Uitwisseling Medische gegevens

Doordat er in de zorg steeds meer gegevens van personen worden verwerkt en met steeds meer partijen in de zorgketen worden gedeeld, neemt het risico op beveiligingsincidenten toe. Daarbij wordt wet- en regelgeving op dit gebied steeds strakker.

Met de komst van de AVG zullen niet alleen de nieuwe verplichtingen en regels voor het verwerken van medische gegevens gelden. De bestaande regels zoals de WGBO en Wkkgz zullen gewoon blijven gelden voor zorgaanbieders en andere stakeholders die bijzondere persoonsgegevens uitwisselen en verwerken. Als zorgaanbieder bent u verantwoordelijk voor het treffen van voldoende maatregelen om medische gegevens goed te beveiligen.

Privacy & Security

Op grond van de AVG / GDPR en de reeds geldende wet- en regelgeving dient u medische gegevens altijd goed te beveiligen.

We geven u graag meer tips voor de privacy en security van bijzondere persoonsgegevens.

 1. Zorg dat uw beveiligingsmaatregelen up-to-date zijn.
 2. Zorg dat u inzichtelijk hebt welke persoonsgegevens binnen uw organisatie worden verwerkt, hoe die worden verwerkt en voor welk doel die worden verwerkt.
 3. Zorg dat u op de juiste wijze autorisaties voor toegang tot persoonsgegevens heeft vastgelegd.
 4. Informeer uw medewerkers over het belang van een passende beveiliging van persoonsgegevens en welke rol zij hierbij spelen.
 5. Maak afspraken, intern en ook met uw bewerkers, over het voorkomen en herstellen van beveiligingsincidenten en datalekken.
 6. Leg afspraken met uw bewerkers vast in een bewerkersovereenkomst.
 7. Maak een draaiboek voor het moment dat zich een beveiligingsincident of datalek voordoet.

Heeft u vragen over de privacy en security van bijzondere persoonsgegevens?

Raadpleeg onze F.A.Q.

AVG vs bestaande wetten

De komst van de AVG zal de Wpb vervangen, maar de rest van de bestaande regels omtrent het werken met toestemming van de patiënt blijven gewoon gelden. Ook de huidige regels omtrent het medisch beroepsgeheim zullen naast de AVG blijven bestaan. De volgende wet- en regelgeving blijven met de komst van de AVG van kracht:

 • Wet op de geneeskundige behandelingsovereenkomst (WGBO);
 • Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
 • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
 • Zorgverzekeringswet (Zvw);
 • Wet marktordening gezondheidszorg (Wmg);
 • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Heeft u behoefte aan meer kennis over de huidige en nieuwe privacywet- en regelgeving?

Bekijk onze trainingen en workshops.

Thema's Medische Gegevens

Bewerkersovereenkomst

U dient een bewerkersovereenkomst te sluiten op het moment dat u een bewerker inschakelt. In een bewerkersovereenkomst worden onder meer afspraken gemaakt over de beveiligingsmaatregelen die de bewerker moet treffen en onder welke voorwaarden de bewerker de persoonsgegevens verder mag verwerken. Lees verder

Materiële Controles

Onder meer voor de afhandeling van DBC ’s en materiële controles mogen persoonsgegevens, waaronder medische gegevens door zorgverzekeraars ingezien worden. Lees verder

Informatieplicht

De Algemene Verordening Gegevensbescherming legt aan de verwerkingsverantwoordelijke de plicht op om betrokkenen in een beknopte, transparante, begrijpelijke en makkelijk toegankelijke vorm en in duidelijke te informeren over de verwerking van persoonsgegevens. Lees meer

De Bewerkersovereenkomst

De kracht van een goede bewerkersovereenkomst

In een bewerkersovereenkomst worden onder meer afspraken gemaakt over de beveiligingsmaatregelen en de verwerkingsvoorwaarden waaraan de bewerker zich dient te houden.

Wanneer u als zorgaanbieder een bewerker inschakelt, moet u ervoor zorgen dat de bewerker voldoende waarborgen biedt voor de beveiliging, bijvoorbeeld door te laten zien welke beveiligingsmaatregelen de bewerker treft en hoe hij deze onderhoudt.

