Op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) in. Dit is een nieuwe en strengere privacywet die in heel Europa van toepassing is. Door landelijke reclamecampagnes is de verordening breder bekend. In Nederland vervangt de AVG de Wet bescherming persoonsgegevens (Wbp). Alleen is het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ nog onderbelicht en dit besluit was al vanaf 1 januari 2018 van kracht!
Maar de AVG gaat toch in? Ondanks het feit dat de AVG een Europese wet is en dat deze met ingang van 25 mei in alle Europese lidstaten van toepassing is, staat het de lidstaten van de Europese Unie vrij om wet- en regelgeving op het gebied van privacy en gegevensbescherming te hanteren zolang deze niet in strijd zijn met de AVG. Het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ (hierna: Besluit) blijft dus van kracht, ondanks dat de Wbp vervalt.
Wat houdt het Besluit in?
Het Besluit beschrijft regels over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders. Het Besluit biedt een aantal (praktische) handvatten voor de zorgaanbieder voor het nemen van organisatorische en technische maatregelen voor de bescherming van persoonsgegevens van cliënten die verwerkt worden.
Opvallend is dat er tussen het Besluit en de AVG een aantal overeenkomsten, maar ook verschillen zitten. Zo omschrijft het eerste artikel van het Besluit de verplichting voor het aanstellen van een functionaris voor de gegevensbescherming (FG). Dit omdat er op grote schaal gegevens worden verwerkt met een hoge impact voor de betrokkene op het moment dat er sprake is van een beveiligingsincident of een datalek. Deze regel staat ook in de AVG, maar was dus al vanaf 1 januari van kracht.
Externe communicatie
Het Besluit vereist dat de zorgaanbieder zorgdraagt voor veilig en zorgvuldig gebruik van het zorginformatiesysteem. De richtlijnen NEN7510, NEN7512 en NEN7513 zijn daarbij leidend. Alleen is het Besluit met name gericht op de gebruikers en de beheerders van een elektronisch uitwisselsysteem, waarbinnen twee of meer zorgaanbieders patiëntgegevens uitwisselen. Echter, de eis om beleid, procedures en verantwoordelijkheden binnen de organisatie vast te leggen met de eerdergenoemde richtlijnen is van toepassing op gebruikers van zowel een elektronisch uitwissel- als informatiesysteem.
Ook bepaalt het Besluit dat de beheerders van een elektronisch zorginformatie- of zorguitwisselingssysteem die ontwikkelen en gebruiken volgens de laatste ontwikkelingen van informatiebeveiliging en de bescherming van persoonsgegevens. De zorgaanbieder moet kunnen verantwoorden waarvoor en hoe de systemen worden gebruikt en hoe ze ingericht zijn. Opvallend is dat het Besluit de verwerkingsverantwoordelijke aanstelt als verantwoordelijke partij, waar de AVG deze verantwoordelijkheid ook bij de verwerker neerlegt.
Meldplicht vervangen door registerplicht
Het Besluit bepaalt dat de verantwoordelijke voor de verwerking van persoonsgegevens melding moet doen van de verwerking bij de Autoriteit Persoonsgegevens. Met ingang van de AVG vervalt deze meldplicht alleen. De meldplicht wordt vervangen door een registerplicht. Hiervoor dient een register bijgehouden te worden met de verwerkingsactiviteiten die onder zijn verantwoordelijkheid vallen. Dit is ook bekend als het verwerkingsregister.
Waar de AVG en het Besluit nog uitsluitsel over geven, is het wettelijke bewaartermijn voor logbestanden. Het College Bescherming Persoonsgegevens heeft tot uiterlijk 1 juli 2018 om hierover een besluit te nemen. Het vastleggen van loggegevens gedurende dezelfde termijn als de wettelijke bewaartermijnen (bijvoorbeeld 15 jaar bij een zorgdossier), wordt op dit moment gezien als onhaalbaar: het zal een grote hoeveelheid opslagruimte verlangen.
Zoals zoveel wet- en regelgeving moet uit de praktijk blijken welke regels leidend zijn. Ook zullen veel eisen gesteld door de AVG dus al door u als zorgaanbieder doorgevoerd moeten zijn. Hoe ver bent u met het doorvoeren van de regels?
Wilt u de hele whitepaper lezen? Of wilt u meer informatie over het Besluit, de AVG of het voeren van een gecertificeerd informatiebeveiligingsbeleid? Neem dan contact met ons op!