Vergroot contrast

Zorgaanbieders en de AVG

De Algemene verordening gegevensbescherming (AVG) brengt nieuwe verantwoordelijkheden met zich mee. Ook voor u als zorgaanbieder. De regels dwingen u om zorgvuldig om te gaan met de privacygevoelige informatie van uw patiënten. Juist nu veel informatie gedigitaliseerd is.

Nieuwe verplichtingen

Onder de AVG gelden er nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt. In veel gevallen zult u ook verplicht zijn om een register van verwerkingsactiviteiten bij te houden, een data protection impact assessment (DPIA) uit te voeren en een functionaris voor de gegevensbescherming (FG) aan te stellen.

Bestaande regels blijven gelden

De bestaande regels over privacy worden door de AVG bevestigd en op onderdelen versterkt. De volgende wetten blijven dus gelden:

  • Wet op de geneeskundige behandelingsovereenkomst (WGBO);
  • Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
  • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
  • Zorgverzekeringswet (Zvw);
  • Wet marktordening gezondheidszorg (Wmg);
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

De AVG-regels gaan ook naast de huidige regels voor het medisch beroepsgeheim bestaan.

Stel ons uw vraag

De informatie in dit dossier is specifiek gericht op (kleine) zorgaanbieders. We breiden de informatie continu uit. Onder andere naar aanleiding van uw vragen. Dus heeft u een vraag over de AVG in de zorg? Neem dan contact met ons op.

Bekijk binnen het onderwerp Zorgaanbieders en de AVG

Alle antwoorden op mijn vragenVragen over zorgaanbieders & de AVG

  • Ben ik als kleine zorgaanbieder verplicht om een register van verwerkingsactiviteiten op te stellen?

    Ook als kleine zorgaanbieder bent u in de meeste gevallen verplicht om een register van verwerkingsactiviteiten op te stellen. Dit komt omdat kleine zorgaanbieders doorgaans structureel bijzondere persoonsgegevens verwerken. Namelijk medische gegevens van hun patiënten.

    Volgens de Algemene verordening gegevensbescherming (AVG) bent u als organisatie met minder dan 250 werknemers verplicht om een register op te stellen wanneer u persoonsgegevens verwerkt:

    • die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of
    • waarvan de verwerking niet incidenteel is en/of
    • die vallen onder de categorie bijzondere persoonsgegevens.

    Lees meer over wat er in het register van verwerkingsactiviteiten moet staan.

  • Mag ik onder de AVG persoonsgegevens verstrekken aan zorgverzekeraars?

    Als zorgaanbieder mag u onder de Algemene verordening gegevensbescherming (AVG) persoonsgegevens blijven verstrekken aan zorgverzekeraars.

    De regels die onder de huidige Wet bescherming persoonsgegevens (Wbp) gelden voor bijvoorbeeld het verstrekken van gegevens aan zorgverzekeraars voor de declaratie van zorgkosten, het aanvragen van machtigingen en het uitvoeren van formele en materiële controle blijven onder de AVG dus bestaan.

    Lees meer over onder welke voorwaarden zorgverzekeraars medische gegevens mogen verwerken.

  • Hoe verhoudt de AVG zich tot het beroepsgeheim en de Wgbo?

    De Algemene verordening gegevensbescherming (AVG) brengt geen veranderingen met zich mee voor het medisch beroepsgeheim. De regels uit de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) blijven bestaan naast de AVG.

    Net als nu zijn zorgaanbieders onder de AVG dus gebonden aan zowel de regels over het medisch beroepsgeheim als aan de regels van de AVG. Als zorgaanbieder mag u straks bijvoorbeeld alléén gegevens aan een derde verstrekken als dat mag op grond van de AVG én als u een grond heeft om het medisch beroepsgeheim te doorbreken.

    Meer informatie

  • Verandert het recht op inzage voor het medisch dossier onder de AVG?

    Nee. Patiënten hebben onder de Algemene verordening gegevensbescherming (AVG) net als nu recht op inzage in hun medisch dossier. Bijvoorbeeld om röntgenfoto’s, diagnoses en operatieverslagen te bekijken. Alleen u hoeft hen geen inzage te geven in uw persoonlijke werkaantekeningen. Nieuw is wel dat u straks geen vergoeding meer mag vragen voor de inzage.

    Vergoeding voor kopieën

    Patiënten hebben ook recht op kopieën van hun medische gegevens. Hiervoor mag u onder de AVG geen kosten in rekening brengen. Onder de huidige Wet bescherming persoonsgegevens (Wbp) mag dit nog wel. Maar verzoekt een patiënt om meer dan één kopie van alle gegevens? Dan mag u hiervoor wel een redelijke vergoeding vragen.

    Geen volledige inzage medisch dossier

    Verzoekt een patiënt om toegang tot zijn of haar dossier? Maar wordt daardoor de privacy van iemand anders dan de patiënt zelf geschaad? Dan mag u de patiënt weigeren om een bepaald gedeelte van zijn/haar medisch dossier in te zien. U moet dan wel kunnen aantonen dat dat het geval is. Het belang van de privacy van de ander moet daarbij zwaarder wegen dan het belang dat de patiënt heeft bij inzage in het betreffende gedeelte van zijn/haar medisch dossier.

