Vergroot contrast

Zorgverleners en de AVG

De Algemene verordening gegevensbescherming (AVG) brengt nieuwe verantwoordelijkheden met zich mee. Ook voor u als zorgverlener De regels dwingen u om zorgvuldig om te gaan met de privacygevoelige informatie van uw patiënten. Juist nu veel informatie gedigitaliseerd is.

Informatieverplichtingen

Onder de AVG gelden er nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt. In veel gevallen zult u ook verplicht zijn om een register van verwerkingsactiviteiten bij te houden, een data protection impact assessment (DPIA) uit te voeren en een functionaris voor de gegevensbescherming (FG) aan te stellen.

Bestaande regels blijven gelden

De bestaande regels over privacy worden door de AVG bevestigd en op onderdelen versterkt. De volgende wetten blijven dus gelden:

  • Wet op de geneeskundige behandelingsovereenkomst (WGBO);
  • Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
  • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
  • Zorgverzekeringswet (Zvw);
  • Wet marktordening gezondheidszorg (Wmg);
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

De AVG-regels gaan ook naast de huidige regels voor het medisch beroepsgeheim bestaan.

Stel ons uw vraag

De informatie in dit dossier is specifiek gericht op (kleine) zorgverleners. We breiden de informatie continu uit. Onder andere naar aanleiding van uw vragen. Dus heeft u een vraag over de AVG in de zorg? Neem dan contact met ons op.

Bekijk binnen het onderwerp Zorgverleners en de AVG

Alle antwoorden op mijn vragenVeelgestelde vragen van zorgverleners

  • Welke maatregelen moet ik nemen om patiëntgegevens te beveiligen?

    Voor het vertrouwen van de patiënt in u als zorgverlener is het belangrijk om de beveiliging van zijn/haar persoonsgegevens goed te regelen. Dat verandert niet met de komst van de Algemene verordening gegevensbescherming (AVG). Nieuw onder de AVG is wel de verantwoordingsplicht.

    Verantwoordingsplicht

    De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat u de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens van uw patiënten te beveiligen. En dat uw gegevensverwerkingen aan de AVG voldoen. Dat houdt bijvoorbeeld in dat u:

    • niet méér persoonsgegevens verwerkt dan noodzakelijk is voor het doel van de verwerking;
    • de toegang van medewerkers tot de persoonsgegevens beperkt;
    • de persoonsgegevens niet langer bewaart dan nodig is. 

    Verplichte en extra maatregelen

    In de AVG staan een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht voldoet. Naast de verplichte maatregelen kan het nodig zijn om extra maatregelen te nemen. Voor zorgverleners geldt onder meer dat:

    • De NEN 7510 een belangrijke norm voor informatiebeveiliging in de zorg blijft. U moet deze richtlijnen dus blijven volgen.
    • U van elke individuele medewerker moet bijhouden wanneer hij/zij en van welke patiënt een dossier heeft bekeken. Dit heet logging. 
    • Het nodig kan zijn om een gegevensbeschermingsbeleid op te stellen. Daarin regelt u onder meer welke medewerkers toegang mogen hebben tot welke gegevens.
    • In de zorg is het maken van afspraken over dit soort autorisaties extra belangrijk omdat het vaak om gevoelige persoonsgegevens gaat. Medewerkers die geen behandelrelatie hebben met een patiënt, hebben ook geen toegang nodig tot het dossier van die patiënt.
    • U verplicht kunt zijn om een data protection impact assessment uit te voeren, een functionaris voor de gegevensbescherming aan te stellen en een register van verwerkingsactiviteiten bij te houden.
  • Moet ik als zorgverlener een FG aanstellen?

    U moet als zorgverlener een functionaris gegevensbescherming (FG) aanwijzen als u op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over de gezondheid van mensen.

    Hoe bepaalt u of u volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt?

    In de Algemene verordening gegevensbescherming (AVG) staat niet heel specifiek omschreven wanneer een verwerking grootschalig is. Dat is afhankelijk van uw situatie. Wel hebben de Europese toezichthouders een aantal criteria opgesteld, namelijk:

    Daarnaast heeft de AP voor een aantal specifieke zorgaanbieders nadere uitleg gegeven wanneer sprake is van grootschalige verwerking van persoonsgegevens.

    FG altijd verplicht

    De Europese privacytoezichthouders noemen een ziekenhuis als expliciet voorbeeld van een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt. Een ziekenhuis is dus verplicht om een FG aan te stellen.

