Een nieuw jaar, een nieuwe focus!

In ons artikel “Gemeenten zo lek als een mandje?” stond het thema datalekken centraal en hoe je als zorgaanbieder het risico op een datalek verlaagd. Nu heeft de Autoriteit Persoonsgegevens (“AP”) de meldplicht datalekken en andere belangrijke punten als prioriteit op de agenda gezet. Wat kun je als zorgaanbieder nu verwachten?

Agenda AP

AVG, profiling, zorgportalen, bijzondere persoonsgegevens, meldplicht datalekken; zomaar een greep uit de prioriteitenagenda van de AP voor het komend jaar. De AP heeft op 27 januari 2017 de agenda gepubliceerd met thema’s waar zorgaanbieders het komende jaar zich op zullen moeten gaan richten. En gezien de hoeveelheid en complexiteit van deze punten moeten we dit jaar echt aan de bak, maar dan ook écht.

Belangrijk! De Algemene Verordening Gegevensbescherming komt er aan.

De AP zal zich in eerste instantie bezighouden met het vervullen van een informatieve rol voor wat betreft de nieuwe Algemene Verordening Gegevensbescherming (“AVG”), die in mei 2018 in werking zal treden. Daarnaast zal de focus van de AP liggen op profiling, bijzondere persoonsgegevens en de beveiliging van persoonsgegevens. Voor zorgaanbieders en overheden met een zorgtaak is het van belang dat deze thema’s in het jaar 2017 op orde worden gebracht en de juiste voorbereidingen worden getroffen voordat de AVG in 2018 in werking treedt.

Wat betekent dit voor u als zorgaanbieder?

De focus van zorgaanbieders die serieus werk willen maken van privacy en security van persoonsgegevens ziet er als volgt uit :

  • De AVG

De zorg zal met de inwerkingtreding van de AVG in 2018 te maken krijgen met meer verplichtingen rondom privacy. De AP zal om te beginnen mensen meer gaan informeren over de nieuwe wetgeving. Dat betekent dat patiënten, cliënten en burgers in het algemeen zich bewuster zullen worden van hun rechten rondom de verwerking van hun persoonsgegevens. Zij zullen daardoor vaker met vragen en verzoeken kunnen komen rondom gegevens die van hen worden verwerkt. Zo kunnen zij inzage vragen in hun dossier of verzoeken bepaalde registraties te wijzigen of te verwijderen.

Goed om te weten | zorgaanbieders doen er daarom goed aan op de hoogte te zijn van de rechten van patiënten en cliënten, maar hier ook processen voor in te richten, zodat zij niet voor verrassingen komen te staan op het moment dat zich dergelijke verzoeken aandienen. Heeft u bijvoorbeeld een procedure vastliggen waar verzoeken van patiënten kunnen worden ingediend, wie over deze verzoeken beslist en hoe patiënten over deze procedure worden geïnformeerd?

  • Transparantie bij profiling

Met profiling worden (persoons)gegevens verzameld, geanalyseerd en gecombineerd met als doel iemand in te delen in een bepaalde categorie. Hiermee kan een organisatie het gedrag van mensen voorspellen en zodoende (risico)profielen aanmaken en eventueel hierop beoordelen. Voor zorgaanbieders geldt daarom dat, indien zij profielen opstellen van patiënten of cliënten, bijvoorbeeld in het kader van de verbetering van bepaalde zorgtrajecten, zij hierover transparant moeten zijn.

Goed om te weten | voordat profiling überhaupt wordt ingezet, zullen zorgaanbieders allereerst rekening moeten houden met het feit dat het verwerken van bijzondere persoonsgegevens, zoals gegevens omtrent de gezondheid van mensen, in beginsel niet is toegestaan, tenzij hiervoor een wettelijke uitzondering geldt. Zorgaanbieders zullen dus moeten onderzoeken en overwegen of profiling wel is toegestaan en met welk doel profiling zal worden ingezet vóórdat hiervan gebruik wordt gemaakt.

  • Bijzondere persoonsgegevens

Zoals hiervoor aangegeven is het verwerken van bijzondere gegevens niet toegestaan, tenzij hiervoor dus een wettelijke grondslag bestaat. De AP geeft in de agenda voor 2017 aan dat er signalen zijn dat er in toenemende mate bijzondere persoonsgegevens worden verwerkt. De AP zal haar focus gaan leggen op de handhaving van het verbod op verwerking van bijzondere persoonsgegevens en gaan controleren of deze verwerkingen gebeuren binnen het kader dat de wet uitdrukkelijk toestaat.

