GDPR
De digitalisering van de eenentwintigste eeuw heeft geleid tot een vernieuwing van de privacywetgeving die dateert van 8 december 1992. GDPR staat voor ‘General Data Protection Regulation’, in het Nederlands ‘Algemene Verordening Gegevensbescherming (AVG)’, en wijst op een Europese verordening, die een betere bescherming van de persoonsgegevens van Europese burgers nastreeft. Deze nieuwe regelgeving heeft ook impact op de bescherming van gegevens in de huisartsenpraktijk. Helemaal nieuw is de AVG natuurlijk niet. Veel van haar basisprincipes en concepten vinden we reeds terug in de actuele Belgische Privacywet. Als je vandaag al voldoet aan de huidige wetgeving, kan je dat als uitgangspunt nemen voor de implementatie van de GDPR. Toch zijn er enkele nieuwigheden en aanzienlijke verbeteringen die de huidige aanpak licht zullen wijzigen.
Voor wie geldt deze GDPR?
Deze wetgeving geldt voor iedereen die persoonsgegevens verwerkt.
Wat zijn persoonsgegevens?
Persoonsgegevens omvatten elke vorm van informatie van een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of één of meer specifieke elementen die kenmerkend zijn voor diens fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. Persoonsgegevens die de gezondheid aangaan, worden beschouwd als bijzonder gevoelige gegevens en genieten een speciale bescherming.
Wat wordt verstaan onder het verwerken van persoonsgegevens?
Het verwerken van persoonsgegevens omvat het verzamelen, registreren, bewaren, corrigeren, bijwerken, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, ter beschikking stellen, met elkaar in verband brengen, wissen of vernietigen van deze gegevens.
Stappenplan voor de arts
Met behulp van onderstaand stappenplan kan u uw praktijk in orde stellen met deze nieuwe regelgeving.
- Awareness/bewustmaking
Informeer medewerkers binnen uw praktijk om veilig met persoonsgegevens om te gaan. Vaardig richtlijnen, praktische regels en procedures uit en neem GDPR-topics op in de vergaderingen. Voor infosessies ‘GDPR op maat van arts en apotheker’ verwijzen we u door naar Domus Medica. - Flow persoonsgegevens in kaart brengen
Onderstaande afbeelding toont de datastromen van resultaten en persoonsgegevens tussen patiënt, arts, verpleegkundige, ziekenfonds en het laboratorium. Daarnaast zijn er ook stromen van resultaten en/of facturen via Metahub, de eHealthBox en de post.
- Register voor verwerkingsactiviteiten opstellen
Breng zorgvuldig in kaart welke persoonsgegevens je bijhoudt, waar deze vandaan komen en met wie je ze deelt. Registreer dit in een verwerkingsregister, waarin wordt uitgelegd welke maatregelen de praktijk neemt om de verwerking van persoonsgegevens te beveiligen. Het opstellen van het verwerkingsregister is een eenmalig proces, behoudens latere wijzigingen in de dataverwerkingsstrategie van de praktijk. Domus Medica heeft een digitaal sjabloon opgesteld, dat men binnen de praktijk kan invullen en uitprinten. Dit register geldt als instrument in het kader van de verantwoordingsplicht ten aanzien van de gegevensbeschermingsautoriteit, maar is niet bestemd voor de patiënten noch voor het publiek. - Procedure opstellen voor melding van datalekken
Mocht er ondanks de genomen voorzorgen toch een datalek optreden, dan moet dat in bepaalde omstandigheden worden gemeld aan de gegevensbeschermingsautoriteit en mogelijk zelfs aan de betrokkene (de patiënt over wie de gegevens verzameld zijn). Hiervoor heeft Domus Medica aan de hand van de GDPR en de richtlijnen van de gegevensbeschermingsautoriteit een algoritme opgesteld. - Rechten van de patiënt (betrokkene) meedelen
De betrokkene geniet onder de AVG dezelfde rechten als onder de huidige Belgische Privacywet, mits enkele aanzienlijke verbeteringen. Ga na of de huidige procedure in uw praktijk alle rechten voorziet waarop de betrokkene zich kan beroepen, inclusief hoe persoonsgegevens worden verwijderd of hoe gegevens elektronisch worden meegedeeld. De AVG voorziet o.a. in de volgende rechten voor de betrokkene:
– Informatie en toegang tot persoonsgegevens
– Verbetering, aanvulling en uitwissing van de gegevens
– Bezwaar tegen direct marketingpraktijken
– Geen onderwerping aan louter geautomatiseerde besluitvorming en profilering
– Overdraagbaarheid van de gegevensHet recht op overdraagbaarheid van de gegevens is een nieuwigheid. Door uitoefening van dit recht kan de patiënt vragen om de door hem/haar aangeleverde gegevens terug aan hem/haar te bezorgen of rechtstreeks aan een derde partij over te dragen in een toegankelijk formaat.
Referenties:
https://www.domusmedica.be/
https://www.privacycommission.be/nl