Inleiding

Vanaf 25 mei 2018 is in iedere lidstaat van de Europese Unie de algemene verordening gegevensbescherming (hierna: AVG) van toepassing. Deze nieuwe privacyregelgeving zal de huidige Wet bescherming persoonsgegevens (hierna: Wbp) vervangen.

Eerst een korte introductie van de relevante terminologie. In de zorgsector worden hoofdzakelijk gezondheidsgegevens verwerkt. De term ‘verwerken’ behelst vrijwel alles; van het opslaan van persoonsgegevens, het registeren van gegevens, tot het anonimiseren van persoonsgegevens. De AVG kwalificeert deze gegevens als bijzondere persoonsgegevens, wegens de gevoelige aard van deze gegevens, en verwerking ervan is in beginsel verboden.[1] Uitzondering op de regel is onder andere het geval wanneer de verwerking noodzakelijk is voor de zorgverlening of wanneer de betrokkenen – van wie gegevens worden verwerkt – expliciet zijn of haar toestemming geeft.[2]

Het spanningsveld tussen enerzijds de gezondheid van ‘de patiënt’, waarbij een goede en snelle communicatie over het dossier van de patiënt noodzakelijk is en anderzijds het waarborgen van zijn privacy is een delicate kwestie. In dit artikel zal duidelijk worden welke ingrijpende gevolgen de AVG met zich mee brengt en ook leest u waarom een gedegen voorbereiding op de komst van de AVG noodzakelijk is.

Administratieve veranderingen

De AVG verlangt meer transparantie rondom de verwerking van (bijzondere) persoonsgegevens.[3] In de praktijk betekent dit onder meer dat betrokkenen op een toegankelijke wijze, in begrijpelijke jip-en-janneketaal worden geïnformeerd over de verwerking van hun gegevens en over hun rechten.[4] Tevens introduceert de AVG een nieuw recht voor betrokkenen: het recht op ‘overdraagbaarheid van gegevens’.[5] Betrokkenen kunnen desgewenst van hun zorgverlener verlangen dat zij hun persoonsgegevens in een automatisch gegenereerd bestand, zoals een PDF-bestand, willen ontvangen. Of dat deze persoonsgegevens worden overgedragen aan een andere zorgverlener. Geruststellend voor de betrokkenen, maar voor de zorgverleners een extra administratieve last.

Naast dat de AVG meer transparantie betracht met betrekking tot gegevensverwerking krijgen zorginstellingen een grotere verantwoordingsplicht.[6] Dit uit zich onder andere in het verplicht aanleggen en bijhouden van een verwerkingsregister.[7] In dit register beschrijft u onder meer welke gegevens er worden verwerkt en hoe lang deze worden opgeslagen. Zorg dat u dit register op tijd aanlegt: de Autoriteit Persoonsgegevens (hierna: AP) – de Nederlandse toezichthoudende autoriteit op het gebied van persoonsgegevensverwerking – kan straks van u het verwerkingsregister gaan vorderen. Indien u niet aan dergelijke vordering kunt voldoen loopt u het risico op een fikse boete.

Beveiliging

Net als de Wbp verplicht de AVG dat bijzondere persoonsgegevens adequaat worden beveiligd. In de zorgsector wordt als onderdeel van een adequate beveiliging veelal gebruik gemaakt van de NEN-normen.[8] Onze inschatting is dat dit met de komst van de AVG (vooralsnog) niet anders zal zijn. Nieuw ten opzichte van de Wbp is dat de AVG een aantal concrete beveiligingsmaatregelen voorschrijft. Waar mogelijk dienen zorginstellingen te werken met pseudoniemen, wat inhoudt dat gezondheidsgegevens worden vervormd zodat deze niet meer herleidbaar zijn naar de desbetreffende patiënten. Als de opslagtermijn van de persoonsgegevens afloopt en u wilt deze gegevens gebruiken voor statistische of wetenschappelijke doeleinden, dan dient u deze gegevens te anonimiseren.

Bent u niet zeker of het beveiligingsniveau van een bepaald systeem of proces adequaat is? Voer dan een Data Protection Impact Assessments (DPIA) uit, of laat dit door een specialist bij u uitvoeren.[9] Bij grootschalige verwerkingen van bijzondere persoonsgegevens is dit zelfs verplicht, denk aan gezondheidsgegevensverwerkingen door ziekenhuizen. De DPIA is een instrument om vroegtijdig privacyrisico’s in kaart te brengen. Veelal test u dit bij nieuwe producten, diensten en beleidsvoornemens waarvan u de risico’s nog niet kent.[10]

Maar liefst 29 procent van alle datalekken in het jaar 2016 vond volgens de AP plaats in de zorgsector.[11] Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan of als u een onrechtmatige verwerking niet uit kunt sluiten. Onder het regime van de AVG moet een datalek uiterlijk binnen 72 uur na ontdekking bij de AP worden gemeld.[12] In de zorg is vrijwel elke lek een datalek, dit gezien de gevoelige aard van de persoonsgegevens. Bij de melding van een datalek aan de AP, zult u ook een afweging moeten maken om dit al dan niet te melden aan alle betrokkenen. Vraag uzelf af of de datalek ongunstige gevolgen heeft of kan hebben voor de persoonlijke levenssfeer van betrokkenen. Dit zal vrijwel altijd het geval zal zijn met het verlies van medische gegevens; zo lekte in 2016 een lijst met namen en gegevens van duizenden patiënten die worden behandeld voor psychiatrische problemen doordat een e-mail naar een aantal verkeerde adressen werd gestuurd.[13]

Slotadvies

Hetgeen hierboven is beschreven is geen uitputtende lijst met verplichtingen uit de AVG. Het is een indicatie van wat er staat te gebeuren. Als verwerker van bijzondere persoonsgegevens zult u een Functionaris voor gegevensbescherming (FG) moeten aanstellen. Werk nauw samen met de FG om een privacyvriendelijk beleid op te stellen. Het beleidsplan zal de leidraad worden om te kunnen voldoen aan de wettelijke normen.

Adviezen zoals vele adviezen omschrijven het belang van duidelijke en correcte communicatie; hier is het niet anders. Communiceer binnen uw zorginstelling goed met uw collega’s, de ingeschakelde FG en/of het in de arm genomen IT- bedrijf over het waarborgen van de privacy van de zorgbehoevenden. [14] Creëer bewustwording: zo raakt iedereen er gebrand op om bijvoorbeeld niet zomaar bij een collega achter de computer te gaan zitten, nonchalant om te gaan met wachtwoorden en/of bewust of onbewust persoonsgegevens te delen met derden die niet bevoegd zijn.  

[1] Artikel 9 AVG

[2] Artikel 9, lid 2, a – h AVG

[3] Artikel 5, lid 1, onder a AVG

[4] Artikel 12, lid 1 AVG

[5] Artikel 20 AVG

[6] https://www.nederlandict.nl/news/de-avg-uitgelegd-deel-2-transparantie-en-het-recht-op-informatie

[7] Artikel 30 AVG.

[8] Deze norm geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg moet treffen ter beveiliging van de informatievoorziening.

[9] Artikel 35 AVG

[10] CBP 2013, advies – concept Toetsmodel Privacy Impact.

[11] https://www.yoursafetynet.com/nl/datalekken-zorg-zorgwekkend-probleem/

[12] Artikel 30, lid 1 AVG

[13] https://www.nrc.nl/nieuws/2016/12/28/meeste-melding-van-datalekken-uit-zorgsector-5934186-a1538645

[14] L. Ottes e.a. Big data in de zorg, SDU 2017, Den Haag.

Gerelateerde blog posts