Dé ‘privacywet’ is de Wet bescherming persoonsgegevens. Dit is een algemene wet die van toepassing is op alle ‘Verantwoordelijken’ die (persoons)gegevens verwerken, waarvan een deel zorggegevens zijn. Specifieke privacyregels die voor persoonsgegevens in de zorg gelden, lopen door alle zorgwetten en zorgthema’s heen.
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Organisaties die persoonsgegevens verwerken krijgen dan meer verplichtingen. De nadruk ligt - meer dan nu - op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden (denk aan het registeren van verwerkingen). Voor een overzicht van de belangrijkste (nieuwe) verplichtingen uit de AVG in een notendop verwijzen we naar de website van de Autoriteit Persoonsgegevens. Op dit moment werkt De Nederlandse ggz aan verschillende documenten voor leden die behulpzaam kunnen zijn bij de praktische uitvoering van de (toekomstige) privacywetgeving. De verschillende documenten zullen via ggzdocs (en links hieronder naar ggzdocs) beschikbaar komen. Naast de hieronder gepubliceerde documenten wordt op dit moment ook gewerkt aan een hernieuwde versie van het privacyreglement ggz, een model PIA en een functieomschrijving van de functionaris gegevensbescherming. Het staat zorginstellingen vrij die bij de Nederlandde ggz zijn aangesloten om naar eigen inzicht en behoefte documenten en modellen aan te passen naar de eigen instelling en huisstijl, binnen de wettelijke kaders die hiervoor staan.
Heb je vragen, opmerkingen, suggesties of heb je zelf bruikbare modellen die je wil delen, dan horen wij dat graag via: zorgenrecht@denederlandseggz.nl
Model register van verwerkingsactiviteiten
In de Algemene verordening gegevensbescherming (AVG) staan een aantal verplichte maatregelen genoemd waarmee een zorgaanbieder aan zijn verantwoordingsplicht (accountability) dient te voldoen. De verantwoordingsplicht houdt in dat u als zorgaanbieder moet kunnen aantonen dat uw gegevensverwerkingen aan de regels van de AVG voldoen. Eén van deze verplichte maatregelen is het bijhouden van een register van verwerkingsactiviteiten. De Nederlandse ggz heeft voor haar leden een model/handreiking ontwikkeld die behulpzaam kan zijn of als voorbeeld kan dienen bij het registeren van verwerkingsactiviteiten.
Voor het opvragen van onderstaande documenten kun je mailen naar zorgenrecht@denederlandseggz.nl
- Model register van verwerkingsactiviteiten
- Toelichting gebruik Model register van verwerkingsactiviteiten
- Notitie bewaartermijnen december 2017
Model privacyregelement januari 2018
De Algemene Verordening Gegevensbescherming (AVG) stelt het opstellen van privacybeleid (gegevensbeschermingsbeleid) verplicht (als onderdeel van de verantwoordingsplicht en als dat in verhouding staat tot de verwerkingsactiviteiten die een zorgaanbieder verricht). Zorgaanbieders verwerken bijzondere persoonsgegevens (gegevens met betrekking tot de gezondheid) en zijn daarom in principe verplicht dergelijk beleid op te stellen.
Met dit model privacyreglement geeft GGZ Nederland een voorbeeld voor een praktische en toegankelijke uitwerking van de vanaf 25 mei 2018 geldende privacyregels neergelegd in de AVG. Met het aanpassen van dit model privacyreglement aan het beleid van en uitvoeringspraktijk in uw organisatie, voldoet u aan de verplichting om privacybeleid op te stellen (voor wat betreft de gegevensverwerking die zich richt op de zorgrelatie tussen zorgaanbieder en cliënten).
Met dit document wordt het model privacyreglement uit 2015 vervangen.
Malil naar zorgenrecht@denederlandseggz.nl voor het opvragen van het Model privacyreglement januari 2018.
