Tips om aan de AVG te voldoen

De AVG kan kopzorgen veroorzaken wanneer je niet goed begrijpt wat er van je verwacht wordt. In dit blog delen we praktische informatie. Want hoe zit het nu precies met de AVG en een ECD?

Ook al is uw EDC ISO 27001 en NEN7510 gecertificeerd, u zal zelf ook aanvullende stappen moeten ondernemen. Eerst is het belangrijk om uw rol

Wij beschikken over een NEN7510 en ISO27002 certificaat. En bieden alle voorwaarden die verplicht zijn in de AVG. Maar u voldoet nog niet 100% aan de AVG als u MEXTRA gebruikt. Als zorgorganisatie zult u ook andere maatregelen moeten treffen.

Verantwoordelijke of verwerker?

De AVG kent een verwerkingsverantwoordelijke en een verwerker.

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is degene die (al dan niet samen met een ander) formeel-juridisch zeggenschap over de verwerking heeft en het doel en de middelen voor de verwerking vaststelt. De verwerkingsverantwoordelijke bepaalt het ‘hoe en waarom’ van de gegevensverwerking. Het is niet noodzakelijk dat de verwerkingsverantwoordelijke ook zelf persoonsgegevens verwerkt en onder zich heeft.

Verwerker

De verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van en in opdracht van de verwerkingsverantwoordelijke. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken. Zorgaanbieders die als verwerkingsverantwoordelijken persoonsgegevens verwerken maken doorgaans gebruik van de diensten van derden, denk aan een ECD leverancier zoals Symax of een uitvoerder voor salarisadministratie. Wanneer die partij namens u persoonsgegevens verwerkt, en niet ook zelf bepaalt wat met de persoonsgegevens gebeurt, dan is dit een verwerker. In de meeste gevallen zult u als zorgaanbieder als verwerkingsverantwoordelijke zijn aan te merken, denk bijvoorbeeld aan uw cliënten- administratie en uw personeelsadministratie.

Maar ik ben een kleine zorgaanbieder?!

Ben ik als kleine zorgaanbieder verplicht om een register van verwerkingsactiviteiten op te stellen? Ook als kleine zorgaanbieder bent u in de meeste gevallen verplicht om een register van verwerkingsactiviteiten op te stellen. Dit komt omdat kleine zorgaanbieders doorgaans structureel bijzondere persoonsgegevens verwerken. Namelijk medische gegevens van hun cliënten.

Functionaris Gegevensbescherming (FG)

Onder de werking van de AVG is het voor sommige organisaties verplicht een zogenaamde Functionaris Gegevensbescherming (FG) aan te stellen.

Voor wie geldt deze verplichting?

Deze verplichting geldt voor Verwerkingsverantwoordelijken én Verwerkers die:

  • een overheidsorganisatie of overheidsorgaan zijn
  • hoofdzakelijk belast zijn met: regelmatige en stelselmatige grootschalige observatie van personen
  • grootschalige verwerking van bijzondere persoonsgegevens*
  • strafrechtelijke persoonsgegevens

Omdat u als zorgaanbieder in de meeste gevallen bijzondere persoonsgegevens verwerkt is het zeer waarschijnlijk dat u een FG aan moet stellen.
*) Bijzondere persoonsgegevens zijn gegevens over gezondheid, geloofsovertuiging, seksuele geaardheid , e.d.

Beroepsgeheim

Hoe verhoudt de AVG zich tot het beroepsgeheim en de Wgbo? De AVG brengt geen veranderingen met zich mee voor het medisch beroepsgeheim. De regels uit de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) blijven bestaan naast de AVG. Zorgaanbieders zijn dus gebonden aan zowel de regels over het medisch beroepsgeheim als de regels van de AVG. Als zorgaanbieder mag u bijvoorbeeld alleen gegevens aan derde verstrekken als dat mag op grond van de AVG én als u een grond heeft om het medisch beroepsgeheim te doorbreken.

Downloads en tips

Downloads voor AVG

De gehele wettekst van de AVG is hier na te lezen.

Sjabloon Verwerkingsregister

Download hier een sjabloon verwerkingsregister.

Regelhulp AVG

Met deze regelhulp van de Autoriteit Persoonsgegevens (AP) krijgt u in 10 stappen een beeld van waar u aan kunt werken om goed voorbereid te zijn op de Algemene verordening gegevensbescherming (AVG).

Factsheets VGN

De VGN heeft een tweetal handige factsheets opgesteld rondom de AVG.

Factsheet deel 1: Omgaan met persoonsgegevens door zorgaanbieders: Algemene Verordening Gegevensbescherming (AVG) Het eerste deel van de factsheet begint met de belangrijkste begrippen uit de AVG en zet daarna de belangrijkste verplichtingen op een rij. Aan het einde van deze factsheet vindt u een stappenplan met acties die u kunt ondernemen zodat uw organisatie kan voldoen aan de AVG.

Factsheet deel 2: Omgaan met persoonsgegevens: Wmo 2015, Jeugdwet en Wlz Deze factsheet vormt een update van de bestaande factsheet ‘Omgaan met persoonsgegevens met het oog op de Wbp, Wmo 2015 en Jeugdwet’. De Wlz is toegevoegd, wijzigingen in de Jeugdwet zijn doorgevoerd en de privacy verplichtingen zijn getoetst aan de AVG. Deze factsheet bevat uitsluitend de bijzondere bepalingen over het verwerken van persoonsgegevens en moet in samenhang worden gelezen met deel 1 van de factsheet ‘Omgaan met persoonsgegevens door zorgaanbieders: Algemene Verordening Gegevensbescherming (AVG)’, waarin het algemene kader van begrippen en verplichtingen is uitgewerkt.

Verwerkers overeenkomst

Bij het verwerken van persoonsgegevens is het wettelijk verplicht een vewerkersovereenkomst af te sluiten tussen de Verantwoordelijke (bij MEXTRA de klant of organisatie) en de Verwerker (wij, Symax B.V.) van de persoonsgegevens. Om u hierbij te ondersteunen hebben wij een model vewerkersovereenkomst opgesteld. Als deze niet ingrijpend wordt aangepast kunnen wij deze overeenkomst snel met u afsluiten zonder bijkomende juridische kosten.