Welke consequenties heeft de Algemene Verordening Gegevensbescherming voor jou als kleine zorgaanbieder?

De AVG, ook wel bekend als GDPR, vervangt de Wet Bescherming Persoonsgegevens en is uitgebreider op een aantal vlakken. Hij is al sinds 2016 in werking getreden maar op 25 mei 2018 is hij ook van toepassing.

Gezien deze wetgeving voor alle bedrijven in Europa geldig is, is deze niet op alle punten zeer concreet en voor interpretatie vatbaar. Als je nou twijfelt wat je precies wel en niet moet doen, dan ben je zeker niet de enige. Afgelopen maand is de helft van de telefoontjes die wij kregen AVG gerelateerd.

Voldoet Cliendo aan de AVG?

Ja, dat doen we. Ons datacentrum beschikt over ISO 27001, 14001, 9001 en NEN7510 certificering, en ook voor onze processen hebben wij een NEN7510 certificering.

Dit is dé norm voor veiligheid in de Zorg & ICT. Reeds geïmplementeerde voor NEN7510 genomen maatregelen aangevuld met extra maatregelen dekken de AVG af.

Maar voldoe jij daarmee ook aan de AVG? Dat hangt er vanaf wat jij in je dossier zet en hoe jij het inricht in je Cliendo.

Een aardappel voldoet ook aan de AVG want die bewaart geen gevoelige gegevens. Beetje lullig misschien maar het illustreert wel het punt. Als je Cliendo gebruikt en je geef iedereen toegang tot jouw account, dan voldoe je niet aan de AVG.

We hebben de technische zaken die voor je cliëntdossiers nodig zijn al voor je geregeld, als jij zelf dit stappenplan doorloopt heb je je in ieder geval aantoonbaar ingespannen om aan de AVG te voldoen.

Dit stappenplan is onze interpretatie van de ABP richtlijnen waar een aantal keer naar gerefereerd wordt.

Stap 1: Zorg voor toestemming van je cliënt en zorg dat je het dossier kunt delen

Dit had je natuurlijk al nodig, maar blijft een belangrijke. Zorg dat je kunt aantonen dat je cliënt je toestemming heeft gegeven voor de verwerking van zijn/haar gegevens. Vaak geschiedt dit nog door een ouderwetse krabbel, maar als je met onze ‘online intake/vragenlijst‘ werkt kun je dit ook digitaal laten verstrekken en heb je het meteen voor altijd centraal bewaard.

Ook moet je je cliënt kosteloos toegang geven tot zijn/haar dossier als die daar om vraagt. Per 2020 moet dat ook digitaal, maar dat kan via Cliendo natuurlijk al wel.

De kans is aanwezig dat je wel eens zaken in je een dossier schrijft waarvan het niet persé handig is dat de cliënt dit kan lezen. Soms kun je niet anders. De ‘praktische oplossing’ hiervoor is dat je deze notities technisch niet in het dossier van je cliënt zet. Daarvoor hebben wij o.a. de optie ‘privébericht’ gemaakt op de dagrapportage van je cliënt. Alleen jij ziet wat hier is getypt, ook al is het dossier gedeeld.

Stap 2: Sla niet meer persoonsgegevens op dan je nodig hebt

Om te kunnen declareren of een indicatie aan te vragen heb je al een heleboel gegevens nodig. Tevens, als jij vind dat je het 06 nummer van iemands neef in Cliendo wilt opslaan, dan kun je waarschijnlijk wel uitleggen waarom dat handig is, dus hier ga je nog gewoon zelf over.

Via een inrichting op maat bepaal je helemaal zelf welke gegevens je bijhoudt in jouw Cliendo.

Stap 3: Beperk toegang tot gegevens voor medewerkers die dit niet nodig hebben

Werkt jouw collega niet met een bepaalde groep cliënten, zorg dan dat hij/zij in geheel niet bij deze informatie kan. Als je een invaller hebt voor de dagbesteding, hoeft deze niet perse de medische gegevens van cliënten te kunnen bekijken. Je kunt aan Cliendo doorgeven welke collega’s waar toegang toe hebben, dan richten we dit voor je in naar wens.