    Verder heeft de AP aan de hand van de criteria van de Europese toezichthouders vastgesteld dat ook zorggroepen, huisartsenposten en apotheken (niet zijnde solistisch werkende zorgverlener) op grote schaal bijzondere persoonsgegevens verwerken en dus verplicht zijn een FG aan te stellen.

    Voor huisartsenpraktijken en  andere instellingen voor medisch specialistische zorg dan  ziekenhuizen geldt dat zij grootschalig gegevens verwerken als zij meer dan 10.000  ingeschreven patiënten hebben óf gemiddeld meer dan 10.000 patiënten per jaar behandelen én de gegevens van deze patiënten in één informatiedossier (bijvoorbeeld HIS) staan. In dat geval zijn zij verplicht tot het aanstellen van een FG.

    FG voor bijvoorbeeld individuele artsen niet verplicht

    De privacytoezichthouders zien verwerkingen van bijzondere persoonsgegevens door individuele artsen niet als grootschalig. Individuele artsen hoeven dus geen FG aan te stellen.

    Dat geldt bijvoorbeeld ook voor huisartsenpraktijken met minder dan 10.000 ingeschreven patiënten en andere instellingen voor medisch specialistische zorg dan  ziekenhuizen die gemiddeld minder dan 10.000 patiënten per jaar behandelen.  

    Praktische standaard

    De Europese privacytoezichthouders verwachten dat er op den duur een praktische standaard komt waarmee u eenvoudiger kunt vaststellen of sprake is van een grootschalige gegevensverwerking. En dus of u verplicht bent om een FG aan te stellen. Zodra hierover meer bekend is, vindt u die informatie op deze website.

    Let op: per 1 januari 2018 geldt voor instellingen als bedoeld in de Wet, kwaliteit, klachten en geschillen zorg (Wkkgz) die op grote schaal gegevens verwerken al de plicht om een FG te benoemen. Dat is geregeld in het Besluit elektronische gegevensverwerking door zorgaanbieders.

    Meer informatie

  • Moet ik als huisarts een FG aanstellen?

    Voor huisartsenpraktijken geldt dat zij verplicht zijn een functionaris gegevensbescherming (FG) aan te stellen als zij grootschalig gegevens verwerken. Zij doen dit als zij meer dan 10.000 ingeschreven patiënten hebben én de gegevens van deze patiënten in één huisartseninformatiedossier (HIS) staan.

    Voor een individuele huisarts en een huisartsenpraktijk met minder dan 10.000 patiënten, geldt de verplichting voor een FG niet.
    Let op: De AP verstaat onder een ‘individuele arts’ een solistisch werkende zorgverlener die beroepsmatig zorg verleent, zonder dat sprake is van een instelling. Werkt een huisarts  bijvoorbeeld in een praktijk samen met meerdere assistenten die ook zorg verlenen, dan is er geen sprake van een ‘individuele arts’ in de zin van de AVG.

    Huisartsenposten en zorggroepen verwerken altijd grootschalig gegevens. Zij zijn dus altijd verplicht een FG aan te stellen.  

  • Moet een apotheek een FG aanstellen?

    De AP heeft aan de hand van de criteria van de Europese toezichthouders vastgesteld dat apotheken (niet de solistisch werkende apothekers) op grote schaal bijzondere persoonsgegevens verwerken en dus verplicht zijn een FG aan te stellen.

    Let op: Als een apotheker samenwerkt met meerdere assistenten die ook zorg verlenen dan is er géén sprake van een solistisch werkende apotheker.

  • Moet ik als zorgverlener een DPIA doen?

    Sommige gegevensverwerkingen leveren een hoog privacyrisico op voor de betrokken personen. Onder de Algemene verordening gegevensbescherming (AVG) bent u in zo’n geval verplicht om een data protection impact assessment (DPIA) uit te voeren. Dit geldt niet voor individuele zorgverleners.

    Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat u maatregelen kunt nemen om de risico’s te verkleinen.

    Hoe bepaalt u of er sprake is van een waarschijnlijk hoog privacyrisico?

    De werkgroep van Europese privacytoezichthouders (WP29) heeft een lijst van criteria opgesteld om u als verantwoordelijke te helpen om het privacyrisico van uw gegevensverwerking in te schatten. Voor zorgaanbieders kunnen de volgende criteria uit die lijst leiden tot een hoog risico:

    • U verwerkt gevoelige gegevens. Het gaat hierbij om bijzondere categorieën van persoonsgegevens, zoals gegevens over de gezondheid van mensen.
       
