Naar de hoofdinhoud Naar de navigatie
Home      Ledennet      Kennisbank      Privacybeleid (AVG)

Inloggen Ledennet

De opgevraagde pagina is alleen beschikbaar voor leden. U kunt hieronder inloggen om door te gaan.
Wachtwoord vergeten?
Ga naar de homepagina
Terug naar overzicht
Kennisdocument

Privacybeleid (AVG)

18 juni 2024

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dit betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie.

Wat is veranderd?
De AVG zorgt onder meer voor:

  • Versterking en uitbreiding van privacyrechten;
  • Meer verantwoordelijkheden voor organisaties;
  • Dezelfde, stevige bevoegdheden voor alle Europese toezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen op te leggen.

Versterking en uitbreiding van privacyrechten
Door de AVG krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk verstrekt en uitgebreid.

Toestemming
In de AVG staat o.a. een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Nieuwe privacyrechten
Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.

  • Recht op vergetelheid

Mensen hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

  • Recht op dataportabiliteit

Ook mensen hebben straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen.

Meer verantwoordelijkheden voor organisaties
Nu de AVG van toepassing is, heeft u als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht.

De verantwoordingsplicht houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Maar de AVG biedt u als organisatie tegelijkertijd meer instrumenten die u helpen om de wet na te leven.

Stevige bevoegdheden voor alle Europese toezichthouders
Overtreedt een organisatie de AVG? Dan kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 20 miljoen euro.

Hulpmiddelen AVG
Vanuit Zorgthuisnl hebben wij een aantal hulpmiddelen voor u verzameld om te voldoen aan de AVG.

10 handvatten informatiebeveiliging + e-learning
Toenemende risico’s leiden tot meer aandacht voor naleving van wet- en regelgeving; niet alleen door aanscherping hiervan, maar ook door ruimere boetemogelijkheden voor bijvoorbeeld de Autoriteit Persoonsgegevens. Zorgaanbieders dienen bij de verwerking van gegevens te voldoen aan verschillende wet- en regelgeving, waaronder ook de norm NEN7510 voor informatiebeveiliging in de zorg. De NEN 7510 geeft uitgangspunten en richtlijnen voor het bepalen, instellen en handhaven van maatregelen die elke organisatie in de gezondheidszorg moet treffen.

Om inzicht te krijgen kunt u gebruik maken van het Basisbeveiligingsmodel Care (BBMCare model); dit model is gebaseerd op een generieke risicoanalyse voor de zorgprocessen met de bijbehorende wet- en regelgeving. Het model bevat een inventarisatie van processen en informatiecomponenten, en een hierop betrekking hebbende classificatie.

Verder biedt dit model ook handvatten voor informatieveiligheid in de zorg; deze handvatten zijn gebaseerd op twaalf belangrijkste normelementen van de geldende NEN-norm.

De classificatierichtlijn werkt de classificatie van Informatie en Informatiesystemen uit zoals beschreven in het Informatiebeveiligingsbeleid. Deze richtlijn is zo geschreven dat zij bruikbaar is tijdens het classificatieproces zonder dat het Informatiebeveiligingsbeleid geraadpleegd hoeft te worden. In de voorbeeld Richtlijn risico’s en dataclassificatie is per proces/activiteit al de bijbehorende classificatie weergegeven en hoeven alleen nog de middelen ingevuld te worden die per proces worden gebruikt. Hiermee wordt tijd bespaard, omdat organisaties niet meer zelf de BIV classificatie per proces hoeft in te vullen.

De mens is de zwakste schakel in de beveiligingsketen. Een van de belangrijkste zaken is dus de bewustwording, opleiding en training van medewerkers ten aanzien van informatiebeveiliging en privacy. Er zijn diverse e-learnings op dit vlak beschikbaar, kijkt u onder andere op https://www.vakbekwaaminzorg.nl/aanbod

Aanbod Caresecure voor Zorgthuisnl-leden
Via Caresecure kunnen Zorgthuisnl leden een beroep doen op een Privacy Officer of Functionaris Gegevensbescherming (FG) op afroep. Bekijkt u hier wat zij voor u kunnen betekenen.

Voor leden van Zorgthuisnl kan Caresecure een voordelig aanbod doen. Hiervoor kunt u rechtstreeks met Caresecure contact opnemen en aangeven dat u via ons naar hen bent verwezen.

Folder AVG
Door Zorgthuisnl is een stappenplan uitgewerkt als voorbereiding op de AVG. Daarnaast staat er in deze folder wat informatie en veel gestelde vragen.

