AVG scherpt regels voor bescherming persoonsgegevens aan

Een Whatsapp-berichtje of e-mail met patiëntgegevens naar een collega. Een computer zonder persoonlijke wachtwoorden voor medewerkers. Een archiefkast die niet kan worden afgesloten. Als de Algemene verordening gegevensbescherming (AVG) in mei 2018 ingaat, worden de regels rond de bescherming van persoonsgegevens flink aangescherpt. Bent u daar al klaar voor?

De Wet bescherming persoonsgegevens (Wbp) wordt per 25 mei 2018 vervangen door de Algemene verordening gegevensbescherming (AVG). Vanaf die datum gelden voor de hele Europese Unie dezelfde regels. En die zijn een stuk strenger dan de regels tot nog toe. Alle organisaties die met persoonsgegevens omgaan, krijgen ermee te maken. Dus ook zorgverleners. De privacyrechten van de patiënten (= betrokkene) worden versterkt en uitgebreid en zorgverleners (= verwerkingsverantwoordelijke)krijgen meer verantwoordelijkheden om die privacy te beschermen. Wie in gebreke blijft , heeft reden om te vrezen. Want de Europese privacy-toezichthouders, in Nederland is dat de Autoriteit Persoonsgegevens, kunnen hoge boetes opleggen. Afhankelijk van de overtreding gaat het om bedragen tot wel twintig miljoen euro. Een deel van de nieuwe wetgeving is 1 januari 2016 al ingegaan met de Meldplicht datalekken. Ernstige datalekken moeten aan de Autoriteit Persoonsgegevens worden gemeld. Bijvoorbeeld als een e-mail met gevoelige gegevens bij de verkeerde persoon terecht is gekomen of als een computer via een gelezen e-mail besmet is met kwaadaardige soft ware (ransomware) die bestanden met persoonlijke gegevens gijzelt.

Centraal thema
De AVG legt alle organisaties die persoonsgegevens verwerken, een verantwoordingsplicht op. Dit betekent dat organisaties moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. “Die wetgeving is iets wat als een zwart wolkje boven de markt hangt”, zegt Peter Visser, tandarts in Renkum en voorzitter van de afdeling Gelderland Centraal van de KNMT. “Weer extra regelgeving waar de gemiddelde tandarts niet op zit te wachten en die als belastend wordt ervaren. Daarom hebben wij dit thema onlangs centraal gesteld in onze jaarlijkse bijeenkomst voor kringvoorzitters hier in de regio. Het is belangrijk dat iedereen weet wat de nieuwe wet inhoudt en ook hoe de toezichthouder deze handhaaft.”

Visser is zelf al begonnen met de voorbereidingen, mede aan de hand van de checklist Privacy & Informatiebeveiliging die de KNMT in 2016 heeft opgesteld. “Het is een hele waslijst, maar er zijn ook zaken bij die je makkelijk kunt regelen. Je moet er bijvoorbeeld voor zorgen dat het computerscherm bij de balie niet leesbaar is voor derden en dat je e-mails en berichten met persoonlijke gegevens via een veilige verbinding verstuurt, bijvoorbeeld via ZorgMail. Verder moet je de bevoegdheden voor het inzien en verwerken van gegevens per medewerker regelen. Maar het begint allemaal bij bewustwording, bij alle medewerkers in de praktijk. We moeten zorgvuldig omgaan met gegevens van patiënten.”

Twijfels
Lucas The, praktijkhouder in Hengelo, is het daar op zichzelf mee eens, maar heeft net als Visser wel twijfels bij de effectiviteit van de nieuwe wetgeving. “Wij moeten aan strenge eisen voldoen, maar als je ziet hoeveel persoonlijke informatie via sociale media wordt gedeeld, vraag je je toch af of mensen privacy echt zo belangrijk vinden.” In de AVG wordt geen enkel onderscheid gemaakt tussen soorten organisaties, bedrijven of zorgverleners. The: “Tandartsen moeten dus aan dezelfde regels voldoen als een ziekenhuis. Natuurlijk wil geen enkele zorgverlener dat de gegevens van patiënten op straat komen te liggen. Maar het maakt toch wel verschil om welke gegevens het gaat.”

