Algemene Verordening Gegevensbescherming (AVG)

Introductie AVG voor ECD

Op 25 mei 2018 wordt de Wet bescherming persoonsgegevens vervangen door de Algemene Verordening Gegevensbescherming (AVG).

Vanaf dat moment hoeven gegevensverwerkingen niet meer aan de Autoriteit Persoonsgegevens gemeld te worden. In plaats daarvan zal uw organisatie vanuit het accountability principe (artikel 5 lid 2 AVG) naleving van de AVG aantoonbaar moeten maken.

MEXTRA ECD is AVG compliant

Wij beschikken over een NEN7510 & ISO27002 in controle statement en hebben al enkele aanpassingen doorgevoerd die verplicht zijn in de AVG.

Maar u voldoet nog niet 100% aan de AVG als u MEXTRA gebruikt.Als verwerkingsverantwoordelijke zult u ook andere maatregelen moeten treffen. Op deze pagina geven we enkele voorbeelden van stappen die u moet gaan zetten in de hoop dat we u daarmee een handje kunnen helpen.

Verantwoordelijke of verwerker?

De AVG kent een verwerkingsverantwoordelijke en een verwerker.

De verwerkingsverantwoordelijke is degene die (al dan niet samen met een ander) formeel-juridisch zeggenschap over de verwerking heeft en het doel en de middelen voor de verwerking vaststelt. De verwerkingsverantwoordelijke bepaalt het ‘hoe en waarom’ van de gegevensverwerking. Het is niet noodzakelijk dat de verwerkingsverantwoordelijke ook zelf persoonsgegevens verwerkt en onder zich heeft.

De verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van en in opdracht van de verwerkingsverantwoordelijke. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken. Zorgaanbieders die als verwerkingsverantwoordelijken persoonsgegevens verwerken maken doorgaans gebruik van de diensten van derden, denk aan een ECD leverancier zoals Symax of een uitvoerder voor salarisadministratie. Wanneer die partij namens u persoonsgegevens verwerkt, en niet ook zelf bepaalt wat met de persoonsgegevens gebeurt, dan is dit een verwerker.

In de meeste gevallen zult u als zorgaanbieder als verwerkingsverantwoordelijke zijn aan te merken, denk bijvoorbeeld aan uw cliënten- administratie en uw personeelsadministratie.

Maar ik ben een kleine zorgaanbieder!

Ben ik als kleine zorgaanbieder verplicht om een register van verwerkingsactiviteiten op te stellen?

Ook als kleine zorgaanbieder bent u in de meeste gevallen verplicht om een register van verwerkingsactiviteiten op te stellen. Dit komt omdat kleine zorgaanbieders doorgaans structureel bijzondere persoonsgegevens verwerken. Namelijk medische gegevens van hun patiënten.

Volgens de AVG bent u als organisatie met minder dan 250 werknemers verplicht om een register op te stellen wanneer u persoonsgegevens verwerkt:

  • die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of
  • waarvan de verwerking niet incidenteel is en/of
  • die vallen onder de categorie bijzondere persoonsgegevens.

Wij helpen u een beetje door een sjabloon verwerkingsregister aan te bieden.

Functionaris Gegevensbescherming (FG)

Onder de werking van de AVG wordt het voor sommige organisaties verplicht een zogenaamde Functionaris Gegevensbescherming (FG) aan te stellen.

Voor wie geldt deze verplichting?
Deze verplichting geldt voor Verwerkingsverantwoordelijken én Verwerkers (in de zin van de AVG) die:

  • een overheidsorganisatie of overheidsorgaan zijn; of
  • hoofdzakelijk belast zijn met:
    regelmatige en stelselmatige grootschalige observatie van personen; of
  • grootschalige verwerking van bijzondere persoonsgegevens* of strafrechtelijke persoonsgegevens.

Omdat u als zorgaanbieder in de meeste gevallen bijzondere persoonsgegevens verwerkt is het zeer waarschijnlijk dat u een FG aan moet stellen.

*) Bijzondere persoonsgegevens zijn gegevens over gezondheid, ras, geloofsovertuiging, seksuele geaardheid , e.d.

Beroepsgeheim

Hoe verhoudt de AVG zich tot het beroepsgeheim en de Wgbo?
De AVG brengt geen veranderingen met zich mee voor het medisch beroepsgeheim. De regels uit de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) blijven bestaan naast de AVG.

Zorgaanbieders zijn dus onder de nieuwe verordening gebonden aan zowel de regels over het medisch beroepsgeheim als de regels van de AVG. Als zorgaanbieder mag u straks bijvoorbeeld alleen gegevens aan een derde verstrekken als dat mag op grond van de AVG én als u een grond heeft om het medisch beroepsgeheim te doorbreken.

U kunt geen rechten ontlenen aan de inhoud van deze pagina. Deze pagina is slechts bedoeld als leidraad en is niet volledig dekkend voor de AVG.

Downloads AVG

Wettekst AVG

De gehele wettekst van de AVG is hier na te lezen.

Sjabloon Verwerkingsregister

Download hier een sjabloon (Excel) verwerkingsregister voor verantwoordelijken.

Regelhulp AVG

Met deze regelhulp van de Autoriteit Persoonsgegevens (AP) krijgt u in 10 stappen een beeld van waar u aan kunt werken om goed voorbereid te zijn op de Algemene verordening gegevensbescherming (AVG).

Factsheets VGN

De VGN heeft een tweetal handige factsheets opgesteld rondom de AVG.

Factsheet deel 1: Omgaan met persoonsgegevens door zorgaanbieders: Algemene Verordening Gegevensbescherming (AVG)
Het eerste deel van de factsheet begint met de belangrijkste begrippen uit de AVG en zet daarna de belangrijkste verplichtingen op een rij. Aan het einde van deze factsheet vindt u een stappenplan met acties die u kunt ondernemen zodat uw organisatie kan voldoen aan de AVG.

Factsheet deel 2: Omgaan met persoonsgegevens: Wmo 2015, Jeugdwet en Wlz
Deze factsheet vormt een update van de bestaande factsheet ‘Omgaan met persoonsgegevens met het oog op de Wbp, Wmo 2015 en Jeugdwet’. De Wlz is toegevoegd, wijzigingen in de Jeugdwet zijn doorgevoerd en de privacy verplichtingen zijn getoetst aan de AVG. Deze factsheet bevat uitsluitend de bijzondere bepalingen over het verwerken van persoonsgegevens en moet in samenhang worden gelezen met deel 1 van de factsheet ‘Omgaan met persoonsgegevens door zorgaanbieders: Algemene Verordening Gegevensbescherming (AVG)’, waarin het algemene kader van begrippen en verplichtingen is uitgewerkt.