    • U verwerkt op grote schaal (bijzondere) persoonsgegevens. De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. De werkgroep van Europese toezichthouders adviseert om met de volgende criteria te bepalen of hiervan sprake is:
      - de hoeveelheid mensen van wie gegevens worden verwerkt;
      - de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
      - de tijdsduur van de gegevensverwerking;
      - de geografische reikwijdte van de gegevensverwerking.

      In de zorg is in ieder geval sprake van grootschalige verwerking van persoonsgegevens door:
      - ziekenhuizen
      - zorggroepen;
      - huisartsenposten;
      - apotheken (niet zijnde ‘solistisch werkende zorgverlener’)
      - huisartsenpraktijken met meer dan 10.000 patiënten, van wie de gegevens in hetzelfde huisartseninformatiesysteem (HIS) zijn opgeslagen;
      -Andere instellingen voor medisch specialistische zorg dan ziekenhuizen met meer dan gemiddeld 10.000 patiënten per jaar van wie de gegevens in het hetzelfde informatiesysteem zijn opgeslagen.
       

    • U verwerkt gegevens over kwetsbare personen. Bij zorgaanbieders kan er sprake zijn van een ongelijke machtsverhouding tussen u als verantwoordelijke en de betrokken personen zoals kinderen, ouderen, wilsonbekwame en andere kwetsbare patiënten. 
  • Moet ik als zorgverlener ook een DPIA doen voor bestaande verwerkingsactiviteiten?

    Nee, de verplichting om een data protection impact assessment (DPIA) te doen geldt in principe alleen voor verwerkingen die ná 25 mei 2018 zijn gestart. Vanaf die datum is de Algemene verordening gegevensbescherming (AVG) van toepassing.

    Treedt er na 25 mei 2018 een verandering op in een bestaande verwerking of in de risico’s van die verwerking? Dan kan een DPIA alsnog verplicht zijn.

    Veranderingen bestaande verwerkingen

    Een bestaande gegevensverwerking kan bijvoorbeeld veranderen als u een nieuwe technologie gaat gebruiken. Of als u de persoonsgegevens voor een ander doel gaat gebruiken.

    In die situaties moet u, net als bij een nieuwe gegevensverwerking, vaststellen of de gewijzigde verwerking waarschijnlijk een hoog privacyrisico oplevert. Zo ja, dan bent u alsnog verplicht een DPIA uit te voeren.

    Voorafgaand onderzoek

    Het kan zijn dat de AP al eens een voorafgaand onderzoek heeft gedaan naar een bepaalde gegevensverwerking. Misschien heeft u daarvoor goedkeuring gekregen.

    Ook dan geldt dat u geen DPIA over die verwerking hoeft uit te voeren. Tenzij er ná 25 mei 2018 een verandering optreedt in de verwerking die waarschijnlijk een hoog risico inhoudt.

    Meer informatie

  • Ben ik als kleine zorgverlener verplicht om een register van verwerkingsactiviteiten op te stellen?

    Ook als kleine zorgverlener bent u in de meeste gevallen verplicht om een register van verwerkingsactiviteiten op te stellen. Dit komt omdat kleine zorgverleners doorgaans structureel bijzondere persoonsgegevens verwerken. Namelijk medische gegevens van hun patiënten.

    Volgens de Algemene verordening gegevensbescherming (AVG) bent u als organisatie met minder dan 250 werknemers verplicht om een register op te stellen wanneer u persoonsgegevens verwerkt:

    • die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of
    • waarvan de verwerking niet incidenteel is en/of
    • die vallen onder de categorie bijzondere persoonsgegevens.

    Lees meer over wat er in het register van verwerkingsactiviteiten moet staan.

  • Mag ik als zorgverlener onder de AVG persoonsgegevens verstrekken aan zorgverzekeraars?

    Als zorgverlener mag u onder de Algemene verordening gegevensbescherming (AVG) persoonsgegevens blijven verstrekken aan zorgverzekeraars.

    De regels die onder de Wet bescherming persoonsgegevens (Wbp) golden voor bijvoorbeeld het verstrekken van gegevens aan zorgverzekeraars voor de declaratie van zorgkosten, het aanvragen van machtigingen en het uitvoeren van formele en materiële controle blijven onder de AVG bestaan.

    Lees meer over onder welke voorwaarden zorgverzekeraars medische gegevens mogen verwerken.

Alle antwoorden op mijn vragenVragen over privacyrechten in de zorg

  • Verandert het recht op inzage voor het medisch dossier onder de AVG?

    Nee. Patiënten hebben onder de Algemene verordening gegevensbescherming (AVG) net als nu recht op inzage in hun medisch dossier. Bijvoorbeeld om röntgenfoto’s, diagnoses en operatieverslagen te bekijken. Alleen in uw persoonlijke werkaantekeningen hoeft u geen inzage te geven. Nieuw is wel dat u straks geen vergoeding meer mag vragen voor de inzage.

