Nieuwsbrief

'Misverstanden over de AVG in de zorg' 
Nieuwsbrief 14 mei 2018

Zes misverstanden over de AVG in de zorg

We spreken veel zorgaanbieders over de AVG. Er zijn nogal wat misverstanden, in dit artikel bespreken we er zes. Deze misverstanden zijn:

Misverstand 1. De boete die de Autoriteit Persoonsgegevens (AP) kan opleggen is maximaal 4% van de omzet.
Dit is een veelgehoord misverstand. De boete die de AP kan opleggen bedraagt maximaal € 20 miljoen, of als dat meer is, 4% van de omzet. 

Misverstand 2. Ik loop amper risico als ik de AVG nog niet heb ingevoerd in mijn praktijk of instelling, de AP zal nog geen boetes opleggen.
Het risico dat de AP een berisping of een boete oplegt is slechts een van de risico's die de zorgaanbieder loopt. Maar pas op, er zijn wel degelijk andere risico’s als u niet aan de AVG voldoet.

  • Uw cliënten, medewerkers en patiënten kunnen van u eisen dat u hen informeert over hun rechten en uw plichten uit de AVG, welke gegevens worden opgeslagen, aan wie worden deze verstrekt enz. Zij kunnen melding doen bij de AP, die dan vervolgens op moet treden!
  • Uw reputatie staat op het spel. Er gaat iets mis op privacy gebied:  perspublicaties of social media berichten zorgen voor een slechte reputatie van uw praktijk of instelling.
  • U loopt een aansprakelijkheidsrisico, u komt simpelweg de wet niet na waardoor u onrechtmatig handelt. Ook als bestuurder of toezichthouder kunt u aansprakelijk worden gesteld.
  • Zorgverzekeraars, zorgkantoren en gemeenten stellen als voorwaarde in de aanbesteding dat u zich houdt aan de AVG.
  • De IGJ kan eventueel optreden als de AP dit niet doet blijkt uit het samenwerkingsgprotocol dat IGJ en de Ap hebben gesloten.

Misverstand 3. Ik koop een aantal modellen en voer de AVG in twee uurtjes in.
Zorg Zaken Groep maakt de AVG niet groter dan het is, maar ook niet kleiner. Er moet echt wel iets gebeuren om de privacy in een praktijk of instelling goed in te voeren. Er zijn immers ook veel rechten voor de betrokkenen en u moet meer zelf doen. Daarom hebben we juist ook een workshop van één dag ontwikkeld. Hierin ontvangt de deelnemer alle modellen die nodig zijn in de zorg en krijgt uitleg over de AVG, de verplichte registers en de verwerkingsovereenkomst.

Misverstand 4. Ik moet voor alles toestemming vragen.
Dit is zeker niet waar, in de AVG is nadrukkelijk bepaald dat er een grondslag moet zijn voor de verwerking. Eén van de grondslagen is toestemming van de betrokkene. Als u deze grondslag kunt vermijden, en dat kan vaker dan menigeen denkt, dan is ons advies een andere grondslag te benoemen. Voor de zorg is de grondslag veelal de wet of de overeenkomst.

Misverstand 5. Een Functionaris voor de Gegevensbescherming (FG) is niet nodig.
De zorg werkt met bijzondere persoonsgegevens. Gegevens over de gezondheid, maar ook het BSN, en soms zijn ook andere bijzondere persoonsgegevens in het dossier opgeslagen. Dit zijn gegevens die extra bescherming behoeven. Nu vindt er discussie plaats of de wet nu voorschrijft of een “kleine” zorgaanbieder een FG al dan niet verplicht moet aanstellen. Toegegeven, het is erg onduidelijk nu.
Dat neemt niet weg dat het verstandig is om wel met een FG te werken, deze is op de hoogte van de privacywetgeving en adviseert over alle privacyaspecten binnen uw Instelling of praktijk.

Misverstand 6. Met een zzp-er die ik inzet moet ik een verwerkersovereenkomst sluiten.
Normaal gesproken sluit u een overeenkomst van opdracht met een ZZP-er. Dat er persoonsgegevens worden verwerkt is hierbij evident, echter het is afhankelijk van de situatie welke overeenkomst er wordt gesloten.
Verwerkt de ZZP-er zelf de persoonsgegevens naar eigen inzicht? Dan is deze zelf ook de verantwoordelijke voor de AVG en rusten de verplichtingen uit de AVG ook op deze ZZP-er. In dat geval regelt u nadrukkelijk de beschikbaarstelling van de gegevens aan de ZZP-er en maakt dit kenbaar aan de cliënt/patiënt.
Verleent de ZZP-er diensten als opdrachtnemer met uw instructies over de registraties van de persoonsgegevens dan is het zaak de verwerking van persoonsgegevens in de overeenkomst van opdracht mee te nemen. Dit is geen verwerkingsovereenkomst.

Verwerkersovereenkomst

Wij krijgen veel vragen over de verwerkersovereenkomst. De feitelijke situatie en de zeggenschap over de gegevens zijn belangrijke criteria hoe hiermee om te gaan. De praktijk leert dat er vaak meer dan twee partijen met de gegevens werken, soms als verwerker of  subverwerker soms als verantwoordelijke. Het belang om het schriftelijk in een overeenkomst goed te regelen is groot. U draagt persoonsgegevens over, maar blijft de verantwoordelijke op het gebied van de Privacy. Ook als de andere partij de verantwoordelijke wordt zal duidelijk kenbaar moeten zijn dat de gegevens van u afkomstig zijn.

Ondersteuning 

Zorg Zaken Groep kan behulpzaam zijn bij het invoeren van de AVG in de zorginstelling of praktijk. Zij organiseert praktische workshops, de eerst komende vinden plaats op 17 mei en 7 juni a.s. in Enschede, hiervoor zijn nog enkele plaatsen vrij.
Daarnaast kunnen onze juristen de rol van externe FG op zich nemen of ondersteunen als een ‘buddy’: de interne FG. Voor meer informatie leest u hier.