Functieprofiel functionaris voor gegevensbescherming (FG)
De functionaris voor gegevensbescherming (FG, data protection officier DPO) houdt intern toezicht en adviseert over de toepassing en naleving van de AVG door de zorgorganisatie. Het aanstellen van een functionaris voor gegevensbescherming is in sommige gevallen verplicht. Ziekenhuizen zijn in ieder geval verplicht om een functionaris voor gegevensbescherming aan te stellen aangezien het verwerken van gegevens over de gezondheid een kernactiviteit is van het ziekenhuis en er sprake is van een dergelijke verwerking op grote schaal.
De Nederlandse ggz heeft voor haar leden een handleiding gebruik Functieprofiel Functionaris voor Gegevensbescherming en een Functionaris voor Gegevensbescherming ontwikkeld die behulpzaam kunnen zijn bij het aanstellen van een functionaris voor gegevensbescherming. Het staat iedereen overigens vrij om naar eigen inzicht en behoefte dergelijke documenten aan te passen voor gebruik binnen zijn of haar organisatie.
Handleiding gebruik Functieprofiel Functionaris voor Gegevensbescherming
Functieprofiel Functionaris voor Gegevensbescherming
Model en handleiding gegevensbeschermingseffectbeoordeling (Privacy impact assesment, PIA, data protection impact assesment, DPIA)
De AVG stelt het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) verplicht indien sprake is van een verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Een DPIA helpt om de risico’s, die verbonden zijn aan de verwerking van gegevens, op passende wijze te beheren. GGZ Nederland heeft voor haar leden een handleiding DPIA opgesteld om te bepalen wanneer, wie en hoe een DPIA moet worden uitgevoerd en een model voor het uitvoeren van de DPIA en het opstellen van het bijbehorende rapport.
Standaard modelverwerkersovereenkomst voor de zorgsector
Actiz, de Nederlandse ggz, NFU, NVZ en VGN verenigd in de Brancheorganisaties Zorg (BoZ) hebben in het kader van de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) een standaard modelverwerkersovereenkomst ontwikkeld. Het model is ontwikkeld in nauwe samenwerking met zorgorganisaties, leveranciers en deskundigen.
Om goede zorg te kunnen verlenen, worden in de zorg dossiers van cliënten of patiënten aangelegd, die zeer gevoelige gegevens bevatten. Het recht op privacy en de daarop gebaseerde wetgeving brengt mee dat degenen die deze persoonsgegevens verwerken, daar heel zorgvuldig mee omgaan. Daarom is het essentieel om goede afspraken te maken met partijen die in opdracht van zorginstellingen met deze bijzondere persoonsgegevens te maken krijgen, zodat die gegevens te allen tijde veilig en verantwoord worden verwerkt. Met een zogeheten verwerkersovereenkomst kunnen (en moeten) daarover met de opdrachtnemer afspraken worden gemaakt.
Het sluiten van een verwerkersovereenkomst is wettelijk verplicht als een zorgaanbieder een derde partij inschakelt die persoonsgegevens verwerkt namens de zorgaanbieder, bijvoorbeeld de leverancier van het cliënten/patiëntendossier. Deze verplichting vloeit tot 25 mei 2018 voort uit de Wet bescherming persoonsgegevens (Wbp) en vanaf 25 mei 2018 uit de AVG. De Wbp spreekt over bewerkersovereenkomst, de AVG spreekt over verwerkersovereenkomst, de betekenis hiervan verschilt echter niet.
De door de brancheorganisaties ontwikkelde modelverwerkersovereenkomst werkt als standaard voor de hele zorgsector. Zorgorganisaties kunnen het model binnen de grenzen van de Wbp en de AVG aanpassen.
Leden van De Nederlandse ggz hebben de mogelijkheid om de modelverwerkersovereenkomst, toelichting van de modelovereenkomst en een inleiding over de modelverwerkersovereenkomst via ggzdocs te downloaden. Hieronder ook de specifieke links: