Eén privacywet voor heel Europa: wat betekent dit voor uw zorgorganisatie?

Op 25 mei 2018 moeten organisaties klaar zijn voor nieuwe Europese regelgeving rondom de bescherming van persoonsgegevens: de Algemene Verordening Gegevensbescherming (AVG), ook wel de General Data Protection Regulation (GDPR) genoemd. Voor organisaties in de zorg is deze wetgeving erg belangrijk, omdat de systemen met medische gegevens en patiëntadministraties extra aandacht verdienen. Maar wat betekent dit nu voor uw organisatie?

Wat verandert er op 25 mei 2018?
Vanaf 25 mei volgend jaar geldt er één privacywet in de hele Europese Unie. “De Nederlandse Wet bescherming persoonsgegevens geldt dan niet meer. Alle 28 landen hebben gelijke wetgeving op dit gebied”, aldus Gert Douma, manager kwaliteit, privacy en informatiebeveiliging bij PinkRoccade Healthcare. “De wet is ingegaan op 25 mei 2016 en wordt gehandhaafd vanaf 25 mei 2018.” Voldoet uw organisatie niet aan de richtlijnen, kunnen de boetes oplopen tot wel twintig miljoen euro of 4% van de jaaromzet. Douma: “In deze overgangsperiode tot 2018 is het van belang om maatregelen te treffen zodat u klaar bent voor deze verordening.”

Impact voor zorgorganisaties
Volgens de Autoriteit Persoonsgegevens krijgen organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op uw eigen verantwoordelijk om de wet na te leven en om aan te kunnen tonen dat uw organisatie de juiste organisatorische en technische maatregelen heeft genomen om aan deze wet te voldoen. Zo moet u uw patiënten of cliënten inzicht geven in welke persoonsgegevens u vastlegt en met wie u deze gegevens deelt. Douma: “Vooraf moet de patiënt of cliënt hier expliciet toestemming voor geven en die toestemming moet de organisatie aantoonbaar vastleggen. Ook moet u ze informeren op welke manier ze gegevens kunnen laten verwijderen; ook wel ‘het recht om vergeten te worden’ genoemd”.

Een goede voorbereiding…
Door een Privacy Impact Assessment (PIA) uit te laten voeren op de verwerking van persoonsgegevens kunt u privacyrisico’s al in een vroeg stadium in kaart brengen. Ook moet u inventariseren welke gegevensverwerkingen in uw organisatie plaatsvinden en dit vastleggen in een zogenaamde privacyboekhouding. Organisaties in de zorg moeten daarnaast een ‘Functionaris Gegevensbescherming’ aanstellen die helpt om aan deze wetgeving te voldoen. U bent hiertoe verplicht omdat u werkt met gezondheidsgegevens, die vallen onder bijzondere persoonsgegevens. Douma: “Daarnaast is een heldere procedure rondom datalekken essentieel, zodat duidelijk is welke stappen genomen moeten worden in het geval van een mogelijk datalek. Ook het afsluiten van bewerkersovereenkomsten met derde partijen is onderdeel van een goede voorbereiding”.

Security-dag voor ziekenhuizen
Op woensdag 21 juni 2017 organiseren wij een informatiemiddag met het thema security. De middag vindt plaats bij het KPN Service Quality Center (SQC) te Hilversum en is speciaal voor security en privacy officers van ziekenhuizen die werken met het elektronisch patiëntendossier HiX van ChipSoft.