Actiepunten privacy
Door Advocatenkantoor Ten Holter Noordam is een flyer gemaakt met een aantal actiepunten omtrent privacy.

Modelverwerkersovereenkomst voor de zorgsector
De Brancheorganisaties Zorg (BoZ) hebben in het kader van de inwerkingtreding van de AVG een standaard modelovereenkomst ontwikkeld.
Om goede zorg te kunnen verlenen worden in de zorg dossiers van cliënten of patiënten aangelegd, die zeer gevoelige gegevens bevatten. Het recht op privacy en de daarop gebaseerde wetgeving brengt mee dat degenen die deze persoonsgegevens verwerken, daar heel zorgvuldig mee omgaan. Daarom is het essentieel om goede afspraken te maken met partijen die in opdracht van zorginstellingen met deze bijzondere persoonsgegevens te maken krijgen, zodat die gegevens te allen tijde veilig en verantwoord worden verwerkt. met een zogeheten verwerkersovereenkomst kunnen (en moeten) daarover met de opdrachtnemer afspraken worden gemaakt.
Het sluiten van een verwerkersovereenkomst is wettelijk verplicht als een zorgaanbieder een derde partij inschakelt die persoongegevens verwerkt, namens de zorgaanbieder, bijvoorbeeld de leverancier van het cliënten/patiëtendossier. Hieronder vindt u de:

Naast deze modelverwerkersovereenkomst bestaat er ook een handige checklist om in te schatten wanneer er wel of niet een verwerkersovereenkomst afgesloten moet worden.

Privacyreglement
We hebben het voorbeeld-privacyreglement AVG-proof laten maken door onze samenwerkingspartner Caresecure. De voorbeelden kunt u hieronder (cliënten en medewerkers) terug vinden:

In het reglement dient u nog aan te geven waar men de klachtenregeling kan vinden en bij welke geschillencommissie u aangesloten bent. Via Zorgthuisnl bent u aangesloten bij Stichting Zorggeschil.

Privacyverklaring
De nieuwe privacywet verplicht u ook tot het plaatsen van een privacyverklaring op uw website. Hierin geeft u aan  wat er met de persoonsgegevens van cliënten gebeurt. Welke persoonsgegevens vraagt u op, waar worden de gegevens voor gebruikt, wie gebruikt ze, aan wie mogen gegevens mogelijk worden verstrekt.

In samenwerking met Zorgthuisnl heeft CareSecure een Privacyverklaring Cliënten gemaakt voor Zorgthuisnl-leden. Het is van belang dat u deze verklaring nog specifiek maakt voor uw eigen organisatie. Sommige bepalingen zullen niet voor iedere zorgorganisatie van toepassing zijn. Deze passages kunt u dan wijzigen of verwijderen.

Enkele aandachtspunten in de privacyverklaring t.a.v.:

  • “Uw account, contactformulier en nieuwsbrief”
    Indien u geen cliëntenportaal heeft, kunt u de bepaling hierover verwijderen.
  • “Rechten met betrekking tot de eigen persoonsgegevens”
    De informatie in de laatste zin is organisatie specifiek. Pas deze aan naar uw organisatie.
  • “Klacht indienen”
    Hierbij wordt er verwezen naar de klachtenregeling die op de website van de zorgorganisatie staat. Vanuit transparantie overwegingen is dit ook aan te bevelen. Zorgthuisnl-leden die de klachtenregeling niet op de website hebben staan, zullen dit tekstgedeelte dan moeten wijzigen.

Website
Door VWS en enkele koepelorganisaties in de zorg en het sociaal domein is er website: www.avghelpdeskzorg.nl  ingericht. Hier kunt u terecht voor meer informatie over privacy in het algemeen en de AVG in het bijzonder.

Meer informatie
Er bestaan verschillende interessante websites waar veel informatie te vinden is over de AVG. Zo heeft de Rijksoverheid een pagina aangemaakt waar een handleiding op te vinden over zowel de Europese regelgeving als de Nederlandse uitvoeringswet. Daarnaast staat er op deze website ook een AVG-leeswijzer waarin veel duiding wordt gegeven op de verschillende thema’s, zoals de verwerkingsverantwoordelijke/verwerker, een risicovolle verwerking en de verantwoordingsplicht. Er staat ook veel informatie op de website van de Autoriteit Persoonsgegevens. Zo is er op de website van de Autoriteit Persoonsgegevens ook een Regelhulp te vinden. Zorginstituut Nederland is een zelf-assessment aan het ontwikkelen voor aanbieders, deze zal 1 maart gepubliceerd worden.