De verantwoordelijke moet ook monitoren of de bewerker de besproken maatregelen naleeft. Dit kan door bijvoorbeeld een auditmogelijkheid op te nemen in de bewerkersovereenkomst. In de praktijk is niet altijd even duidelijk wie de verantwoordelijke en wie de bewerker is ten aanzien van bepaalde verwerkingen van persoonsgegevens. Probeer dit zo goed mogelijk in kaart te brengen. Pas dan kun je bepalen of, en zo ja met wie, je een bewerkersovereenkomst moet sluiten.

Tips voor een goede bewerkersovereenkomst

U doet er goed aan om in uw organisatie te inventariseren of en welke afspraken zijn gemaakt met bewerkers. Waar moet u zeker op letten bij het aangaan van een bewerkersovereenkomst?

Maak in ieder geval afspraken over:

 • het soort persoonsgegevens dat verzameld wordt;
 • met welk doel de persoonsgegevens worden verwerkt;
 • de duur van de verwerking van de persoonsgegevens;
 • de beveiligingsmaatregelen die genomen moeten worden, bijvoorbeeld NEN 7510 certificering of ISO 270001;
 • een auditmogelijkheid om de naleving door de bewerker te kunnen controleren;
 • een geheimhoudingsplicht voor de bewerker en het personeel;
 • de handelwijze wanneer zich een datalek voordoet;
 • de verwerking van de persoonsgegevens buiten de EU (verbod om dit zonder toestemming te doen);
 • de inzet van sub-bewerkers (verbod om dit zonder toestemming te doen).

Heeft u hulp nodig bij het opstellen van een bewerkersovereenkomst? Wij ondersteunen u graag.

Neem contact op

Starterskit Privacy in de Zorg

2 in 1 : Workshop & Nul-meting


Meer info

Materiële Controles

Enerzijds financieren zorgverzekeraars de door zorgaanbieders geleverde zorg terwijl ze ook een controlerende taak hebben.

Als het gaat om de rechtmatigheid en de doelmatigheid van de geleverde zorg hebben zorgverzekeraars een controlerende taak. Met name waar het gaat om die controlerende taak kan het zijn dat de werkzaamheden die zorgverzekeraars uitvoeren op gespannen voet staan met de bescherming van de privacy van patiënten.

Lees meer over Materiële Controles

Informatieplicht en AVG

De bedoeling van deze regeling in de AVG is patiënten meer inzage en vervolgens ook zeggenschap te geven over de verwerking van hun gegevens.

Zorgaanbieders zijn verplicht hun patiënten te informeren over de gegevens die zij over hen verwerken, voor welk doel dat gebeurt, in voorkomend geval ook wie mogelijke ontvangers van deze gegevens zijn.

Lees meer over Informatieplicht en AVG

F.A.Q.

Mag ik als zorgverlener gegevens van patiënten aan een extern onderzoeksbureau verstrekken voor kwaliteitsonderzoek?

De Wet cliëntenrechten zorg (WCZ) verplicht zorgaanbieders om informatie te geven over hun kwaliteit. Deze informatie is via een publieke website toegankelijk voor patiënten en zorgverzekeraars. Wilt u onderzoek laten doen naar de kwaliteit van uw zorgverlening? Dan kunt u hiervoor onder strikte voorwaarden een extern onderzoeksbureau inschakelen.

U besteedt de verwerking van de gegevens van uw patiënten dan uit. Dat betekent dat u een zogeheten bewerkersovereenkomst moet afsluiten met het bureau.

Bewerkersovereenkomst
Het onderzoeksbureau is uw bewerker. Dat houdt in dat het bureau in opdracht van u persoonsgegevens verwerkt. U moet daarom een schriftelijke overeenkomst afsluiten met het onderzoeksbureau.

Deze bewerkersovereenkomst moet specifiek ingaan op de maatregelen die het bureau treft om de gegevens van uw patiënten te beschermen. Zoals de beveiliging en de geheimhouding van de gegevens.

Uw verantwoordelijkheid
Let op: u blijft zelf verantwoordelijk voor de verwerking van de gegevens van uw patiënten. U moet erop toezien dat het onderzoeksbureau de maatregelen naleeft. En dat het bureau niet meer gegevens verwerkt dan noodzakelijk is om het kwaliteitsonderzoek uit te voeren.