Hij ziet er zelf ook niet direct het nut van in om persoonlijke wachtwoorden en bevoegdheden in te voeren voor de verschillende medewerkers in zijn praktijk. “In onze praktijk hebben de personeelsleden dezelfde – beperkte – bevoegdheden.” Zijn belangrijkste zorg zijn e-mails met virussen. “Het is heel belangrijk dat medewerkers alleen mailtjes openen die betrouwbaar zijn. Daar maak ik iedereen erg van bewust.” Alle mails via een programma als ZorgMail versturen, is volgens hem nog geen oplossing. “Dat werkt pas echt als iedereen een account voor dat programma heeft . Wat heeft het voor zin dat ik vanuit ZorgMail een e-mail stuur naar iemands Gmail-account?”  

Stappenplan
Voor individuele tandartspraktijken is het een hele klus om erachter te komen wat er allemaal geregeld moet worden met het oog op de AVG. Daarom is het volgens Visser zeer behulpzaam dat de KNMT informatieavonden organiseert en met hulpmiddelen als een stappenplan of checklist komt. “Het heeft geen zin om je tegen deze nieuwe wetgeving te verzetten. De AVG geldt nu eenmaal binnen de hele Europese Unie. Maar de KNMT kan wel helpen om ervoor te zorgen dat die regels zo min mogelijk belastend zijn. Bijvoorbeeld door duidelijk te maken wat wij zelf in onze praktijk moeten regelen en wat we in verwerkersovereenkomsten met systeemleveranciers of factureringsbedrijven kunnen afspreken.”

The verwacht dat software- en hardware-leveranciers de nodige technische maatregelen zullen nemen op het gebied van ICT-veiligheid. “Zij horen te weten aan welke regels de verwerking van persoonsgegevens moet voldoen. Als het goed is, integreren ze dat in de services die zij aan tandartspraktijken aanbieden.”

Vraagbaak  
De KNMT moet zich zelf ook voorbereiden op de inwerkingtreding van de AVG, want de beroepsorganisatie beheert en verwerkt de lidmaatschapsgegevens van leden en bureaumedewerkers. Martin Rozeboom is bij de KNMT functionaris Gegevensbescherming. Met betrekking tot patiëntgegeven bij tandartsen zegt hij: “Een van de dingen waar goed op moet worden gelet, is het Burgerservicenummer. In combinatie met de adresgegevens van een patiënt op bijvoorbeeld een factuur is dat zeer vertrouwelijke informatie. Als die in verkeerde handen komt, kan dat mogelijk tot identiteitsfraude leiden. Een e-mail of factuur met Burgerservicenummer moet daarom via een veilige verbinding worden verstuurd.”

 Een andere verplichting is om op de website van de tandartspraktijk een privacyverklaring op te nemen. “Daarin vermeld je hoe de praktijk omgaat met patiëntgegevens, wie er toegang toe hebben en met wie de informatie wordt gedeeld.” De KNMT werkt momenteel aan een format dat als basis voor een privacyreglement kan dienen. Hierin zijn regels en afspraken opgenomen hoe binnen de praktijk met de verwerking van persoonsgegevens en privacy wordt omgegaan.  Vanaf 2020 krijgen patiënten ook het recht om hun patiëntendossier elektronisch in te zien. Rozeboom: “Dit vraagt tijdige voorbereiding en goed overleg met de softwareleveranciers. De systemen moeten er dan klaar voor zijn om patiënten elektronisch te identificeren en toegang te geven tot hun persoonlijke dossier.”

