AVG - privacywet

Op deze pagina vindt u actuele informatie over de Algemene Verordening Gegevensbescherming (AVG) die per 25 mei 2018 actief wordt. Deze pagina is ter ondersteuning van alle 1ste lijnszorgverleners

Logo Zorgring.jpg

Er kunnen geen rechten ontleend worden aan de informatie op deze pagina. U bent als verwerkersverantwoordelijke uiteindelijk zelf verantwoordelijk voor de informatie die u gebruikt.

In de gehele AVG gaat het over het verwerken van de persoonsgegevens. Het is belangrijk dat u weet wat dit inhoudt:

Verwerken omvat alle activiteiten op het gebied van het beheren en gebruiken van persoonsgegevens. U moet denken aan activiteiten zoals: (alleen al) inzage, vastleggen, verzamelen, orderen, opslaan, verstrekken, structureren, afschermen.

Wat moet u doen?

 

 

FAQ privacy

  1. Met welke instanties moet ik allemaal een verwerkersovereenkomst afsluiten?

    Een complete lijst maken is lastig. U moet in ieder geval aan de volgende instanties denken:

    • XIS-leverancier (bv, Evry, Calculus, VitalHealth, Promedico, Medicom, Intramed, Caresharing)
    • ZorgDomein
    • Filetransfer (voor patiënten dossiers)
    • Website host
    • Salarisadministratie (en personeelsadministratie)
    • VOIP-leverancier (bv Advitronics, Lantel, Huisartsentelefonie)
    • Internet leverancier (bv Zorgring, Ezorg)
    • Beveiligd emailadres leverancier (bv Ezorg, Zorgring)
    • Leverancier patiëntenportaal (bv Pharmeon)
    • Leverancier eHealth toepassingen
    • Leverancier online afspraak maken
    • Hosting HIS of kantooromgeving (bv Danthas, Zorgring, office 365)
    • Wetenschappelijk onderzoek (bv NIVEL)
    • Papiervernietigingsbedrijf
    • etc.

    Met alle instanties die medische of NAW-gegevens (van patiënten of personeel) voor u verwerken moet u een verwerkersovereenkomst afsluiten. Mist u nog een verwerker op deze lijst? Laat het ons weten via info@zorggroepsez.nl. U helpt collega huisartsen hiermee.

  2. Met welke instanties hoef ik geen verwerkersovereenkomst af te sluiten?

    U hoeft in principe met de volgende instanties geen verwerkersovereenkomsten af te sluiten.

    • Huisartsenpost
    • Zorggroep
    • Ketenpartners
    • Ziekenhuizen
    • Benchmark organisaties / spiegelinformatie
    • Zorgverzekeraars
    • Vecozo
    • Universiteit (mits zelfstandig onderzoek, wel met het NIVEL)
  3. Hoe lang moeten medische gegevens bewaard worden?

    Voor de Belastingdienst moet u gegevens 7 jaar bewaren. Voor de wet moet u medische gegevens van een patiënt 15 jaar bewaren.

  4. Hoe zit het met de rechten van kinderen?

    Vanaf 16 jaar moet een kind zelf toestemming geven. Tussen 12 en 16 jaar geven de ouders en het kind samen toestemming. Onder de 12 jaar zijn de ouders degene die toestemming verlenen.

  5. Moet ik een functionaris gegevensbescherming (FG) aanstellen?

    U hoeft geen <strong>Functionaris Gegevensbescherming</strong> aan te stellen. De Autoriteit Persoonsgegevens heeft aangegeven dat dit slechts hoeft indien een <em>praktijkhouder </em>meer dan 10.000 patiënten op zijn/haar naam heeft staan. Geen enkele praktijk in Zaanstreek/Waterland/Midden-Kennemerland heeft dit. Zie ook: <a href="https://www.lhv.nl/actueel/nieuws/analyse-lhv-functionaris-gegevensbescherming-voor-meeste-praktijken-niet-noodzakelijk" target="_blank">De LHV analyse </a>.

