Op 25 mei 2018 treedt de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als de GDPR, in werking. Deze verordening geldt ook voor ‘de zorg’.
We constateren dat dit onderwerp velen boeit en ook roert. In onze dagelijkse praktijk krijgen we de nodige vragen over de komst van deze nieuwe wet, van de relatie tot de NEN 7500 serie, tot het gebruik van PIA’s en het herzien van de be- en verwerkersovereenkomsten.
Simpel
Onder bestuurders van zorginstellingen leeft het sentiment dat ze zich zorgen maken over ‘de miljoenen boetes’ en de toename van regeldruk en registratiedrift. Onlangs sprak ik een bestuurde die vertelde dat het al zou helpen als we de komst van de AVG kunnen zien als kans om ons ‘huis op orde’ te krijgen, maar dan moet het wel de handen aan het bed helpen in hun werk.
Belangrijk is om te bepalen waar sta ik nu als zorgorganisatie? Waar wil ik naar toe qua risico-volwassenheid (denken)? En hoe gaan we daar komen? Het antwoord op de laatste vraag is door het gefaseerd in te voeren, te investeren in bewustwording en het organiseren van de belangrijkste pijlers voorsorterend op het tweede kwartaal volgend jaar (de inwerkingtreding van de AVG).
Denk na en leg vast
Dit brengt mij bij de vraag wat moet je allemaal doen als zorgorganisatie? Wat kan wachten en hoe kunnen we de mensen op de werkvloer meekrijgen? Niet vanuit angst, maar vanuit een opvatting dat ‘het bij je werk hoor’ om simpel gesteld fatsoenlijk om te gaan met de data van een cliënt of patiënt. Ook is het een kans om te bepalen je het doet als zorgorganisatie, wat kunnen we verbeteren en welke risico’s accepteren we of hebben we op een andere manier opgelost?
In de kern zal een toezichthouder willen weten waarom bepaalde keuzes gemaakt zijn, bijvoorbeeld als het gaat over het beheer, de betrouwbaarheid, veiligheid en integriteit van de data die je in huis hebt. Het concept van pas toe – of leg uit blijft een belangrijk richtsnoer bij het implementeren van de AVG in je eigen organisatie.
Get ready: de 12 stappen
- Bewustwording: beslissers en leiding dienen op de hoogte te zijn en betrokken bij aankomende veranderingen en bewust van de impact, passend uitdragen naar alle medewerkers.
- Huidige verwerkingen in kaart: wat hebben we qua gegevens, waar komt het vandaan, met wie wordt het gedeeld, combineer dit met PIA-light.
- Communiceren over privacy: review en actualiseer de communicatie en documenten, zorg voor laagdrempelige en passende taal.
- Borgen nieuwe rechten van betrokkenen: maak aanpassingen voor “het recht om vergeten te worden” en “portabiliteit”.
- Verwerken verzoeken om inzage: werkwijze aanpassen aan de nieuwe doorlooptijden en de te verstrekken informatie.
- Grondslagen: beoordeel grondslagen voor bestaande en nieuwe verwerkingen, combineer deze met PIA-light.
- Toestemming: beoordeel of juiste toestemming is verkregen waar nodig en welke toestemming niet meer mag.
- Minderjarigen/kinderen: maak een proces om leeftijd van betrokkenen te controleren en waar nodig toestemming van vertegenwoordiger te verkrijgen.
- Datalekken: meldt alle daadwerkelijk datalekken, geen melding meer nodig bij een inbreuk op de beveiliging met kans op lek.
- PIA (-light): beoordeel risico’s en impact van de relevante verwerkingen.
- DPA/FG (functionaris gegevensbescherming): voor zorgorganisaties moet er een (part-time, interne of externe) FG/DPO zijn.
- Over de grens: als er persoonsgegevens over de grens gaan – denk aan het gebruik van een cloud service – maak dan duidelijk welke nationale DPA/AP er over gaat.