AP neemt onduidelijkheid bij zorgverleners rond AVG weg

Zorgverleners lijken te kampen met veel onduidelijkheid over hoe de nieuwe AVG. Daarom bracht de Autoriteit Persoonsgegevens  (AP)  speciaal voor de sector een overzicht uit. Het document staat sinds deze week online.

“De regels dwingen organisaties om zorgvuldig om te gaan met de privacygevoelige informatie van patiënten, “schrijft AP in een toelichting. “Onder de AVG gelden er nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt.”

 

Nieuw en oud

De Autoriteit gaat in de notitie zowel in op de nieuwe bepalingen als de wetten die gewoon blijven gelden. De belangrijkste daarvan zijn dat veel organisaties bijvoorbeeld verplicht zullen zijn om een register van verwerkingsactiviteiten bij te houden.

Daarnaast moet een speciaal data protection impact assessment (DPIA) worden uitgevoerd en er moet een functionaris komen voor de gegevensbescherming (FG). Als die er nog niet is moet die wel snel komen.

Bestaande regels

De bestaande regels over privacy blijven en worden op onderdelen versterkt. De volgende wetten blijven gelden:

  • Wet op de geneeskundige behandelingsovereenkomst (WGBO)
  • Wet kwaliteit, klachten en geschillen zorg (Wkkgz)
  • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG)
  • Zorgverzekeringswet (Zvw)
  • Wet marktordening gezondheidszorg (Wmg)
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg
  • De huidige regels voor het medisch beroepsgeheim blijven ook gewoon bestaan.

 

Veelgestelde vragen van zorgverleners

AP maakte speciaal voor de gelegenheid een lijst met veelgestelde vragen. Ze moeten zorginstellingen die door de bomen het bos niet meer zien snel verder op weg helpen.

Ze beschrijven bijvoorbeeld concreet welke maatregelen een instelling moet nemen om patientgegevens veilig te stellen en te houden, wat de verantwoordingsplicht precies inhoudt en wat de verplichte en extra maatregelen zijn.

Zo moet onder de nieuwe wet automatisch duidelijk zijn welke individuele medewerker wanneer en van welke patiënt zij of hij een dossier heeft bekeken. Dit heet logging. Het moet voorkomen dat onbevoegden zomaar bij de vertrouwelijke gegevens van een patiënt kunnen komen.

Verder kan het nodig zijn om een gegevensbeschermingsbeleid op te stellen. Daarin wordt duidelijk welke medewerkers toegang mogen hebben tot welke gegevens.

Verder mogen zorginstellingen geen kosten meer vragen voor het verstrekken van een medisch dossier aan de patiënt. Verder is er een nieuw recht dat zorgt dat mensen hun persoonsgegevens mee kunnen nemen en overfragen aan een andere (zorg)aanbieder. Het recht geldt voor een deel van de gegevens in medische dossiers.

Gerelateerde berichten...