In de huidige maatschappij is er steeds meer aandacht voor privacy- en gegevensbescherming. De regelgeving op dit gebied is volop in ontwikkeling. Zo is op 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) in werking getreden. Vanaf die datum geldt in de hele Europese Unie dezelfde privacywetgeving. De Wet bescherming persoonsgegevens is met de inwerkingtreding van de AVG vervallen.
Alle organisaties die persoonsgegevens verwerken, waaronder ook zorgaanbieders, moeten aan de voorschriften van de AVG voldoen. Dit gaat bijvoorbeeld om het bijhouden van een verwerkingsregister, het opstellen van een privacy statement en (in sommige gevallen) het aanwijzen van een Functionaris Gegevensbescherming. Daarnaast dienen datalekken tijdig te worden gemeld.
Het toezicht op de naleving van de AVG is het terrein van de Autoriteit Persoonsgegevens (AP). Wanneer een zorgaanbieder niet aan de voorschriften van de AVG voldoet kan de AP hoge boetes opleggen.
KBS Advocaten beschikt over verschillende specialisten op het gebeid van privacy- en gegevensbescherming in de zorg. Onze advocaten houden de ontwikkelingen op dit terrein nauwlettend in de gaten. Zo adviseren zij regelmatig over tal van privacygerelateerde onderwerpen waarmee instellingen en ondernemingen in de zorg mee te maken hebben of kunnen krijgen, bijvoorbeeld over:
- het formuleren van een op de zorgpraktijk gericht privacybeleid;
- het treffen van passende organisatorische en technische maatregelen, in overeenstemming met toepasselijke Nen-normen (7510, 7513 en 7515);
- het uitwisselen van medische gegevens tussen samenwerkende zorginstellingen/-verleners onderling en/of via zorginfrastructuren als het Landelijk Schakelpunt (LSP), private EPD’s en patiëntportalen;
- het sluiten van verwerkersovereenkomsten met externe dienstverleners (zoals een cloud-leverancier, automatiseerder en administratiekantoor);
- het bijhouden van een verwerkings- en datalekkenregister;
- het al dan niet melden van datalekken aan de AP en betrokkenen;
- het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA);
- het aanstellen van een functionaris voor de gegevensbescherming (FG);
- hoe om te gaan met verzoeken van betrokkenen (zoals patiënten en werknemers) tot onder meer inzage, rectificatie, vernietiging en overdracht van (bijzondere) persoonsgegevens (uit het medisch of personeelsdossier) of tot beperking van of bezwaar tegen de verwerking van deze gegevens.
Zorgspecifieke wet- en regelgeving
Bij onze advisering aan zorginstellingen en –aanbieders over privacyvraagstukken staat de verhouding tussen de Wbp en AVG enerzijds en zorgspecifieke wet- en regelgeving anderzijds centraal. Wbp en AVG gelden namelijk náást en niet in plaats van sectorale wetgeving zoals de WGBO, Wmg, Wkkgz, Zvw, Wlz en Wmo. Ook dient rekening te worden gehouden met (privacy)wetgeving voor de zorg, zoals de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (inwerkingtreding deels per 1 juli 2017 en deels per 1 juli 2020) en het Besluit elektronische gegevensverwerking door zorgaanbieders (per 1 januari 2018). Onderwerpen als het delen van medische gegevens tussen eerste en tweede lijn en de verhouding van de dossierplicht en het medisch beroepsgeheim tot het recht op vergetelheid respectievelijk het recht op inzage van een betrokkene zijn illustratief voor dit snijvlak van algemene en sectorale voorschriften.
Zorgaanbieders met vragen over privacy- en gegevensbescherming of de AVG zijn bij ons dan ook aan het juiste adres.