    Vergoeding voor kopieën

    Patiënten hebben ook recht op kopieën van hun medische gegevens. Hiervoor mag u onder de AVG geen kosten in rekening brengen. Verzoekt een patiënt om meer dan een kopie van alle gegevens? Dan mag u hiervoor wel een redelijke vergoeding vragen.

    Geen volledige inzage medisch dossier

    Verzoekt een patiënt om toegang tot zijn of haar dossier? Maar wordt daardoor de privacy van iemand anders dan de patiënt zelf geschaad? Dan mag u de patiënt weigeren om een bepaald gedeelte van zijn/haar medisch dossier in te zien.

    U moet dan wel kunnen aantonen dat dat het geval is. Het belang van de privacy van de ander moet daarbij zwaarder wegen dan het belang dat de patiënt heeft bij inzage in het betreffende gedeelte van zijn/haar medisch dossier.

    Relevante wetten

    Het recht op inzage is geregeld in zowel de AVG als de Wet op de geneeskundige behandelovereenkomst (WGBO).

  • Geldt het recht op dataportabiliteit ook voor medische dossiers?

    Het recht op dataportabiliteit is een nieuw recht onder de AVG. Het is het recht van mensen om persoonsgegevens mee te nemen en over te dragen aan een andere (zorg)aanbieder. Het recht geldt voor een deel van de gegevens in medische dossiers.

    Welke gegevens wel

    De persoonsgegevens die uw patiënt zelf actief en bewust heeft verstrekt, vallen onder het recht op dataportabiliteit. Dat geldt ook voor de gegevens die de patiënt indirect heeft verstrekt door het gebruik van een dienst of een apparaat. Bijvoorbeeld de gegevens die een pacemaker of een bloedrukmeter genereert.

    Welke gegevens niet

    De gegevens in het medisch dossier die niet direct of indirect door het gebruik van een dienst of een apparaat door de patiënt zijn verstrekt, vallen niet onder het recht op dataportabiliteit.

    Het recht op dataportabiliteit geldt bijvoorbeeld niet voor de conclusies, diagnoses, vermoedens of behandelplannen die u als behandeld arts op basis van de door de patiënt verstrekte gegevens vaststelt.

  • Geldt het recht op vergetelheid ook voor medische dossiers?

    Het recht om vergeten te worden geldt in principe niet voor medische dossiers. De Algemene verordening gegevensbescherming (AVG) biedt namelijk ruimte aan nationale wetgeving. Onder meer om uitzonderingen op het recht op vergetelheid te regelen. Patiënten mogen u wel vragen om gegevens uit hun medisch dossier te verwijderen.

    Regels in Wgbo

    In Nederland zijn de regels voor het bewaren van medische dossiers opgenomen in de Wet op de geneeskundige behandelovereenkomst (Wgbo). Hierin is bepaald dat u medische dossiers 15 jaar moet bewaren. 

    Deze wet regelt dat mensen het recht hebben om hun zorgverlener te vragen om de gegevens eerder te vernietigen. U moet daar gehoor aan geven, tenzij een bepaald voorschrift of specifieke wet bepaalt dat u de gegevens moet bewaren. Bijvoorbeeld vanwege het belang van iemand anders. Of omdat de gegevens nodig zijn voor het leveren van zorg.

    Reageren op een verzoek

    Heeft een patiënt u gevraagd om vernietiging van zijn of haar medisch dossier? Dan moet u als zorgverlener binnen 3 maanden aan dit verzoek voldoen. Wanneer u het verzoek afwijst, dan moet u de patiënt laten weten waarom. Het liefst schriftelijk.

    Verwijdert u alleen een onderdeel uit het medisch dossier? Dan kunt u in het dossier vermelden dat een deel van de gegevens op verzoek van de patiënt is verwijderd.

    Meer informatie

Alle antwoorden op mijn vragenVragen over AVG & andere regels in de zorg

  • Hoe verhoudt de AVG zich tot het beroepsgeheim en de Wgbo?

    De Algemene verordening gegevensbescherming (AVG) brengt geen veranderingen met zich mee voor het medisch beroepsgeheim. De regels uit de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) blijven bestaan naast de AVG.

    Zorgverleners zijn onder de AVG gebonden aan zowel de regels over het medisch beroepsgeheim als aan de regels van de AVG. Als zorgverlener mag u bijvoorbeeld alléén gegevens aan een derde verstrekken als dat mag op grond van de AVG én als u een grond heeft om het medisch beroepsgeheim te doorbreken.

