AVG Helpdesk

Maak inzichtelijk in hoeverre de AVG is geïmplementeerd in de organisatie

Als zorgaanbieder ben je verplicht om de verwerking van persoonsgegevens in uw organisatie volgens de eisen van de AVG te organiseren. Als het goed is heeft er een degelijke voorbereiding plaatsgevonden en is nu inzichtelijk gemaakt welke maatregelen nodig zijn om te voldoen aan de AVG.

Het is nu zaak om deze maatregelen stapsgewijs en op een juiste manier in de organisatie te implementeren en te borgen.

Wij helpen je hier graag bij. Op deze pagina tref je de belangrijkste informatie en tips om de AVG zo goed mogelijk te implementeren in je organisatie.

Hoe implementeer je de AVG op een goede manier?

  • Stel een projectteam bestaande uit afgevaardigden vanuit diverse afdelingen voor de nodige ondersteuning en kennis.
  • Zorg voor een heldere plan van aanpak met een duidelijke verdeling van taken, bevoegdheden en verantwoordelijkheden.
  • Implementeer samen met de FG of Privacy Officer stapsgewijs de belangrijkste maatregelen.

Is er nog geen FG of een Privacy Officer aangesteld? Wij helpen jouw organisatie bij de implementatie van de AVG en andere belangrijke wet- en regelgeving rondom kwaliteit, financiering en patientenrecht.

Meer over onze legal consultants

Kies een AVG thema

Wettelijke grondslagen AVG

Voor de verwerking van persoonsgegevens dient er altijd een wettelijke grondslag aanwezig te zijn. Uw moet aan tenminste aan één van de grondslagen voldoen. Lees verder

Privacyrechten betrokkenen

Onder de AVG krijgen betrokkenen meer en verbeterde privacyrechten. U dient ervoor te zorgen dat de mensen van wie u persoonsgegevens verwerkt, hun privacyrechten goed kunnen uitoefenen. Lees verder

Beginselen AVG

Als verantwoordelijke heeft u in de AVG een aantal belangrijke verplichtingen zoals het aanstellen van een FG. Lees verder

Functionaris Gegevensbescherming

Zorgaanbieders zijn vanaf 25 mei 2018 verplicht een FG aan te stellen. Lees verder

Privacy Impact Assessments

Zorgaanbieders zijn in 2018 ook verplicht de privacyrisico’s van een gegevensverwerking in kaart te brengen. Lees verder

Recht op Dataportabilliteit

Betrokkenen hebben het recht om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Lees verder

Register verwerkingsactiviteiten

Met de komst van AVG dienen alle verwerkingsactiviteiten in een register opgenomen te worden. Het bijhouden van de register is in bepaalde verplicht voor alle zorgaanbieders. Lees verder

Recht op Vergetelheid

Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt. Lees verder

Informatieplicht AVG

Zorgaanbieders zijn verplicht hun patiënten te informeren over de gegevens die zij over hen verwerken. Hierdoor krijgen patiënten meer inzage en vervolgens ook zeggenschap over de verwerking van hun gegevens. Lees verder

Privacy by default & design

Artikel 25 AVG stelt dat technische en organisatorische maatregelen genomen moeten worden gedurende het gehele proces van het verwerken van persoonsgegevens. Lees verder

Hoe staat het met de privacy van persoonsgegevens in uw organisatie?

Doe de Privacy Check

Wettelijke grondslagen AVG

Voor de verwerking van persoonsgegevens dient er altijd een wettelijke grondslag (artikel 6 lid 1 AVG) aanwezig te zijn. Uw moet aan tenminste aan één van de volgende grondslagen voldoen:

  • De betrokkene heeft toestemming gegeven voor de verwerking.
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting.
  • De verwerking dient de vitale belangen van de betrokkene.
  • De verwerking dient het algemeen belang.
  • De verwerking dient het gerechtvaardigd belang.


De AVG stelt dat de overheid het gerechtvaardigd belang niet meer mag gebruiken bij uitoefening van haar publieke taken. Belangrijk om niet te vergeten is dat uw cliënt/patiënt bezwaar mag maken bij de grondslag gerechtvaardigd belang. Ook wanneer de verwerking plaatsvindt op basis van een publieke taak (artikel 21 AVG). Na een dergelijk bezwaar volgt (opnieuw) een belangenafweging, maar dan op basis van de informatie van het individuele geval.

In de F.AQ. treft u meer toelichting per grondslag.

Privacyrechten betrokkenen

U dient als verwerkingsverantwoordelijke ervoor te zorgen dat de betrokkenen van wie u persoonsgegevens verwerkt, hun privacyrechten goed kunnen uitoefenen. In de AVG zijn naast twee belangrijke rechten voor betrokkene opgenomen; recht op vergetelheid en recht op dataportabiliteit. 