Ook moet u ervoor zorgen dat het onderzoeksbureau de persoonsgegevens slechts in opdracht van u verwerkt. Het bureau mag de verkregen gegevens dus niet voor eigen gebruik inzetten of verder verwerken. Dit mag alleen als de patiënt hiervoor toestemming heeft gegeven.


bron: Autoriteit Persoonsgegevens

Wat merken mensen van wie persoonsgegevens worden verwerkt van de AVG?

Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid.

Toestemming
In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Aanvullende rechten
Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.

Zij hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.


bron: Autoriteit Persoonsgegevens

Welke rol speelt de FG bij privacy impact assessments (PIA’s)?

Niet de FG, maar de organisatie heeft de taak om een privacy impact assessment (PIA) uit te voeren als dat noodzakelijk is. De organisatie is verplicht om de FG hierbij om advies te vragen.

Advies FG
Het is aan te raden om de FG advies te vragen over:

 • de afweging om wel of niet een PIA uit te voeren;
 • de onderzoeksmethode die geschikt is voor de PIA;
 • de vraag of de organisatie de PIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
 • de waarborgen die nodig zijn om de risico’s voor betrokkenen te beperken;
 • de vraag of de uitkomsten van de PIA in overeenstemming zijn met de wet.

De organisatie moet in het rapport over de PIA opnemen wat het advies van de FG is en wat daarmee is gedaan.


bron: Autoriteit Persoonsgegevens

Is de organisatie verantwoordelijk voor wat de klant/patiënt doet met zijn gegevens?

Nee. Heeft u op verzoek van uw klant zijn persoonsgegevens verstrekt, dan bent u niet verantwoordelijk voor wat hij daarmee doet. Ook niet voor de verwerking van deze gegevens door een andere organisatie.

Let op: u bent er wel verantwoordelijk voor dat het recht op dataportabiliteit niet leidt tot datalekken. U moet een goed authenticatiemechanisme aanbieden, zodat u zeker bent van de identiteit van uw klanten/patiënten.


bron: Autoriteit Persoonsgegevens

Betekent een verzoek om dataportabiliteit dat de gegevens daarna vernietigd moet worden?

Nee, klanten mogen een verzoek indienen om dataportabiliteit zolang zij klant bij uw organisatie zijn. Dus zolang zij klant blijven, moet u de persoonsgegevens blijven verwerken voor de noodzakelijke en gerechtvaardigde doeleinden van uw organisatie.

Andere privacyrechten
Een verzoek om dataportabiliteit heeft ook geen invloed op de andere privacyrechten van uw klanten. Uw klant mag gelijktijdig zijn andere privacyrechten uitoefenen zolang hij klant bij u is, zoals het recht op inzage, correctie of verwijdering van persoonsgegevens.

U moet al deze rechten respecteren zonder dat u een verzoek om dataportabiliteit mag vertragen, omdat de klant misschien nog een ander verzoek heeft gedaan.


bron: Autoriteit Persoonsgegevens

Wie is de verantwoordelijke en wie de betrokkene bij het verwerken van persoonsgegevens?

De verantwoordelijke is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. De verantwoordelijke kan dit alleen doen of samen met anderen. Het houdt in dat de verantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:

 • om welke verwerking het gaat;
 • welke persoonsgegevens de organisatie hierbij verwerkt;voor welk doel de organisatie dit doet;
 • op welke manier de organisatie dit doet.

De betrokkene is degene van wie een organisatie persoonsgegevens verwerkt. Dit is dus degene op wie de persoonsgegevens betrekking hebben.


bron: Autoriteit Persoonsgegevens

Wie is de bewerker bij het verwerken van persoonsgegevens?

Een bewerker is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. Bijvoorbeeld een administratiekantoor.

Een bewerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. Maar de bewerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.


bron: Autoriteit Persoonsgegevens

Welke belangrijkste veranderingen voor organisaties brengt de AVG?

Als de algemene verordening gegevensbescherming (AVG) van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability).
Documentatieplicht
Organisaties hebben daarom een documentatieplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.
Hulp bij naleving wet
Maar de AVG biedt organisaties tegelijkertijd meer instrumenten die hen helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor de relatie tussen de verantwoordelijke en de verwerker (in de Wbp heet dit de bewerker) en voor doorgifte van persoonsgegevens.