Bewustwording
In een tienstappenplan dat de Autoriteit persoonsgegevens (AP) heeft opgesteld ter voorbereiding op komst van de AVG is bewustwording stap 1. In de praktijk blijkt dat informatiebeveiliging voor tachtig procent te maken heeft met mensen en organisatie en slechts voor twintig procent met techniek. De technische eisen hebben onder meer te maken met de actualiteit van software, waaronder besturingssysteem en antivirusprogramma’s, het back-up beleid en de stroomvoorziening. De organisatorische eisen behoeven afspraken over bijvoorbeeld clean desk en clean screen (dus geen los slingerende patiëntgegevens) en over de naleving daarvan. Praktische regels zijn bijvoorbeeld: medewerkers loggen consequent uit als zij de kamer verlaten, baliegesprekken worden afgeschermd en medewerkers spreken elkaar aan op onzorgvuldig omgaan met patiëntgegevens. In de ogen van veel tandartsen is de AVG een verzwaring van de administratieve lasten. Toch zit er volgens Rozeboom ook een positieve kant aan. “Door de afspraken rond bescherming van persoonsgegevens helder te maken naar de eigen medewerkers, collegazorgverleners en patiënten kan een tandarts zich op een positieve manier onderscheiden. Je laat zien dat je je bewust bent van de risico’s op digitaal gebied. En je laat vooral ook zien dat je transparant bent.”

Informatie, hulpmiddelen en Regiotour
De KNMT biedt leden ondersteuning op het gebied van privacy en informatiebeveiliging. Tijdens een Regiotour, dit najaar, krijgen leden informatie over actuele thema’s waaronder de veranderingen die de AVG met zich meebrengt en de eisen waaraan moet worden voldaan. Rozeboom en juriste Roxanne Kroes van de KNMT, voor leden eveneens vraagbaak op dit gebied, spreken hier. Meer informatie over de regiotour: www.knmt.nl/regiotour.

Vier vragen en antwoorden 
• Wat wordt er verstaan onder patiëntgegevens? De AVG maakt onderscheid tussen normale patiëntgegevens (NAW, e-mail en telefoonnummer), gevoelige persoonsgegevens (financieel, locatie, postcode), bijzondere persoonsgegevens (zoals BSN, ras, gezondheid of vakbondslidmaatschap) en biometrische persoonsgegevens (vingerafdruk of gezichtsscan).
• Welke rechten hebben patiënten precies? Patiënten hebben onder andere recht op informatie, inzage van hun dossier, rectificatie, ‘vergetelheid’, beperking van de verwerking, overdraagbaarheid, bezwaar en rechten in verband met geautomatiseerde besluitvorming.
• Hoe kan de privacy van gegevens worden geborgd? Een belangrijk hulpmiddel is NEN 7510. Deze norm voor informatiebeveiliging in de gezondheidszorg bevat handvatten en maatregelen voor het opstellen van een informatiebeveiligingsbeleid en voor het invoeren en handhaven van adequate informatiebeveiliging.
• Wat houdt de verantwoordingsplicht in? Organisaties moeten aantonen dat de verwerking van persoonsgegevens voldoet aan de beginselen van rechtmatigheid, transparantie, doelbinding en juistheid. Ook moeten de juiste technische en organisatorische maatrelen zijn genomen. Verplichte maatregelen zijn bijvoorbeeld het bijhouden van een register van datalekken en het aantonen dat een betrokkene toestemming heeft gegeven voor gegevensverwerking wanneer hiervoor toestemming nodig is.

Via www.knmt.nl/privacy vindt u meer relevante informatie en praktische hulpmiddelen over privacy. Daaronder ook het 10-stappenplan van de Autoriteit Persoonsgegevens waarmee u zich op de AVG kunt voorbereiden. Heeft u nog specifieke vragen? Neem dan contact op met KNMT Ledenservice: (030) 6076380, ls@knmt.nl.

Tekst: Corien Lambregtse, freelance journalist; beeld: Shutterstock

NT-number: 
17
NT-year: 
2017

Geef een reactie

Plain text

  • Geen HTML toegestaan.
  • E-mail- en internetadressen worden automatisch aanklikbaar.
  • Regels en alinea's worden automatisch gesplitst.
CAPTCHA

Om uw reactie te plaatsen, dient u aan te geven dat u geen robot bent.