AVG - privacywet

Logo Zorgring.jpg

Op deze pagina vindt u actuele informatie over de Algemene Verordening Gegevensbescherming (AVG) die per 25 mei 2018 actief wordt. Deze pagina is ter ondersteuning van alle 1ste lijnszorgverleners

Er kunnen geen rechten ontleend worden aan de informatie op deze pagina. U bent als verwerkersverantwoordelijke uiteindelijk zelf verantwoordelijk voor de informatie die u gebruikt.

In de gehele AVG gaat het over het verwerken van de persoonsgegevens. Het is belangrijk dat u weet wat dit inhoudt:

Verwerken omvat alle activiteiten op het gebied van het beheren en gebruiken van persoonsgegevens. U moet denken aan activiteiten zoals: (alleen al) inzage, vastleggen, verzamelen, orderen, opslaan, verstrekken, structureren, afschermen.

Wat moet u doen?

 

FAQ privacy

  1. Met welke instanties moet ik allemaal een verwerkersovereenkomst afsluiten?

    Een complete lijst maken is lastig. U moet in ieder geval aan de volgende instanties denken:

    • XIS-leverancier (bv, Evry, Calculus, VitalHealth, Promedico, Medicom, Intramed)
    • ZorgDomein
    • Website host
    • Salarisadministratie (en personeelsadministratie)
    • VOIP-leverancier (bv Advitronics, Lantel, Huisartsentelefonie)
    • Internet leverancier (bv Zorgring, Ezorg)
    • Beveiligd emailadres leverancier (bv Ezorg, Zorgring)
    • Leverancier patiëntenportaal (bv Pharmeon)
    • Leverancier eHealth toepassingen
    • Leverancier online afspraak maken
    • Hosting HIS of kantooromgeving (bv Danthas, Zorgring, office 365)
    • Wetenschappelijk onderzoek (bv NIVEL)
    • Papiervernietigingsbedrijf
    • etc.

    Met alle instanties die medische of NAW-gegevens (van patiënten of personeel) voor u verwerken moet u een verwerkersovereenkomst afsluiten. Mist u nog een verwerker op deze lijst? Laat het ons weten via info@zorggroepsez.nl. U helpt collega huisartsen hiermee.

  2. Met welke instanties hoef ik geen verwerkersovereenkomst af te sluiten?

    U hoeft in principe met de volgende instanties geen verwerkersovereenkomsten af te sluiten.

    • Huisartsenpost
    • Zorggroep
    • Ketenpartners
    • Ziekenhuizen
    • Benchmark organisaties / spiegelinformatie
    • Zorgverzekeraars
    • Universiteit (mits zelfstandig onderzoek, wel met het NIVEL)
  3. Hoe lang moeten medische gegevens bewaard worden?

    Voor de Belastingdienst moet u gegevens 7 jaar bewaren. Voor de wet moet u medische gegevens van een patiënt 15 jaar bewaren.

  4. Hoe zit het met de rechten van kinderen?

    Vanaf 16 jaar moet een kind zelf toestemming geven. Tussen 12 en 16 jaar geven de ouders en het kind samen toestemming. Onder de 12 jaar zijn de ouders degene die toestemming verlenen.

  5. Moet ik een functionaris gegevensbescherming (FG) aanstellen?

    De Autoriteit Persoonsgegevens heeft aangegeven dat dit voor een kleine huisartsenpraktijk niet hoeft. Voor een grote praktijk wel. Waar zij de grens leggen is niet duidelijk. Zorggroep SEZ is samen met de HZW en HV-MK aan het kijken wat wij hierin kunnen betekenen voor de praktijken.

  6. Waarom komt deze wet opeens? We waren toch bezig de administratieve last te verminderen?

    De Algemene Verordening Gegevensbescherming (AVG) is een Europese Wet en geldt voor alle landen binnen de EU. Het moet de privacy van alle inwoners in de EU beschermen en gaat daarin heel ver. Deze wetgeving geldt dan ook voor iedereen, van Facebook en Google tot aan de fietsenmaker bij u om de hoek.

  7. Moet ik overeenkomsten afsluiten met andere zorgverleners?

    Nee u hoeft geen overeenkomsten af te sluiten met andere zorgverleners. U moet echter wel toestemming van de patiënt hebben om een patiënt te mogen verwijzen naar een andere zorgverlener. Verder is het aan te raden om te verifiëren of de ontvanger de informatie op de juiste manier beveiligt.

  8. Moet ik een Data protection impact assessment (DPIA) doen voor 25 mei?

    Nee, het is niet nodig een DPIA uit te voeren voor de huidige verwerkingen die plaatsvinden. Enkel bij nieuwe verwerkers en bij grote wijzigingen in bij de verwerker is het nodig een DPIA uit te voeren.