    Relevante wetten

    Het recht op inzage is geregeld in zowel de AVG als de Wet op de geneeskundige behandelovereenkomst (WGBO).

  • Wat is de verhouding tussen de AVG en de Wet cliëntenrechten bij elektronische verwerking van gegevens?

    De Algemene verordening gegevensbescherming (AVG) is een Europese privacywet die boven nationale wetgeving staat. De ‘Wet cliëntenrechten bij elektronische verwerking van gegevens’ geldt in aanvulling op de AVG. Dat betekent dat dáár waar de AVG meer bescherming voor cliënten biedt, de AVG voor gaat.

    Ruimte voor nationale regels

    De AVG geeft de zorgsector de mogelijkheid om specifieke regels in te stellen in nationale wetgeving. De ‘Wet cliëntenrechten bij elektronische verwerking van gegevens’ is een voorbeeld van zo’n nationale uitwerking.

    Deze wet schept voorwaarden voor het veilig elektronisch uitwisselen van medische gegevens in de zorgsector. Het gaat om elektronische uitwisselingssystemen waarmee u als zorgaanbieder op elektronische wijze dossiers, gedeelten van dossiers of gegevens uit dossiers, voor andere zorgaanbieders inzichtelijk kunt maken. Het systeem voor het bijhouden van een intern elektronisch dossier, zoals het interne elektronische patiëntendossier van een ziekenhuis, valt niet onder de ‘Wet cliëntenrechten bij elektronische verwerking van gegevens.’

    Veel van de regels in de ‘Wet cliëntenrechten bij elektronische verwerking van gegevens’ komen overeen met wat er in de AVG staat. Bijvoorbeeld dat uw cliënt de toestemming die hij of zij heeft gegeven voor de verwerking van zijn persoonsgegevens, weer in moet kunnen trekken.

    Sommige regels gaan eerder gelden

    De ‘Wet cliëntenrechten bij elektronische verwerking van gegevens’ is opgenomen in de ‘Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg’. Een deel van die wet geldt pas vanaf 1 juli 2020. Maar aan bepaalde verplichtingen die vanaf 1 juli 2020 gaan gelden, moet u zich nu al vanaf 25 mei 2018 houden. Dat is de ingangsdatum van de AVG. Voorbeelden daarvan zijn:

    • Onder de AVG moet u als zorgaanbieder kunnen aantonen dat uw cliënt toestemming heeft gegeven voor de verwerking van zijn of haar gegevens. Deze verplichting komt voor een groot deel overeen met de registratieplicht voor toestemming die in de ‘Wet cliëntenrechten bij elektronische verwerking van gegevens’ is opgenomen.
    • De ‘Wet cliëntenrechten bij elektronische verwerking van gegevens’ regelt dat elektronische inzage per 1 juli 2020 kosteloos moet zijn. De AVG bepaalt dat uw cliënt deze inzage vanaf 25 mei 2018 al kosteloos moet kunnen krijgen, al dan niet elektronisch.

    Meer informatie over de 'Wet cliëntenrechten bij elektronische verwerking van gegevens'

    Wilt u meer weten over de ‘Wet cliëntenrechten bij elektronische verwerking van gegevens’ ? Lees dan de factsheet van het ministerie van Volksgezondheid, Welzijn en Sport op rijksoverheid.nl.

  • Blijft de NEN 7510 gelden voor zorgaanbieders onder de AVG?

    Ja. De NEN 7510 blijft ook onder de Algemene verordening gegevensbescherming (AVG) een belangrijke norm voor informatiebeveiliging in de zorg.

    Huidige regels

    Hoewel de NEN 7510 niet letterlijk in de AVG genoemd staat, blijven beveiligingsstandaarden belangrijk. Net zoals dat onder de huidige regels het geval is.

    Op dit moment geldt bijvoorbeeld dat u aan de NEN 7510 moet voldoen als u in de zorg het burgerservicenummer (BSN) verwerkt.

    Daarnaast staat in de huidige beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens (AP) dat verantwoordelijken de beveiligingsstandaarden moeten volgen. Als voorbeeld van zo’n standaard noemt de AP de NEN 7510.

  • Is onder de AVG een NEN 7510-certificaat verplicht voor zorgaanbieders?

    Nee. Certificering volgens de NEN 7510 is op grond van de Algemene verordening gegevensbescherming (AVG) niet verplicht. Ongeacht de rechtsvorm en de omvang van uw organisatie.

    Let op: de NEN 7510 blijft onder de AVG wél een belangrijke norm voor informatiebeveiliging in de zorg.

    Verantwoordingsplicht

    Hoewel een NEN 7510-certificaat dus niet verplicht is onder de AVG, heeft u als verantwoordelijke straks wel een verantwoordingsplicht. Dat betekent dat u moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden