Privacy in de zorg; waar moet je aan denken?

In onze samenleving is sprake van een steeds verdergaande digitalisering en automatisering. Hierdoor komt er ook steeds meer aandacht voor privacy en de wijze waarop wordt omgegaan met persoonsgegevens. Onbetwistbaar is dat dit ook voor de zorg een belangrijke rol speelt. Er wordt gewerkt met – bijzonder gevoelige -medische gegevens. Het is voor iedere zorgaanbieder, groot of klein, van belang een goed privacy-beleid te hanteren en de juiste documentatie te hebben.

Bij u als zorgaanbieder kunnen verschillende vragen naar boven komen op het gebied van privacy. Bijvoorbeeld: hoe en wanneer moet er toestemming zijn van een cliënt voor het delen van zijn gegevens? Wanneer ben ik een ‘verwerker’ (beheerder) of ‘verwerkingsverantwoordelijke’ (eigenaar) van persoonsgegevens? Moet ik een verwerkingsregister bijhouden? Mag een cliënt verzoeken zijn persoonsgegevens uit een dossier te laten verwijderen?

Dit is een kleine greep uit de vragen die bij een zorgaanbieder kunnen spelen op het gebied van privacy. Hieronder vindt u in dit kader vijf tips over privacy in de zorg.

Privacy-verklaring

Worden er op de website van de zorgorganisatie persoonsgegevens verzameld? Dan stelt de AVG een privacyverklaring verplicht. Sinds de invoering van de AVG worden er strengere eisen aan de privacyverklaring gesteld. Wees ervan bewust dat uw huidige privacy-verklaring mogelijk niet meer up-to-date is. Ontbreekt een privacyverklaring of is deze ontoereikend? Dan kan de Autoriteit Persoonsgegevens uw zorgorganisatie een boete opleggen.

Logging

Voor het vertrouwen van de patiënt in de zorgorganisatie en zijn medewerkers is het belangrijk de persoonsgegevens van patiënten goed te beveiligen. Sinds de AVG in werking is getreden, kennen wij een verantwoordingsplicht. Dit houdt in dat bij u als organisatie de plicht ligt om aan te tonen dat u aan de privacyregels voldoet. Op basis van de verantwoordingsplicht moeten er extra maatregelen worden genomen. Bijvoorbeeld het bijhouden wanneer welke medewerker van welke patiënt een dossier heeft bekeken, oftewel: logging.

WhatsApp

Wanneer medewerkers persoonsgegevens van patiënten uitwisselen dient dit goed beveiligd te gebeuren. De zorgorganisatie als werkgever moet zorgen voor een goed beveiligde internetverbinding en e-mailvoorzieningen die versleuteld zijn. WhatsApp voldoet niet aan de norm voor het verzenden van medische persoonsgegevens.

Tijdens het verzendproces kan WhatsApp namelijk de informatie van het bericht inzien. Daarnaast geeft deze messaging-dienst in de algemene voorwaarden aan ‘geen garantie’ te verlenen over de beveiliging van gegevens. Het is belangrijk om kennis te hebben van de technologie die wordt gebruikt om gegevens te verzenden.

Verwerkersovereenkomst

Wanneer u iemand buiten uw organisatie inschakelt om persoonsgegevens te verwerken, is deze persoon of organisatie zeer waarschijnlijk aan te merken als een verwerker. Er dienen dan afspraken te worden gemaakt. De verwerkersovereenkomst is hiervoor de oplossing! Van belang is om altijd goed te kijken of er sprake is van een verwerkingsverantwoordelijke-verwerker relatie.

Let op! Heeft u onder de oude privacyregeling (de Wbp) al een dergelijke overeenkomst gesloten? Mogelijk voldoet deze overeenkomst niet meer aan de eisen uit de nieuwe AVG. Laat dit controleren.

DPIA / Gegevensbeschermingseffectbeoordeling

Een DPIA wordt gebruikt om privacy-risico’s van gegevenswerking bloot te leggen. Niet in alle gevallen bent u verplicht een DPIA uit te voeren. Het is alleen verplicht wanneer de zorgorganisatie wordt aangemerkt als verwerkingsverantwoordelijke of er sprake is van een hoog privacy-risico. Wanneer er gevoelige gegevens, zoals gegevens over gezondheid, worden verwerkt zal snel sprake zijn van een hoog privacy-risico.

Dat een verplichting ontbreekt betekent niet dat er geen risico’s zijn waarvoor u aansprakelijk gesteld kan worden. Het is daarom aan te raden altijd een risico-inschatting te maken.