Goed om te weten | het is voor zorgaanbieders van groot belang verwerkingen van de bijzondere persoonsgegevens die binnen de organisatie plaatsvinden, inzichtelijk te maken en vast te leggen wat hiervan de wettelijke grondslag is. Alle verwerkingen van bijzondere persoonsgegevens waarvoor geen wettelijke grondslag kan worden bepaald, zullen moeten worden gestaakt. Gebeurt dit niet, dan riskeert de zorgaanbieder een boete.

  • Beveiliging

De AP constateert dat nieuwe technologieën nieuwe mogelijkheden met zich brengen. De uitdaging ligt hierbij in het toepassen van deze nieuwe mogelijkheden voor de bescherming van persoonsgegevens. Bijvoorbeeld door bij het ontwerpen van nieuwe diensten al rekening te houden met het effect dat deze diensten zullen hebben op de privacy (Privacy by Design en Privacy by Default).

Goed om te weten | zorgaanbieders zullen bij het toepassen van nieuwe technologieën dus:

  • rekening moeten houden met de effecten die deze nieuwe technologieën hebben op de bescherming van persoonsgegevens;
  • moeten nadenken over hoe de nieuwe technologieën ingezet kunnen worden in het kader van de beveiliging van de persoonsgegevens, zodat de inbreukrisico’s verkleind kunnen worden;
  • vooral in gedachten moeten houden dat zij bijzondere persoonsgegevens verwerken, die uitsluitend met een wettelijke grondslag mogen worden verwerkt en die extra zorgvuldig moeten worden beveiligd.
  • Grip op eigen gegevens middels zorgportalen

De AP constateert verder dat steeds meer organisaties zogenaamde ‘klantportalen’ inrichten. Iets wat wij in de praktijk ook steeds meer zien opkomen bij zorgaanbieders. Deze klantportalen kunnen gebruiksvriendelijk zijn, voordelen met zich brengen, maar vooral ook risico’s creëren. Persoonsgegevens zijn op deze wijze immers vrij eenvoudig toegankelijk en daarmee ligt de drempel voor onbevoegde inzage ook een stuk lager.

Goed om te weten | de AP adviseert deze klantportalen in ieder geval te beveiligen met een ‘twee-factorauthenticatie’. Een beveiligingsmethode die voor zorgaanbieders als standaardmaatregel zou moeten worden ingezet wanneer toegang wordt gegeven tot bijzondere persoonsgegevens.

  • En natuurlijk de meldplicht datalekken

Tot slot blijft de AP toezicht houden op de naleving van de meldplicht datalekken, die sinds 1 januari 2016 van kracht is. Inmiddels is het fenomeen datalekken een verschijnsel dat als bekend mag worden verondersteld. Voor zorgaanbieders is het van belang dat zij mogelijke datalekken op tijd weten te herkennen binnen de organisatie en hun organisatie daar zo op hebben ingericht dat zij deze ook op tijd bij de AP, en zo nodig bij cliënten of patiënten, kunnen melden.

Goed om te weten | omdat zorgaanbieders bijzondere persoonsgegevens verwerken, zal er eerder sprake zijn van ongunstige gevolgen voor de persoonlijke levenssfeer van patiënten of cliënten bij een datalek. Wordt een datalek geconstateerd, dan zal hiermee rekening moeten worden gehouden en volgens de geldende richtlijnen gehandeld worden.

Kortom, een goed privacybeleid komt niet vanzelf aanwaaien

Met deze agenda is het duidelijk waar de focus van de AP het komende jaar zal liggen. Juist omdat zorgaanbieders met de verwerking van gezondheidsgegevens bijzondere persoonsgegevens verwerken, is het van groot belang dat zorgaanbieders deze thema’s ook zelf op de agenda te zetten. Alvast de nodige voorbereidingen treffen in aanloop naar de inwerkingtreding van de AVG in 2018 is absoluut aan te raden.

Heeft u vragen naar aanleiding van de agenda van de AP of hoe u hier binnen uw organisatie mee om kunt gaan? Neem dan gerust contact met ons op.

©2018 Cure4 |

Nieuwsbrief | Disclaimer | Privacy Statement | Website | Cure4 Legal | Website | Cure4 AFAS | Website | Cure4 Zorgadministratie | Website | Cure4 Finance & Control
Contact