  • Wat is de verhouding tussen de AVG en de Wet cliëntenrechten bij elektronische verwerking van gegevens?

    De Algemene verordening gegevensbescherming (AVG) is een Europese privacywet die boven nationale wetgeving staat. De Wet cliëntenrechten bij elektronische verwerking van gegevens geldt in aanvulling op de AVG. Dat betekent dat dáár waar de AVG meer bescherming voor cliënten biedt, de AVG voor gaat.

    Ruimte voor nationale regels

    De AVG geeft de zorgsector de mogelijkheid om specifieke regels in te stellen in nationale wetgeving. De Wet cliëntenrechten bij elektronische verwerking van gegevens is een voorbeeld van zo’n nationale uitwerking.

    Deze wet schept voorwaarden voor het veilig elektronisch uitwisselen van medische gegevens in de zorgsector. Het gaat om elektronische uitwisselingssystemen waarmee u als zorgverlener op elektronische wijze dossiers, gedeelten van dossiers of gegevens uit dossiers inzichtelijk kunt maken voor andere zorgverleners.

    Het systeem voor het bijhouden van een intern elektronisch dossier, zoals het interne elektronische patiëntendossier van een ziekenhuis, valt niet onder de Wet cliëntenrechten bij elektronische verwerking van gegevens.

    Veel van de regels in de Wet cliëntenrechten bij elektronische verwerking van gegevens komen overeen met wat er in de AVG staat. Bijvoorbeeld dat uw cliënt de toestemming die hij of zij heeft gegeven voor de verwerking van zijn persoonsgegevens, weer in moet kunnen trekken.

    Sommige regels gaan eerder gelden

    De Wet cliëntenrechten bij elektronische verwerking van gegevens is opgenomen in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Een deel van die wet geldt pas vanaf 1 juli 2020.

    Maar aan bepaalde verplichtingen die vanaf 1 juli 2020 gaan gelden, moet u zich nu al vanaf 25 mei 2018 houden. Dat is de ingangsdatum van de AVG.

    Voorbeelden daarvan zijn:

    • Onder de AVG moet u als zorgverlener kunnen aantonen dat uw cliënt toestemming heeft gegeven voor de verwerking van zijn of haar gegevens. Deze verplichting komt voor een groot deel overeen met de registratieplicht voor toestemming die in de Wet cliëntenrechten bij elektronische verwerking van gegevens is opgenomen.
    • De Wet cliëntenrechten bij elektronische verwerking van gegevens regelt dat elektronische inzage per 1 juli 2020 kosteloos moet zijn. De AVG bepaalt dat uw cliënt deze inzage vanaf 25 mei 2018 al kosteloos moet kunnen krijgen, al dan niet elektronisch.

    Meer informatie

    Wilt u meer weten over de Wet cliëntenrechten bij elektronische verwerking van gegevens? Lees dan de factsheet Elektronische gegevensuitwisseling in de zorg van het ministerie van Volksgezondheid, Welzijn en Sport op rijksoverheid.nl.

  • Geldt de NEN 7510 voor zorgverleners onder de AVG?

    Ja. De NEN 7510 geldt onder de Algemene verordening gegevensbescherming (AVG) als een belangrijke norm voor informatiebeveiliging in de zorg.

    Huidige regels

    Hoewel de NEN 7510 niet letterlijk in de AVG genoemd staat, blijven beveiligingsstandaarden belangrijk. Net zoals dat onder de huidige regels het geval is.

    Op dit moment geldt bijvoorbeeld dat u aan de NEN 7510 moet voldoen als u in de zorg het burgerservicenummer (BSN) verwerkt.

    Daarnaast staat in de huidige beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens (AP) dat verantwoordelijken de beveiligingsstandaarden moeten volgen. Als voorbeeld van zo’n standaard noemt de AP de NEN 7510.

  • Is onder de AVG een NEN 7510-certificaat verplicht voor zorgverleners?

    Nee. Certificering volgens de NEN 7510 is op grond van de Algemene verordening gegevensbescherming (AVG) niet verplicht. Ongeacht de rechtsvorm en de omvang van uw organisatie.

    Let op: de NEN 7510 blijft onder de AVG wél een belangrijke norm voor informatiebeveiliging in de zorg.

    Verantwoordingsplicht

    Hoewel een NEN 7510-certificaat dus niet verplicht is onder de AVG, heeft u als verantwoordelijke straks wel een verantwoordingsplicht.

    Dat betekent dat u moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.