Stappenplan AVG

woensdag 2 mei 2018

Per 25 mei 2018 zal de AVG van kracht gaan. Dat houdt in dat er vanaf dan dezelfde privacywetgeving geldt in de hele Europese Unie en dat de Wbp dan niet meer geldt.

Algemene informatie AVG 
Zoals de meesten wel zullen weten, gaat de Algemene verordening gegevensbescherming (AVG) van kracht. Deze nieuwe privacywetgeving geldt ook voor zzp’ers. Maar wat houdt deze wet precies in? Het houdt in dat vanaf 25 mei de Wet bescherming persoonsgegevens (Wbp) niet meer geldt. Maar wat gaat er dan precies veranderen?

Met de volgende zaken moet je vanaf 25 mei rekening gaan houden:
   
- Versterking en uitbreiding van privacyrechten  
Dat betekent meer verplichtingen. Je moet bijvoorveeld een register van verwerkingen aanmaken waarin je bijhoudt welke gegevens je verwerkt en laat verwerken en hoe deze beveiligd worden. Je mag alleen de gegevens verwerken waarvoor je ze hebt gekregen. Die zorgdossiers kun je het beste opslaan in de Cloud of in de omgeving van je opdrachtgevers.  
- Je moet transparanter zijn naar de personen van wie je gegevens hebt
Zij moeten weten wat je met die gegevens doet.   

- Het recht van betrokkenen is aangescherpt  
Mensen hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen maar daarnaast kunnen zij nu ook eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens via hen verkregen hebben. Dus je moet bijhouden welke gegevens jij verwerkt.  

- Recht op dataportabiliteit 
Mensen hebben nu het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen.

Stappenplan AVG voor zzp'ers in de zorg
Wat moet je doen voor de AVG van kracht gaat?

1. Bewustwording 
Zorg dat je bekend met de nieuwe privacyregels. Volg een training op het gebied van privacy wetgeving. 

2. Rechten van betrokkenen  
Werk zoveel mogelijk in de omgeving van je opdrachtgevers. Doe je dat niet, neem dan extra maatregelen om te zorgen dat je alle gegevens kan verwijderen of kan overdragen als een zorgvrager daar om vraagt. Verwerk ook alleen datgeen wat echt noodzakelijk is (data minimalisatie).  

3. Overzicht verwerkingen 
Maak inzichtelijk welke persoonsgegevens gebruikt worden, waarvoor ze gebruikt worden, waar die gegevens opgeslagen worden en wie er toegang heeft tot die gegevens.  

4. Data protection impact assesment (DPIA) 
Huur iemand in om een data protection impact assesment te doen en voldoe aan de verplichtingen.  

5. Privacy by design en privacy by default 
Verwerk alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel.  

6. Meldplicht datalekken 
Alle incidenten moeten worden geregistreerd en datalekken moeten worden gemeld bij autoriteitspersoonsgegevens. Dat is echter afhankelijk van wat je hebt afgesproken met opdrachtgevers. In sommige gevallen doet namelijk de opdrachtgever die meldingen.  

7. Verwerkingsovereenkomsten 
Zorg ervoor dat je een verwerkingsovereenkomst hebt met iedere organisatie die persoonsgegevens voor jou verwerkt. Huur hier iemand voor in of maak gebruik van bestaande verwerkingsovereenkomsten. Vaak kun je gebruik maken van systemen van opdrachtgevers. 

8. Toestemming 
De nieuwe wetgeving stelt strengere eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. Evalueer daarom de manieren waarop je toestemming vraagt, krijgt en registreert. Je moet kunnen aantonen dat er geldige toestemming is verkregen. Zorg dus dat alles in contracten vastgelegd is.

Duobus Zorgnieuws (Webredactie)

Wij houden u op de hoogte over de ontwikkelingen in de markt.