Aan het worstelen met GDPR?

Vind je de nieuwe GDPR reglementering (of ook Algemene verordening Gegevensbescherming – AVG genoemd) ook zo ingewikkeld en onoverzichtelijk? VBT helpt je met een template die je probleemloos door alle valkuilen loodst.


Je vind die hier terug.
 

Hieronder alvast wat meer verduidelijking:

Vanaf 25 mei geldt de General Data Protection Regulation

Tandartsen moeten aantonen persoonsgegevens te beschermen

Met de AVG (Algemene Verordening Gegevensbescherming) komt er een uitgebreide aanpassing van de regelgeving voor verwerking van persoonsgegevens. De AVG of GDPR (General Data Protection Regulation) is een Europese verordening die de omgang met data van natuurlijke personen regelt. Deze verordening vervangt de lokale regelgevingen in één uniforme regelgeving voor alle lidstaten van de Europese Unie. De verordening is rechtstreeks toepasbaar in de lidstaten, en de nationale parlementen mogen deze niet vertalen naar nationale wetten. Per 25 mei 2018 is de verordening afdwingbaar.De GDPR is van belang voor alle ondernemingen, organisaties of personen die op een geautomatiseerde of gestructureerde manier persoonsgegevens van natuurlijke personen verwerken over Europese burgers. Zodra u dit soort gegevens verwerkt moet u aan de GDPR voldoen. Onder persoonsgegevens wordt verstaan alle informatie over een geïdentificeerde of identificeerbare persoon. Niet alleen naam, adres…, maar ook foto’s, RIZIV-nummer, dossiernummers, enzovoorts. Het tweede element is het verwerken van die persoonsgegevens. Het begrip ‘verwerken’ wordt ruim geïnterpreteerd. Voorbeelden zijn verzamelen, ordenen en bewerken…

Ook tandartsen vallen onder het toepassingsgebied van GDPR. Enkel gegevensverwerking in de private of huishoudelijke sfeer wordt uitgesloten. Aangezien patiëntgegevens een geïdentificeerde natuurlijke persoon betreffen, zijn dit persoonsgegevens en vallen ze dus onder de GDPR-wetgeving. De GDPR voorziet wel in proportionaliteit. Dit betekent dat u moet voldoen aan de GDPR in de mate van de middelen die u heeft en men dus concreet niet verwacht dat een kleine of middelgrote onderneming evenveel en ‘grote’ middelen zal inzetten dan een multinational.

Eerste verplichting

De GDPR legt verscheidene verplichtingen op aan de verwerkingsverantwoordelijke, degene die het doel van de verwerking bepaalt. In de praktijk komt het er op neer dat u dat als tandarts bent.

De eerste verplichting is dat u als verwerkingsverantwoordelijke moet aantonen dat u voldoet aan de GDPR. U moet een dossier aanleggen, waarin u alles verzamelt dat dit aantoont. Elke tandarts mag een eigen invulling geven aan het dossier. Het is wel belangrijk dat in het dossier zoveel mogelijk schriftelijke bewijzen en informatie worden opgenomen, die kunnen aantonen dat u als tandarts voldoet aan GDPR, of op zijn minst uw best doet. Een dergelijk dossier bevat bijvoorbeeld: informatie over eventueel gevolgde seminaries inzake GDPR, een privacyverklaring, register van verwerkingsactiviteiten, de interne procedures en maatregelen naar aanleiding van de GDPR. De andere verplichtingen volgen hieronder. 

1. Voorwaarden voor verwerking van persoonsgegevens
De verordening bevat enkele beginselen die u moet respecteren inzake de verwerking van persoonsgegevens. Deze beginselen zijn: rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid.

Zo zal u wat de rechtmatigheid voor de verwerking van persoonsgegevens betreft een rechtsgrond moeten bezitten. De verordening voorziet zes rechtsgronden (de toestemming, uitvoering van een overeenkomst, behartiging van een gerechtvaardigd belang, bescherming van de vitale belangen van de betrokkenen, taak van algemeen belang of openbare orde, voldoen aan een wettelijke verplichting) die de verwerking rechtmatig maken. Voor de tandartspraktijk is de rechtsgrond onder andere de toestemming die de patiënt u geeft om zijn persoonsgegevens te verwerken en bij te houden. Een ander beginsel betreft de minimale gegevensverwerking. Dit houdt in dat u niet meer gegevens mag verwerken dan noodzakelijk. Elke tandarts zal zelf de afweging moeten maken wanneer hij gegevens verwerkt of deze al dan niet noodzakelijk zijn voor het doel. Indien dit niet zo is, zal hij deze gegevens niet mogen verwerken of op zijn minst een duidelijk doel moeten omschrijven. Het is belangrijk dat u bij de verwerking van persoonsgegevens deze beginselen respecteert. 

