet.
Daarnaast moet je een verwerkersregister opstellen waarin je vastlegt welke gegevens je verwerkt, de doelen van verwerking, wanneer je ze verwijdert en wat je doet om ze te beschermen. Bekijk hier een voorbeeld.
Maak je gebruik van derden die voor jou gegevens opslaan, zoals een softwareleverancier? Stel dan met hen een Verwerkersovereenkomst op waarin je afspraken maakt over hoe zij met die gegevens omgaan. Jij bent namelijk verantwoordelijk voor de verwerking, ook als er bij hen iets mis gaat! Bekijk hier voorbeeld 1 en voorbeeld 2.
Stel een transparant privacyreglement op waarin je alles samenvat wat je in je verwerkersregister en je DPIA hebt vastgesteld. Op die manier weten jouw cliënten ook wat er met hun gegevens gebeurt en hoe het beveiligd wordt. Zowel het verwerkersregister als de DPIA hebben namelijk als doel in kaart te brengen wat je doet, waarom en hoe je het beveiligt. Die informatie kun je mooi met je cliënten delen in je privacyverklaring (in begrijpelijke taal). Ook kun je aan de hand hiervan mooi stoppen met zaken die eigenlijk niet kunnen of waarvan je niet helemaal zeker bent. Schoon je bestanden op, beveilig je apparaten (laptops, iPads etc) en gebruik goede wachtwoorden. Sla niet meer persoonsgegevens op dan je nodig hebt, beperk toegang tot gegevens voor mensen die dit niet nodig hebben en sla persoonsgegevens niet langer op dan nodig. Kortom doe de dingen die eigenlijk normaal zouden moeten zijn maar die je door drukte en andere redenen een beetje hebt laten versloffen. In die zin is de nieuwe wet een mooie reden om voorjaarsschoonmaak te houden in je cliënten administratie!
Rechten van je cliënt
Onder de AVG heeft iedereen waarvan persoonsgegevens worden verwerkt de volgende rechten:
- het recht op informatie
- het recht op inzage
- het recht op rectificatie
- het recht op gegevenswissing (vergetelheid)
- het recht op beperking van de verwerking
- het recht op overdraagbaarheid (dataportabiliteit)
- het recht van bezwaar
- het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming
Bedenk hoe je aan deze rechten tegemoet gaat komen. Als iemand zijn dossier wil inzien, hoe regel je dat dan? Welke gegevens mag je wel en welke niet verwijderen (ivm de wettelijke bewaartermijnen) als iemand zijn gegevens wilt laten verwijderen? Denk er in ieder geval over na, dan sta je straks niet ineens voor verrassingen.
Tot slot
De AVG is een mooie kans om jezelf en je organisatie bewust te maken van privacy bescherming. Laat dus niet alleen de deadline van afgelopen vrijdag 25 mei leidend zijn en laat je daardoor ook niet gek maken door nu snel een paar dingen te gaan doen. Pak het goed aan, leg een fundament voor gegevensbescherming en zie het als een kans om jezelf te onderscheiden van anderen door privacy voorop te stellen. Succes!
Een goede bron is de site van de Autoriteit Persoonsgegevens.
Het doel blijft natuurlijk belangrijk: het beschermen van de client!
Echter en helaas is door het grote wantrouwen, wat steeds groter wordt in de huidige maatschappij, het aantal regels en administratie wat toeneemt ,
het risico op het stoppen met werken in de zorg!
Het gevaar schuilt erin, dat door deze regelingen, je er al helemaal al vanaf ziet om ZZP'er te worden.
Het wordt steeds ingewikkelder, moeilijker, tijdrovender etc!!
Dit gaat zijn doel voorbij schieten. Ik ben bang, dat de druk op goede kwalitatieve zorg nog meer afneemt door deze maatregelen.
Regels zijn belangrijker aan het worden, burocratie groter, wantrouwen groter.... Etc.
Ik wil als H. B.O.Verpleegkundige gewoon aan de slag en me niet hoeven bezig te houden te deze administratieve rompslomp.
Deze was al 30%. Dit wordt alleen maar meer. Vertrouw toch elkaar!!
Helaas Rosa, heb je afgelopen zaterdag het programma Kassa bekeken.
We moeten uiterst zorgvuldig met onze en elkaars gegevens omgaan.