  9. Wat is het verschil tussen pseudonimisering en anonimisering?

    Het pseudonimiseren van persoonsgegevens is een methode om met persoonsgegevens te werken zonder daarbij te weten over welke personen de gegevens gaan. Het pseudonimiseren van persoonsgegevens zorgt er namelijk voor dat gegevens alleen nog herleidbaar zijn tot een specifiek persoon als er gebruik wordt gemaakt van aanvullende gegevens.

    De AVG is alleen niet meer van toepassing wanneer de gegevens volledig geanonimiseerd zijn. Geanonimiseerde gegevens zijn gegevens die helemaal geen betrekking meer hebben op individuen. Er mogen bij anonimisering dus géén aanvullende gegevens beschikbaar zijn op basis waarvan iemand alsnog een koppeling kan maken met een specifiek persoon.

    In praktijk zal er daarom vrijwel altijd sprake zijn van pseudonimisering.

  10. Mag ik gebruik maken van Dropbox, OneDrive, Office, GoogleDocs, etc.?

    In alle gevallen gaat het hier om bedrijven uit de VS. Dat betekent dat de Amerikaanse wetgeving op deze bedrijven van toepassing is. U mag (bijzondere) persoonsgegevens dan ook niet bij deze bedrijven opslaan. Ook niet als de servers van het bedrijf wel in de EU staan, omdat de Amerikaanse staat hier altijd toegang tot krijgt.

    U mag gebruik maken van het officepakket (Word, Excel, Powerpoint, etc), maar waakt u er voor dat u de bestanden gewoon op de computer opslaat en niet in OneDrive.

  11. Hoe zit het met recht van inzage en dataportabiliteit met de AVG?

    De Autoriteit Persoonsgegevens heeft hier allerlei informatie over op een rij gezet. Dat vindt u hier terug.

    Belangrijk om te weten is dat het per 25 mei niet meer is toegestaan om geld te vragen voor het maken van een uitdraai uit het dossier.

  12. Wanneer mag ik mailen met een patiënt?

    Het is niet toegestaan te mailen met een patiënt omdat deze geen beveiligd emailadres heeft. Alle data gaat daarbij over het onbeveiligde net. Ook als de patiënt het contact initeert, bent u verantwoordelijk vanaf het moment dat u iets met de verstuurde informatie doet.

    Via een beveiligd patiëntenportaal is het wel mogelijk om veilig te communiceren met de patiënt.

  13. Hoe zit het nou met het aanbieden van verwerkersovereenkomsten?

    Het is de bedoeling dat de verwerkingsverantwoordelijke (huisarts) een overeenkomst aanbiedt aan de verwerker (bv HIS). U bent namelijk verantwoordelijk voor de inhoud van de overeenkomst en de naleving hiervan.

    Er kan afgeweken worden, maar verifeer dan of de overeenkomst voldoet aan de eisen van uw beroepsgroep. Veel HIS'en hebben samen met de gebruikersverenigingen een overeenkomst opgesteld. U kunt er dan op vertrouwen dat de rechten van u als huisarts gewaarborgd zijn.

Praktische tips

  • Handige checklist informatiebeveiliging; gemaakt door de LHV, KNMP en Pharmapartners.
  • Gebruik lange wachtwoorden; en verander het wachtwoord regelmatig. Hoe langer een wachtwoord is, hoe moeilijker het te kraken is. Het gebruik van speciale tekens in een kort wachtwoord verlengt de duur om het te kraken beperkt. Gebruik een wachtwoordmanager om alle wachtwoorden in te bewaren. Kies hiervoor dan wel een betaalde variant. Gratis houdt vrijwel altijd in dat er met data betaald wordt.
  • Rechten HIS; weet u zeker dat alle gebruikers in uw HIS nog de juiste rechten hebben? Heeft u medewerkers die niet meer werkzaam zijn in de praktijk de toegang tot uw HIS ontnomen? Probeer dit jaarlijks te checken.
  • Stel een screensaver in; wanneer de computer korte tijd niet gebruikt wordt, is het verstandig om deze 'zwart' te laten worden, zodat een patiënt niet onverwachts dingen op het scherm kan zien. Beveilig dit dan ook met een wachtwoord.
  • Koop een filter voor op het beeldscherm. Er zijn filters te kopen (3M beeldschermfilter) die op het scherm geplakt kunnen worden. Het scherm is dan enkel te lezen als iemand er recht voor zit.
  • Logs website en HIS; weet waar de logs van de praktijkwebsite en het HIS te vinden zijn, zodat er desgewenst teruggezocht kan worden wie wat gedaan heeft.
  • Toestemming patiënt; in vrijwel alle gevallen is het niet nodig dat een patiënt een handtekening zet om toestemming te geven. Mondelinge toestemming is genoeg. Noteer dit wel in het HIS.
  • UZI-pas; wanneer er gebruik wordt gemaakt van het inloggen met de UZI-pas is het verstandig deze aan het einde van de dag mee te nemen naar huis.
  • Wachtwoordmanager; gebruik een (betaalde) wachtwoordmanager om al uw wachtwoorden in te beheren. Er zijn verschillende varianten online te vinden. Bedenk hierbij: bij gratis applicaties betaald u met uw persoonsgegevens.