Heb je een collega die bijvoorbeeld alle administratie verwerkt, dan hoort deze wel toegang te krijgen tot alle gegevens om deze te kunnen verwerken. Deze scheiding van rechten kun je ook verwerken in je gegevensbeschermingsbeleid.

Stap 4: Sla persoonsgegevens niet langer op dan nodig

Als een cliënt geen actieve cliënt meer is, archiveer deze dan. En zorg er dan ook meteen voor dat niet je gehele team toegang heeft tot het archief, dat is namelijk niet strikt noodzakelijk. Blijf wel voldoen aan de wettelijke bewaarplicht van dossiers. Deze zijn als volgt:

Bron: ICT recht

Cliendo heeft ook de mogelijkheid om inactieve dossiers automatisch te verwijderen op door jou gekozen termijn. Hiermee voldoe je automatisch aan deze maatregel.

Stap 5: Verwerkersovereenkomst

Met partijen die jouw gegevens verwerken dien je een verwerkersovereenkomst aan te gaan. Hierin staat hoe zij met jouw gegevens om dienen te gaan, en bijvoorbeeld ook wie er ingelicht moet worden als er een datalek heeft plaatsgevonden.

Download:
Model verwerkersovereenkomst van Privacycompany.eu

Link:
2 Modelverwerkersoveenkomsten van Rijksoverheid

Cliendo heeft een eigen verwerkersovereenkomst die je met ons aan kunt gaan. Deze staat in je demo account onder instellingen.

Stap 6: Jouw organisatie aantoonbaar op de hoogte

De meeste datalekken komen nog steeds door menselijk handelen. Je dient straks aan te kunnen tonen dat je afdoende maatregelen hebt genomen om je organisatie bewust te maken van gegevensbescherming.

Voor onze NEN7510 hebben wij een etische code, principes en een geheimhoudingsverklaring opgesteld.

6.1 Beleid gebaseerd op principes

Met beleidsprincipes kun je je werkwijze uitleggen aan de hand van principes.

6.2 Ethische code

Download: Ethische code vs04 (2)

6.3 Geheimhoudingsverklaring

Download: Geheimhoudinsgverklaring (simpele uitvoering)

Stap 7. Data Protection Impact Assessment (DPIA)

Met een DPIA breng je in kaart met welke privacyrisico’s je te maken hebt en neem je maatregelen om deze risico’s zo klein mogelijk te maken. Niet voor alle organisaties is een DPIA verplicht. Dit moet je zelf inschatten. Volgens de criteria heb je als kleine zorgverlener wel sowieso ‘gevoelige gegevens’ en ‘gegevens over kwetsbare personen’.

Van ‘nieuwe technologie’ is geen sprake, gezien ze als voorbeeld ‘internet of things’ noemen. Al is Cliendo nog zo innovatief, online cliëntendossiers bestaan al een tijdje. Van ‘Grootschalige verwerking’ is waarschijnlijk ook geen sprake als je enkele tientallen cliënten hebt.

Als je helemaal zeker wilt zijn van je zaak voer je een DPIA uit. En als je er geen uitvoert dien je je keuze in ieder geval te verantwoorden, dus doe je er verstandig aan de criteria even langs te lopen en aan te geven waarom je daar niet aan voldoet.

Deze technische maatregelen hebben we al voor je geregeld

In deze artikelen schreven we al eerder over hoe je veilig kunt werken en welke maatregelen wij toepassen. Voor de AVG worden onderstaande als tip gegeven, Cliendo voldoet aan alle.

Zie voor meer diepte informatie

• Cliëntdossiers veilig opslaan deel 1 
• Cliëntdossiers veilig opslaan deel 2
• Je website veilig met SSL

Stappen 8 & 9

Bovenstaande stappen zijn een stuk concreter uitgewerkt voor kleine zorgverleners dan de algemenere informatie op de website van de autoriteit persoonsgegevens, maar er is nog meer belangrijke informatie van toepassing.

Lees je in over functionaris gegevensbescherming  en de meldplicht datalekken. Tezamen met het 7 stappenplan zou jouw organisatie AVG proof moeten maken.