Met deze rechten kunnen betrokkene onder andere eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen. Ook moeten betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Overzicht van alle privacyrechten van betrokkenen treft u in de F.A.Q


Beginselen AVG

De verwerking van persoonsgegevens moeten volgens de AVG onder andere voldoen aan de volgende beginselen:

  1. Rechtmatigheid, behoorlijkheid en transparantie;
  2. Doelspecificatie en doelbinding;
  3. Dataminimalisatie;
  4. Kwaliteit van data;
  5. Beperkte bewaartermijn;
  6. Integriteit en vertrouwelijkheid;
  7. Accountability (verantwoordingsplicht).

Uit deze beginselen komen voor u als de verwerkingsverantwoordelijke bepaalde verplichtingen voort. U dient als zorgaanbieder onder andere te voldoen aan de volgende verplichtingen.

Naar uitleg van de beginselen

Functionaris Gegevensbescherming

U bent als zorgaanbieder verplicht een Functionaris Gegevensbescherming (FG) aan te stellen.

De FG is een sleutelfiguur binnen de organisatie als het gaat om het toepassen en naleven van de AVG. De FG is echter niet verantwoordelijk voor de naleving van de regels op het gebied van gegevensbescherming. Dat is de zorgaanbieder of andere organisatie die persoonsgegevens verwerkt zelf.Een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.

De AVG stelt in een drietal gevallen de aanstelling van een FG verplicht:

1. Overheden, publieke organisaties en zorginstellingen
Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Dit geldt dus ook voor zorginstellingen en gemeenten.

2. Observatie
De verplichting geldt ook voor organisaties actief in de zorg die vanuit de hun primaire processen op grote schaal patiënten volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen en monitoring van iemands gezondheid.

3. Bijzondere persoonsgegevens
Ook organisaties die op grote schaal ‘bijzondere persoonsgegevens’ verwerken moeten een FG benoemen. Het gaat hierbij dan om gegevens over iemands gezondheid. Dat betekent dat zorgaanbieders,


De AVG beschrijft daarbij nauwkeurig aan welke eisen de FG dient te voldoen en waar de FG binnen de organisatie moet zijn gepositioneerd.

Hij dient daarbij onafhankelijk zijn werkzaamheden te kunnen uitoefenen. Ook op het moment dat u niet verplicht bent om een FG aan te stellen, kan het verstandig zijn een functionaris met deze taken in uw organisatie te benoemen. Om verwarring te voorkomen, is het verstandig die functionaris niet aan te duiden als FG, maar bijvoorbeeld aan te duiden als “privacy functionaris”. Dan is duidelijk dat op die functionaris niet de eisen van de AVG van toepassing zijn.

Een FG kan ook op grond van een servicecontract door een organisatie buiten de organisatie van de verantwoordelijke (de zorgaanbieder zelf) worden ingevuld. Op basis van een dergelijk servicecontract kan de externe organisatie met verschillende functionarissen met ieder hun eigen expertise gezamenlijk als een team de rol van FG invullen. Binnen dit team fungeert één persoon als hoofdcontactpersoon.

Wilt u meer weten over welke eisen nog meer gelden voor het aanstellen van een Functionaris Gegevensbescherming in uw organisatie?

Lees meer over de rol van de FG

Privacy Impact Assessments

Het kan zijn dat u als zorgaanbieder verplicht bent om een privacy impact assessment (PIA) uit te voeren

Met een PIA worden de privacyrisico’s in kaart gebracht op een gegevensverwerking. Op basis van de uitkomsten van de PIA neemt de zorgaanbieder vervolgens de nodige maatregelen om deze risico’s te verkleinen.

Een PIA hoeft niet voor alle gegevensverwerkingen te worden uitgevoerd. Dit is enkel nodig op het moment dat de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Hiervan is in ieder geval sprake op het moment dat op grote schaal bijzondere persoonsgegevens worden verwerkt.

Omdat gegevens betreffende de gezondheid zijn aangemerkt als bijzondere persoonsgegevens in de AVG, zullen zorgaanbieders in ieder geval op gegevensverwerkingen waarbij op grote schaal gezondheidsgegevens worden verwerkt, een PIA uit moeten voeren.

De werkgroep van Europese privacytoezichthouders (WP 29) heeft criteria opgesteld om het risico te bepalen.Daarnaast zal de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen publiceren waarvoor een PIA verplicht is.

Op het moment dat u vaststelt dat u niet verplicht bent een PIA uit te voeren, kan het toch verstandig zijn er een uit te voeren.

Met een PIA krijgt u namelijk onder meer inzicht in de risico’s in verband met de gegevensverwerkingen binnen uw organisatie en denkt u bewust na over de impact hiervan voor uw cliënten/patiënten.

Met het in kaart brengen van de doelstellingen van een bepaalde verwerking en de maatregelen die u neemt, werkt u tevens aan maatregelen die zo min mogelijk inbreuk maken op de privacy van uw cliënten/patiënten.

Neemt u hierbij overigens ook de verwerkingen in verband met uw medewerkers mee, zodat u bij de risico analyse goed inzicht verkrijgt in de gehele organisatie.

De uitvoering van een PIA kan nooit kwaad en draagt sowieso bij aan een goede invulling van uw privacybeleid.

Meer weten over het uitvoeren van een PIA voor uw organisatie?

Naar F.A.Q over P.I.A.