 

ICT-leveranciers en status privacywetgeving

Hieronder vindt u een lijst met de grotere ICT-leveranciers in de regio en zover bekend de status van de privacywetgeving. Heeft u (aanvullende) informatie over een van de leveranciers dan horen wij dat graag van u. Mist u een leverancier en wilt u graag meer informatie hierover dan horen wij dat ook graag. Wij vragen voor u na: wat de status is van de verwerkersovereenkomsten, waar uw HIS data wordt opgeslagen, hoe het met back-ups zit, binnen welke termijn een datalek aan u gemeld wordt, een overzicht van de verwerkingen die u doet in uw HIS en of de data-extracties vanuit het HIS voldoen aan de wet.

ICT programma

Status

Promedico-ASP

  • Verwerkersovereenkomst: de versie van 2015 voldoet aan de AVG en is door de gebruikersvereniging (ATLAS) opgesteld en juridisch gecontroleerd.
  • HIS data locatie: Nederland
  • Back-ups: is terug te vinden in de Service Level Agreement (=SLA).
  • Datalek melding: Hanteert de meldplicht datalekken van de Autoriteit Persoonsgegevens
  • Voorbeeld verwerkingen: volgt
  • 2-factor-authenication: UZI-pas of digipas
  • Logboek inzien; via de servicedesk van Promedico
  • Rechten gebruikers controleren; op de pagina Onderhoud-Medewerkers kunt u informatie vinden m.b.t. de medewerkers die toegang hebben tot het HIS. In de online help van Promedico ASP kunt u hierover meer informatie vinden

Medicom

  • Verwerkersovereenkomst: Deze ligt bij de landelijke eerstelijnszorgkoepels en zal vanaf 1 april beschikbaar worden gesteld voor inzage. U kunt deze versie opvragen bij de binnendienst van Pharmapartners. Eind april komt de overeenkomst naar de praktijk
  • HIS data locatie: Rekencentra in Aalsmeer en Haarlem
  • Back-ups: 14 dag back-ups en 13 maand back-ups (12 maanden en einde jaar), dit alles conform de MAAS- en PAAS-overeenkomst
  • Datalek melding: streven is binnen 24 uur, anders uiterlijk 48 uur.
  • Voorbeeld verwerkingen: volgt
  • 2-factor-authenication: UZI-pas
  • Handleiding logboek inzien en rechten gebruikers controleren

MicroHIS

  • Verwerkersovereenkomst:
  • Data locatie:
  • Back-up:
  • Datalek melding:
  • Voorbeeld verwerkingen:
  • 2-factor-authenication: UZI-pas

OmniHIS

  • Verwerkersovereenkomst: Volgt (ligt er controle bij gebruikersvereniging)
  • Data locatie:
  • Back-up:
  • Datalek melding:
  • Voorbeeld verwerkingen:
  • 2-factor-authenication: UZI-pas

MIRA (CGM)

Pharmeon

  • Verwerkersovereenkomst:
  • Data locatie:
  • Back-up:
  • Datalek melding:
  • Voorbeeld verwerkingen:
  • 2-factor-authenication:

Bricks Huisarts (TetraHIS)

  • Verwerkersovereenkomst:
  • Data locatie:
  • Back-up:
  • Datalek melding:
  • Voorbeeld verwerkingen:
  • 2-factor-authenication:

Praktijkinfo

Zie Pharmeon

Zorgring

  • Verwerkersovereenkomst: stuur een verwerkersovereenkomst toe en zij ondertekenen
  • Data locatie: NL
  • Back-up: niet van toepassing
  • Datalek melding: zo snel mogelijk
  • Voorbeeld verwerkingen: zie deels ingevuld verwerkingsregister

eZorg

  •  Verwerkersovereenkomst:
  • Data locatie:
  • Back-up:
  • Datalek melding:
  • Voorbeeld verwerkingen:

Calculus (VIPLive)

  • Verwerkersovereenkomst: volgt in april (nu controle door Zorggroepen)
  • Data locatie: Nederland
  • Back-up:
  • Datalek melding:
  • Voorbeeld verwerkingen: volgt
  • 2-factor-authenication: inlog met sms-code

Huisartsentelefonie

  • Verwerkersovereenkomst: in ontwikkeling. 
  • Data locatie: Nederland
  • Back-up:
  • Datalek melding: zo snel mogelijk
  • Voorbeeld verwerkingen: volgt met overeenkomst

Danthas (cloud leverancier)

  • Verwerkersovereenkomst:
  • Data locatie:
  • Back-up:
  • Datalek melding:
  • Voorbeeld verwerkingen:

ZorgDomein

  •  Verwerkersovereenkomst: volgt
  • Data locatie: NL
  • Back-up
  • Datalek melding:
  • Voorbeeld verwerkingen: volgt
  • 2-factor-authenication:

 


Direct naar