Veranderingen per 25 mei 2018
Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:


bron: Autoriteit Persoonsgegevens

Binnen welke termijn moet ik reageren op een verzoek om dataportabiliteit?

U moet de gevraagde persoonsgegevens zo snel mogelijk beschikbaar stellen, in ieder geval binnen een maand.

Complexe verzoeken
Bij complexe verzoeken heeft u maximaal drie maanden de tijd, maar dan moet u de reden voor deze vertraging wel binnen een maand aan uw klant laten weten.

Verzoek weigeren
Wilt u een verzoek weigeren? Dan moet u binnen een maand aan uw klant laten weten waarom u het verzoek weigert. En hem erop wijzen dat hij een klacht kan indienen bij de Autoriteit Persoonsgegevens of juridische hulp kan zoeken.


bron: Autoriteit Persoonsgegevens

Handleiding voor verwerkers van persoonsgegevens

Download de handleiding voor verwerkers van persoonsgegevens voor professionals.

Download handleiding
Wat houdt verwerken van persoonsgegevens in?

Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen.
Dit is dus een zeer ruim begrip. Handelingen die er volgens de Wet bescherming persoonsgegevens (Wbp) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.


bron: Autoriteit Persoonsgegevens

Wat moet ik als organisatie doen als ik een verzoek krijg om gegevens te wissen?

Zodra de Algemene verordening gegevensbescherming (AVG) geldt, hebben betrokkenen (degenen van wie u gegevens verwerkt) het recht op vergetelheid. Vraagt iemand u op grond van dit recht om zijn gegevens te wissen? Dan moet u dat onmiddellijk doen, uiterlijk binnen een maand. Alleen als het om een heel complex verzoek gaat, heeft u twee maanden extra de tijd. U moet dan wel binnen een maand aan de betrokkene laten weten dat het langer gaat duren.

Manier van reageren
Als een betrokkene het verzoek elektronisch indient, moet u ook elektronisch reageren. Tenzij de betrokkene u vraagt om op een andere manier te reageren.

Kosten
U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is (veelvuldig herhaalde verzoeken van één persoon)? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

Derde partijen informeren
Heeft u de betreffende persoonsgegevens aan derde partijen verstrekt? Dan moet u die ontvangers informeren dat u deze persoonsgegevens heeft gewist. En uitleggen dat ook de ontvangers iedere kopie van of koppeling naar die persoonsgegevens moeten wissen.

Publiceert u bijvoorbeeld persoonsgegevens via een website? Dan moet u zoekmachines informeren. U kunt daarbij de webpagina opnieuw laten indexeren, zodat de gewiste persoonsgegevens niet meer verschijnen in de zoekresultaten.

Als een betrokkene erom vraagt, moet u ook vertellen welke ontvangers u op die manier heeft geïnformeerd (artikel 19 van de AVG).

bron: Autoriteit Persoonsgegevens

Welke gegevens moet ik straks aan mijn klanten/patiënten verstrekken?

U moet alle persoonsgegevens beschikbaar stellen die uw klanten/patiënten aan u hebben verstrekt. Maar dit moet u ruim opvatten. Het gaat hierbij niet alleen om gegevens die klanten/patiënten actief en bewust aan u hebben verstrekt, zoals de accountgegevens (e-mailadres, gebruikersnaam, leeftijd etc.) die zij op een online formulier hebben ingevuld.

Het gaat ook om de gegevens die klanten/patiënten aan u hebben ‘verstrekt’ door uw dienst of apparaat te gebruiken. Bijvoorbeeld de zoekgeschiedenis of locatiegegevens van uw klanten/patiënten. Of andere (ruwe) data als de hartslag die via een fitnesstracker is vastgelegd.

Afgeleide gegevens
U hoeft bij een verzoek om dataportabiliteit géén afgeleide gegevens te verstrekken, dat wil zeggen gegevens die u zelf heeft gegenereerd door bijvoorbeeld data-analyse. Zoals een kredietscore of een profiel dat u van een klant/patiënt heeft opgesteld.