  6. Waarom komt deze wet opeens? We waren toch bezig de administratieve last te verminderen?

    De Algemene Verordening Gegevensbescherming (AVG) is een Europese Wet en geldt voor alle landen binnen de EU. Het moet de privacy van alle inwoners in de EU beschermen en gaat daarin heel ver. Deze wetgeving geldt dan ook voor iedereen, van Facebook en Google tot aan de fietsenmaker bij u om de hoek.

  7. Moet ik overeenkomsten afsluiten met andere zorgverleners?

    Nee u hoeft geen overeenkomsten af te sluiten met andere zorgverleners. U moet echter wel toestemming van de patiënt hebben om een patiënt te mogen verwijzen naar een andere zorgverlener. Verder is het aan te raden om te verifiëren of de ontvanger de informatie op de juiste manier beveiligt.

  8. Moet ik een Data protection impact assessment (DPIA) doen voor 25 mei?

    Nee, het is niet nodig een DPIA uit te voeren voor de huidige verwerkingen die plaatsvinden. Enkel bij nieuwe verwerkers en bij grote wijzigingen in bij de verwerker is het nodig een DPIA uit te voeren.

  9. Wat is het verschil tussen pseudonimisering en anonimisering?

    Het pseudonimiseren van persoonsgegevens is een methode om met persoonsgegevens te werken zonder daarbij te weten over welke personen de gegevens gaan. Het pseudonimiseren van persoonsgegevens zorgt er namelijk voor dat gegevens alleen nog herleidbaar zijn tot een specifiek persoon als er gebruik wordt gemaakt van aanvullende gegevens.

    De AVG is alleen niet meer van toepassing wanneer de gegevens volledig geanonimiseerd zijn. Geanonimiseerde gegevens zijn gegevens die helemaal geen betrekking meer hebben op individuen. Er mogen bij anonimisering dus géén aanvullende gegevens beschikbaar zijn op basis waarvan iemand alsnog een koppeling kan maken met een specifiek persoon.

    In praktijk zal er daarom vrijwel altijd sprake zijn van pseudonimisering.

  10. Mag ik gebruik maken van Dropbox, OneDrive, Office, GoogleDocs, etc.?

    In alle gevallen gaat het hier om bedrijven uit de VS. Dat betekent dat de Amerikaanse wetgeving op deze bedrijven van toepassing is. U mag (bijzondere) persoonsgegevens dan ook niet bij deze bedrijven opslaan. Ook niet als de servers van het bedrijf wel in de EU staan, omdat de Amerikaanse staat hier altijd toegang tot krijgt.

    U mag gebruik maken van het officepakket (Word, Excel, Powerpoint, etc), maar waakt u er voor dat u de bestanden gewoon op de computer opslaat en niet in OneDrive.

  11. Hoe zit het met recht van inzage en dataportabiliteit met de AVG?

    De Autoriteit Persoonsgegevens heeft hier allerlei informatie over op een rij gezet. Dat vindt u hier terug.

    Belangrijk om te weten is dat het per 25 mei niet meer is toegestaan om geld te vragen voor het maken van een uitdraai uit het dossier.

  12. Wanneer mag ik mailen met een patiënt?

    Het is niet toegestaan te mailen met een patiënt omdat deze geen beveiligd emailadres heeft. Alle data gaat daarbij over het onbeveiligde net. Ook als de patiënt het contact initeert, bent u verantwoordelijk vanaf het moment dat u iets met de verstuurde informatie doet.

    Via een beveiligd patiëntenportaal is het wel mogelijk om veilig te communiceren met de patiënt.

    Met andere zorgverleners kunt u via een beveiligd emailadres van bv eZorg of Zorgring mailen.

  13. Hoe zit het nou met het aanbieden van verwerkersovereenkomsten?

    Het is de bedoeling dat de verwerkingsverantwoordelijke (huisarts) een overeenkomst aanbiedt aan de verwerker (bv HIS). U bent namelijk verantwoordelijk voor de inhoud van de overeenkomst en de naleving hiervan.