Recht op Dataportabiliteit

Onder de AVG hebben personen van wie persoonsgegevens worden verwerkt een belangrijk recht: het recht op dataportabiliteit.

Hiermee krijgen cliënten/patiënten van zorgaanbieders het recht om de gegevens die van hen worden verwerkt op te vragen en te ontvangen. Als zorgaanbieder dient u ervoor te zorgen dat uw cliënten/patiënten hun gegevens op een eenvoudige wijze kunnen ontvangen, zodanig dat zij deze ook door kunnen geven aan een andere organisatie/instantie of nieuwe zorgaanbieder. U zorgaanbieder, en dus verwerker van hun gegevens, mag hen hierin niet tegenwerken.

Heeft u vragen over dataportabiliteit en andere rechten van patiënten omtrent hun privacy?

Naar F.A.Q.

Register verwerkingsactiviteiten

De meldplicht vooraf een verwerking van persoonsgegevens aan de AP (art. 27 Wet bescherming persoonsgegevens) is niet meer opgenomen in de AVG.

Hierdoor dient iedere verwerkingsverantwoordelijke en verwerker een register bij te houden van de verwerkingsactiviteiten die zij uitvoeren (art. 30 en art. 30 lid 2 AVG). Dit kunnen verwerkingen zijn die een wettelijke grondslag hebben, maar ook verwerkingen waarvoor toestemming gegeven is door de betrokkene. Het register dient schriftelijk, waaronder in elektronische vorm, opgesteld te worden. Wanneer de Autoriteit Persoonsgegevens daar om vraagt, dienen zij het register ter beschikking te stellen (art. 30 lid 4 AVG).

Het bijhouden van de register met de verwerkingsactiviteiten is verplicht voor alle zorgaanbieders waarbij het waarschijnlijk is dat verwerkingen die worden verricht;

  • een risico inhoudt voor de rechten en vrijheden van de betrokken;
  • niet incidenteel is;
  • of bijzondere gegevens betreft (art. 9 lid 1 AVG);
  • of persoonsgegevens beftreft in verband met strafrechtelijke veroordelingen en strafbare feiten (art. 10 AVG)

De verwerkingsverantwoordelijke houdt o.a. de volgende gegevens in het register bij:

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen (Van wie worden persoonsgegevens verwerkt? Bijvoorbeeld van burgers, oud-werknemers, zorgbehoevenden);

De verwerker houdt de volgende gegevens in het register bij:

  • de naam en de contactgegevens van de verwerkers, van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;
  • de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing);

Meer weten over het verwerkingsregister?

Download het verwerkingsregister

Recht op vergetelheid

Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt. Dit recht lijkt op het huidige recht op correctie en verwijdering (artikel 36 van de Wet bescherming persoonsgegevens).

Maar is in de AVG breder en beperkt zich niet alleen tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens. Het recht op vergetelheid geldt trouwens niet altijd. Alleen in de volgende situaties is het recht op vergetelheid van toepassing.

De voorwaarden van het recht op vergetelheid

  • Niet meer nodig
    De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.


  • Intrekken toestemming
    De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.


  • Bezwaar
    De betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.


  • Onrechtmatige verwerking
    De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.


  • Wettelijk bepaalde bewaartermijn
    De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.


  • Kinderen
    De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).

Informatieplicht

Zorgaanbieders zijn verplicht hun patiënten te informeren over de gegevens die zij over hen verwerken, voor welk doel dat gebeurt, in voorkomend geval ook wie mogelijke ontvangers van deze gegevens zijn. Ook dient de betrokkene geïnformeerd te worden over degene van wie de gegevens zijn ontvangen, op het moment dat de zorgaanbieder deze niet zelf heeft verzameld. De bedoeling van deze regeling in de AVG is patiënten meer inzage en vervolgens ook zeggenschap te geven over de verwerking van hun gegevens.

Lees meer over de informatieplicht

Privacy by default & design

Artikel 25 AVG stelt dat technische en organisatorische maatregelen genomen moeten worden gedurende het gehele proces van het verwerken van persoonsgegevens. Het doel van deze technische en organisatorische maatregelen is om de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren. Bijvoorbeeld minimale gegevensverwerking. Daarnaast moeten de nodige waarborgen in de verwerking ingebouwd worden ter naleving van de AVG en ter bescherming van de rechten van de betrokkenen.

Bij privacy by design houdt u al tijdens het ontwerpen van producten en diensten rekening met de goede bescherming van persoonsgegevens. Bij privacy by default moet u technische en organisatorische maatregelen nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Wij raden zorgaanbieders aan om nu al te starten de gehele organisatie vertrouwd te maken met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default.

Wil je weten hoe Cure4 jouw organisatie kan ondersteunen bij de invoering van deze en andere AVG verplichtingen?

vraag het aan de expert


Heb je andere specifieke juridische uitdagingen?

Wij helpen je graag verder.

Neem contact op


Meest gestelde vragen over de AVG in één overzicht?

Raadpleeg het nu

©2020 Cure4 |

Cure4 is onderdeel van Tenzinger B.V. | Disclaimer
Contact