Let op: deze gegevens moet u bij een inzageverzoek wél verstrekken.


bron: Autoriteit Persoonsgegevens

Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?

Nee. U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

Beleidsregels meldplicht datalekken
De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens kunnen u helpen om te bepalen of sprake is van ernstige nadelige gevolgen.

Welke bijzondere persoonsgegevens zijn er?

Bijzondere persoonsgegevens zijn gegevens over iemands:

 • godsdienst of levensovertuiging;
 • ras;
 • politieke voorkeur;
 • gezondheid;
 • seksuele leven;
 • lidmaatschap van een vakbond;
 • strafrechtelijk verleden.

Ook het burgerservicenummer (BSN) is een bijzonder persoonsgegeven, omdat het een uniek en tot de persoon herleidbaar nummer is.

Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is.


bron: Autoriteit Persoonsgegevens

Moet de FG bijhouden welke gegevens mijn organisatie verwerkt?

U bent er als organisatie verantwoordelijk voor om overzicht te houden van de gegevensverwerkingen binnen uw organisatie. De FG heeft deze verantwoordelijkheid niet.

Maar in de praktijk houden FG’s al vaak een lijst bij van de gegevensverwerkingen. Vooral bij risicovolle verwerkingen. Hoewel deze taak niet tot de wettelijke taken van de FG behoort, kunt u ervoor kiezen deze taak bij de FG onder te brengen.


bron: Autoriteit Persoonsgegevens

Wat te doen bij ontvangst van gegevens van een nieuwe klant/patiënt?

Ontvangt u gegevens van een nieuwe klant/ patiënt? Die deze heeft opgevraagd bij een andere organisatie en vervolgens aan u heeft doorgegeven? Dan moet u goed kijken welke van deze gegevens noodzakelijk zijn voor het doel van uw gegevensverwerking. Alle andere gegevens moet u zo snel mogelijk vernietigen.

Informatie over noodzakelijke gegevens
Het is aan te raden dat u vooraf duidelijke informatie geeft aan nieuwe klanten over welke gegevens noodzakelijk zijn voor de dienst die u biedt. Op die manier kunnen klanten/patiënten een bewuste keuze maken welke gegevens zij aan u overdragen.

Hiermee verkleint u het risico dat uw nieuwe klanten/patiënten gegevens verspreiden van zichzelf en/of anderen terwijl dat niet nodig is.


bron: Autoriteit Persoonsgegevens

Welke gegevens vallen onder het recht op dataportabiliteit?

Ten eerste gaat het alleen om digitale gegevens. Papieren dossiers vallen er dus niet onder. Ten tweede gaat het om persoonsgegevens die een organisatie óf met toestemming van de betrokkene verwerkt óf om een overeenkomst met de betrokkene uit te voeren.

Onder gegevens die een organisatie verwerkt om een overeenkomst uit te voeren, vallen bijvoorbeeld ook de titels van boeken die iemand in een webwinkel heeft gekocht of de liedjes die diegene heeft beluisterd via een muziekstreamingdienst.


bron: Autoriteit Persoonsgegevens

Publicaties Privacy medische gegevens

Tips Privacy | Wat u echt móet weten van de AVG

30 August 2017

De Algemene Verordening Gegevensbescherming (AVG) treedt al op 25 mei 2018 in werking. Maar nog stee…

Tips Privacy | Hoe laat ik mijn organisatie privacy ademen?

03 April 2017

Bescherming van de privacy van patiënten, hoe zorg je daar nou voor? Wet- en regelgeving geeft een …

Blog Privacy | Awareness in de zorg over privacy is ondermaats

01 May 2017

Op uitnodiging van Computable was ik één van de vijf experts om mee te doen aan een paneldiscussi…

De AVG deskundig implementeren in uw organisatie?

De combinatie van juridische expertise en zorgkennis maakt ons dé businesspartner voor instellingen, ondernemingen en gemeenten werkzaam binnen het zorgdomein! Om de mogelijkheden voor uw organisatie te bespreken kunt u contact opnemen voor een vrijblijvende kennismaking. Wij kijken er naar uit om u en uw organisatie verder te helpen.

Neem contact op

Gerelateerde expertise

©2021 Cure4 |

Cure4 is onderdeel van Tenzinger B.V. | Disclaimer
Contact