    Er kan afgeweken worden, maar verifeer dan of de overeenkomst voldoet aan de eisen van uw beroepsgroep. Veel HIS'en hebben samen met de gebruikersverenigingen een overeenkomst opgesteld. U kunt er dan op vertrouwen dat de rechten van u als huisarts gewaarborgd zijn.

  14. Hoe zit het met faxen? Is dit nu wel of niet veilig?

    Het faxprotocol (de lijn waarover de fax gaat) is zeer veilig en niet te hacken. De zwakste schakel in het faxen zit in het feit dat het nooit zeker is wie de ontvanger is. In grotere instellingen kan de fax op een hele andere plek binnenkomen dan waar dat zou moeten. Als u dit kunt oplossen door vooraf telefonisch contact te hebben is faxen in principe toegestaan.

    Digitaal faxen wordt steeds meer de norm. In principe is dit ook veilig. Let er hierbij wel op dat de mail naar de faxserver (voor het uitfaxen) over een beveiligde internetlijn moet lopen. Anders gaat dit over document alsnog over het open internet. Ook voor de binnenkomende fax bij de andere partij is dit het geval. Ook de ontvanger moet tussen de fax server en mailbox een beveiligde internetlijn hebben liggen.

  15. Moet ik een verwerkersovereenkomst afsluiten met het UZI register? En met de post?

    Er is contact geweest met de Autoriteit Persoonsgegevens en het is niet nodig een overeenkomst te sluiten met het UZI-register voor het aanvragen van de UZI-pas.

    Met de PostNL (en andere leveranciers) hoeft u geen overeenkomst af te sluiten. Zij zijn via de Postwet verplicht tot geheimhouding van alle post die verstuurd wordt.

     

  16. Is SMS veiliger dan WhatsApp?

    Ja, SMS is veel veiliger dan WhatsApp.

    SMS is een bericht van telefoon naar telefoon, warabij onderweg gebruik gemaakt wordt van de standaard encryptie van het GSM netwerk. Dit is door providers niet af te luisteren.

    WhatsApp berichten zijn ook encrypted. Ze lopen echter via de WhatsApp servers (in de VS_ en daar wordt allerlei metadata verzameld, zoals locatiegegevens, telefoonboek, lengte en taal bericht. Deze info wordt verhandeld ten behoeve van profilering in de advertentieindustrie. Daarnaast weten we niet zeker of de encryptie in orde is. Het kan zijn dat er een achterdeur is ingebouwd door WhatsApp. Facebook is de eigenaar van Whatsapp en heeft in de aangepaste privacy voowaarden ook aangegeven dat er nog meer gedaan zal worden met de vergaarde data.

    De KNMG heeft het gebruik van WhatsApp voor zorggegevens verboden. 

    Veilige alternatieven zijn bv Signal of Siilo. Zie het KNMG artikel voor meer informatie.