2. Register van verwerkingsactiviteiten
De verordening verplicht elke verwerkingsverantwoordelijke om een register van verwerkingsactiviteiten op te maken. Dit is een register waarin allerlei informatie opgenomen moet worden. Dit register is ook een belangrijk onderdeel van uw dossier om aan te tonen dat u aan de GDPR voldoet. Welke informatie in het register verplicht moet worden opgenomen staat in de verordening en omvat onder andere naam en contactgegevens van de verwerkingsverantwoordelijke, verwerkingsdoeleinden (zo ruim mogelijk), categorieën van persoonsgegevens die verwerkt worden, bewaartermijnen, technische en organisatorische maatregelen, categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt (zoals ziekenfondsen, IT-service- en softwarebedrijven, externe facturerings- of accountingkantoren of zelfs Cloud serviceproviders voor tekstverwerking, afsprakenbeheer of spraakherkenning.…), indien van toepassing de doorgifte aan derde landen buiten de EU.

Ondanks dat dit niet verplicht is, is het toch nuttig ook andere informatie op te nemen (bijvoorbeeld uw verklaring van uw bewaartermijn, hoe de betrokkenen geïnformeerd wordt over zijn rechten enzovoorts). Deze extra informatie draagt bij tot uw verplichting om aan te tonen dat u GDPR-compliant bent. 

3.Rechten van de betrokkene
Betrokkenen van wie persoonsgegevens verwerkt worden, hebben door de verordening meer rechten gekregen. Zo hebben zij onder meer recht van inzage, rectificatie, verwijdering, bezwaar, beperking, overdracht. Indien de verwerking van persoonsgegevens gebaseerd is op de toestemming als rechtsgrond, moet de patiënt te allen tijde zijn toestemming kunnen intrekken, verwijderen of overdragen. De patiënten kunnen u verzoeken om deze rechten uit te oefenen. De verordening voorziet in welke gevallen u wel of niet verplicht bent om gevolg te geven aan dergelijk verzoek. De verordening regelt ook de wijze en termijnen omtrent de verzoeken. Als verwerkingsverantwoordelijke bent u verplicht de rechten van de betrokkenen te waarborgen. Dit houdt in dat wanneer u een verzoek van uitoefening van dergelijk recht krijgt, u in staat moet zijn deze te behandelen. Hierbij is het irrelevant of u al dan niet ingaat op het verzoek. U zal steeds de betrokkenen van uw beslissing op de hoogte moeten brengen. Aangezien de termijn om dit verzoek te behandelen normaliter één maand is, maakt u best (zeker bij groepspraktijken) procedures op. Deze procedures mag u zelf bepalen. Het zijn eigenlijk interne richtlijnen voor het geval dat u een verzoek van een betrokkene ontvangt. 

4.Informatie aan de betrokkene
Als verwerkingsverantwoordelijke moet u allerlei informatie verstrekken. U kan dit doen via een privacyverklaring, die u bijvoorbeeld opneemt op uw website. Het is uiterst belangrijk dat deze privacyverklaring de nodige gegevens bevat die de verordening vereist. Zo zal u bijvoorbeeld de 
betrokkene over zijn rechten moeten informeren.

5.Datalekken
Als verwerkingsverantwoordelijke moet u preventief maatregelen nemen om datalekken te voorkomen. Dit betekent dat u zal moeten nagaan of u uw beveiliging inzake datalekken kan verhogen. Een voorbeeld van een datalek is hacking. Het kan echter ook minder ingrijpend zijn. Het verliezen van een GSM waarop mails van patiënten staan of patiëntengegevens (naam, emailadres en…) is ook een datalek. Om het risico op verspreiding van persoonsgegevens te voorkomen, kan in dit geval preventief een toegangscode worden ingesteld op de GSM. Indien deze dan verloren gaat, zal het risico op verspreiding veel kleiner zijn.

Indien zich toch een datalek zou voordoen, moet dit in sommige gevallen gemeld worden aan de toezichthoudende autoriteit. U moet ook de betrokkenen van wie de persoonsgegevens gelekt zijn, op de hoogte brengen. Ook in dit kader zal het nuttig zijn dat u procedures uitwerkt voor het geval dat zoiets zich voordoet.


Concreet voor de tandarts

Wat de GDPR-wetgeving concreet voor u als tandarts betekent:

* algemeen dossier inzake GDPR bijhouden

* register van verwerkingsactiviteiten opstellen

* een rechtsgrond alle verwerkingen bepalen

* uw privacyverklaring opmaken of updaten

* beveiliging inzake datalekken nagaan en eventueel verhogen

* interne procedures met betrekking tot de rechten van de patiënten uitwerken

* uw eventuele medewerkers informeren omtrent GDPR en de regels en richtlijnen doen naleven


Binnen de VBT zijn we bezig met het ontwikkelen van een template die kan dienen als leidraad bij de opmaak en beheer van uw GDPR-dossier.

Ook onze VBT-partner aternio begeleidt verwerkingsverantwoordelijken bij het voldoen van de verplichtingen inzake GDPR. Zij bieden templates aan (bijvoorbeeld de privacyverklaring) waarmee u zelf aan de slag kan om aan te passen naar uw eigen situatie. Bovendien kunnen zij u als verwerkingsverantwoordelijke begeleiden bij het proces. Zij zitten dan samen met u om de templates te verduidelijken, advies te verlenen en staan paraat om vragen te beantwoorden. Verdere info vindt u op https://atern.io/gdpr-klok-tikt-ook-25-mei-2018/