Praktische tips

  • Handige checklist informatiebeveiliging; gemaakt door de LHV, KNMP en Pharmapartners.
  • Gebruik lange wachtwoorden; en verander het wachtwoord regelmatig. Hoe langer een wachtwoord is, hoe moeilijker het te kraken is. Het gebruik van speciale tekens in een kort wachtwoord verlengt de duur om het te kraken beperkt. Gebruik een wachtwoordmanager om alle wachtwoorden in te bewaren. Kies hiervoor dan wel een betaalde variant. Gratis houdt vrijwel altijd in dat er met data betaald wordt.
  • Rechten HIS; weet u zeker dat alle gebruikers in uw HIS nog de juiste rechten hebben? Heeft u medewerkers die niet meer werkzaam zijn in de praktijk de toegang tot uw HIS ontnomen? Probeer dit jaarlijks te checken.
  • Stel een screensaver in; wanneer de computer korte tijd niet gebruikt wordt, is het verstandig om deze 'zwart' te laten worden, zodat een patiënt niet onverwachts dingen op het scherm kan zien. Beveilig dit dan ook met een wachtwoord.
  • Koop een filter voor op het beeldscherm. Er zijn filters te kopen (3M beeldschermfilter) die op het scherm geplakt kunnen worden. Het scherm is dan enkel te lezen als iemand er recht voor zit.
  • Logs website en HIS; weet waar de logs van de praktijkwebsite en het HIS te vinden zijn, zodat er desgewenst teruggezocht kan worden wie wat gedaan heeft.
  • Toestemming patiënt; in vrijwel alle gevallen is het niet nodig dat een patiënt een handtekening zet om toestemming te geven. Mondelinge toestemming is genoeg. Noteer dit wel in het HIS.
  • UZI-pas; wanneer er gebruik wordt gemaakt van het inloggen met de UZI-pas is het verstandig deze aan het einde van de dag mee te nemen naar huis.
  • Wachtwoordmanager; gebruik een (betaalde) wachtwoordmanager om al uw wachtwoorden in te beheren. Er zijn verschillende varianten online te vinden. Bedenk hierbij: bij gratis applicaties betaald u met uw persoonsgegevens.

 

ICT-leveranciers en status privacywetgeving

Hieronder vindt u een lijst met de grotere ICT-leveranciers in de regio en zover bekend de status van de privacywetgeving. Heeft u (aanvullende) informatie over een van de leveranciers dan horen wij dat graag van u. Mist u een leverancier en wilt u graag meer informatie hierover dan horen wij dat ook graag. Wij vragen voor u na: wat de status is van de verwerkersovereenkomsten, waar uw HIS data wordt opgeslagen, hoe het met back-ups zit, binnen welke termijn een datalek aan u gemeld wordt, een overzicht van de verwerkingen die u doet in uw HIS en of de data-extracties vanuit het HIS voldoen aan de wet.

ICT programma

Status

Promedico-ASP

  • Verwerkersovereenkomst: de versie van 2015 voldoet aan de AVG en is door de gebruikersvereniging (ATLAS) opgesteld en juridisch gecontroleerd.
  • HIS data locatie: Nederland
  • Back-ups: is terug te vinden in de Service Level Agreement (=SLA).
  • Datalek melding: Hanteert de meldplicht datalekken van de Autoriteit Persoonsgegevens
  • Voorbeeld verwerkingen: volgt
  • 2-factor-authenication: UZI-pas of digipas
  • Logboek inzien; via de servicedesk van Promedico
  • Rechten gebruikers controleren; op de pagina Onderhoud-Medewerkers kunt u informatie vinden m.b.t. de medewerkers die toegang hebben tot het HIS. In de online help van Promedico ASP kunt u hierover meer informatie vinden

Medicom

  • Verwerkersovereenkomst: Deze ligt bij de landelijke eerstelijnszorgkoepels en zal vanaf 1 april beschikbaar worden gesteld voor inzage. U kunt deze versie opvragen bij de binnendienst van Pharmapartners. Eind april komt de overeenkomst naar de praktijk
  • HIS data locatie: Rekencentra in Aalsmeer en Haarlem
  • Back-ups: 14 dag back-ups en 13 maand back-ups (12 maanden en einde jaar), dit alles conform de MAAS- en PAAS-overeenkomst
  • Datalek melding: streven is binnen 24 uur, anders uiterlijk 48 uur.
  • Voorbeeld verwerkingen: volgt
  • 2-factor-authenication: UZI-pas
  • Handleiding logboek inzien en rechten gebruikers controleren

MicroHIS

  • Verwerkersovereenkomst: overeenkomst nog niet ingezien. Controleer bij uw gebruikersvereniging of zij hier controle op hebben gehad.
  • Data locatie: Nederland
  • Datalek melding: zo snel mogelijk
  • 2-factor-authenication: UZI-pas

OmniHIS

  • Verwerkersovereenkomst: Volgt (ligt er controle bij gebruikersvereniging)
  • Data locatie: Nederland
  • Datalek melding: zo snel mogelijk
  • 2-factor-authenication: UZI-pas

MIRA (CGM)

Pharmeon

  • Verwerkersovereenkomst: is hier te vinden. In deze overeenkomst staan een aantal gekke punten, met name in artikel 3, 6 en 10. Voor nu is het advies om deze overeenkomst niet zomaar te ondertekenen.
  • Data locatie: NL
  • Voorbeeld verwerkingen: zie overeenkomst (bijlage 1)
  • 2-factor-authenication: n.v.t.

Praktijkinfo

  • Verwerkersovereenkomst: zie hier
  • Data locatie: EU
  • Back-up:
  • Datalek melding: in principe binnen 12 uur, uiterlijk binnen 24 uur
  • Voorbeeld verwerkingen: zie bijlage 1 van de overeenkomst
  • Beveiligingsmaatregelen: zie bijlage 2 en 3 van de overeenkomst

Zorgring

  • Verwerkersovereenkomst: stuur een van bovenstaande verwerkersovereenkomst toe en zij ondertekenen. Zorgring is ook bezig een algemene overeenkomst op te stellen voor de praktijken.
  • Data locatie: NL
  • Back-up: niet van toepassing
  • Datalek melding: zo snel mogelijk
  • Voorbeeld verwerkingen: zie deels ingevuld verwerkingsregister

eZorg

Onbekend, moet overeenkomst getekend worden.

Calculus (VIPLive)

  • Verwerkersovereenkomst: beschikbaar via www.viplive.nl. Deze is akkoord bevonden door alle zorggroepen. U moet zelf aanvinken welke verwerkingen u doet in de omgeving van VIPLive. Vanuit de zorggroep zijn dat in ieder geval de volgende 3: declareren voor de zorggroep of GEZ groep of POHGGZ groep / inzicht in de praktijk, financiële en zorgmanagementrapporten en benchmarking, Virtueel KIS: samenwerkingen in de zorggroep rondom het HIS.
  • Verder kunt u nog gebruik maken van declaratieservice van VIPLive voor uw eigen praktijk, het AIOS dashboard of inzage in de gegevens van Parnassia. Vink aan wat voor u van belang is.
  • Data locatie: Nederland
  • Voorbeeld verwerkingen: vindt u bij de overeenkomst.
  • 2-factor-authenication: inlog met sms-code

Huisartsentelefonie

  • Verwerkersovereenkomst: LHV versie, aan alle klanten toegestuurd
  • Data locatie: Nederland
  • Back-up: dagelijks, 2 centra in Amsterdam
  • Datalek melding: zo snel mogelijk
  • Voorbeeld verwerkingen: zie overeenkomst

Danthas (cloud leverancier)

  • Verwerkersovereenkomst: nodig
  • Datalek melding: zo snel mogelijk bij klant en AP
  • Voorbeeld verwerkingen: afhankelijk van afgesloten diensten

ZorgDomein

  •  Verwerkersovereenkomst: is beschikbaar via ZorgDomein. Moet door alle gebruikers ondertekent worden. U vindt de overeenkomst onder uw account -> profiel -> gebruikersvoorwaarden. Als u aanpassingen wilt doen staat ZorgDomein hiervoor open. De overeenkomst lijkt voor de huisarts gunstig te zijn.
  • Data locatie: NL
  • Voorbeeld verwerkingen: volgt
  • 2-factor-authenication: gaat via het HIS (SSO).

Advitronics (VOIP)

  • Verwerkersovereenkomst: de LHV overeenkomst wordt aangepast en aangevuld om specifiek op de telefoon van toepassing te zijn (bv opname van gesprekken). De overeenkomst ligt (4 mei) bij de jurist ter controle en wordt voor eind mei aangeboden. Juli 2018: de overeenkomst is nog steeds niet klaar. De huisartsen worden geinformeerd wanneer deze wel klaar is.
  • Data locatie: NL
  • Voorbeeld verwerkingen: volgt met overeenkomst

Zorgmail/FileTransfer (z-netwerken)

 

 


Direct naar