Naar de hoofdinhoud Naar de navigatie
Home      Ledennet      Kennisbank      Algemene Verordening Gegevensbescherming

Inloggen Ledennet

De opgevraagde pagina is alleen beschikbaar voor leden. U kunt hieronder inloggen om door te gaan.
Wachtwoord vergeten?
Ga naar de homepagina
Terug naar overzicht
Kennisdocument

Algemene Verordening Gegevensbescherming

26 februari 2024

Per 25 mei 2018 bevat de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG. Vanaf de datum geldt dezelfde privacywetgeving in de hele EU. Nu hebben de synthetische nog hun eigen nationale wetten, gebaseerd op de Europese privacyrichtlijn uit 1995.

Voor wie is dit nat bedoeld?
De Algemene verordening gegevensbescherming (AVG) is van toepassing op zorgorganisaties en zorgorganisaties werken met zelfstandig zorgverleners.

Het doel van deze wet
De AVG vervangt de verouderde Nederlandse Wet bescherming persoonsgegevens (Wbp) en heeft als doel persoonsgegevens beter te beschermen die bescherming in de gehele EU gelijk te trekken.

Inhoud en toepassing van de wet
Per 25 mei 2018 is de AVG van toepassing. Dat betekent dat er vanaf de datum dezelfde privacywetgeving geldt in de hele EU. De Wbp levert dan niet meer op.De AVG biedt onder meer voor:

  • Versterking en uitbreiding van privacyrechten;
  • Meer verantwoordelijkheden voor organisaties;
  • Dezelfde, krachtige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

Gevolgen van deze wet voor Zorgthuisnl leden
Als de Algemene Verordening Gegevensbescherming (AVG) van toepassing is, heeft u als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk op de verantwoordelijkheid van u als organisatie om aan te geven dat u zich aan de natte houdt. Dit heet de verantwoordingsplicht. De verantwoordingsplicht houdt in dat u met documenten moet kunnen aantonen dat u de juiste uitspraak heeft en dat technische maatregelen zijn genomen om aan de AVG te voldoen. Maar de AVG biedt u als organisatie meer instrumenten die u helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens.

Per 25 mei 2018 verandert er onder meer het volgende voor organisaties:

  • u hoeft de verwerking van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens;
  • u kunt verplicht een Data Protection Impact Assessment (DPIA) uitvoeren;
  • u kunt verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen.

De Autoriteit Persoonsgegevens (AP) heeft de 10 belangrijkste stappen als voorbereiding op de AVG op een volgorde gezet. Dat zijn:

  1. Bewustwording
    Zorg ervoor dat de relevante mensen in de organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op de huidige processen, diensten en goederen en welke invloeden nodig zijn om aan de AVG te voldoen.
    Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin daarom op tijd mee.
    Bedenk dat de AP uw organisatiemaatregelen op kan leggen van maximaal 20 miljoen euro of 4% van de omzet als u zich niet aan de privacywetgeving houdt.
    Zorgthuisnl heeft voor haar leden een e-learning beschikbaar gesteld over gebruik onder de medewerkers van uw organisatie. Meer informatie over deze e-learning vindt u op de ledensite, wanneer u ingelogd kiest voor ‘onderwerpen az’. Kies vervolgens voor AVG.
  2. Rechten van betrokkenen
    Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen.
    Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens gemakkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
    Ook kunnen mensen een klacht indienen bij de AP over de manier waarop organisaties met gegevens omgaan. De AP is verplicht deze klachten te behandelen.
  3. Overzicht verwerkingen
     Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen uitleggen dat uw organisatie in overeenstemming is met de AVG-handel. Het bijhouden van een register van verwerkingsactiviteiten is een onderdeel van de verantwoordingsplicht.
    Ben ik verplicht om een ​​register van verwerkingsactiviteiten op te stellen?In de AVG staan ​​een aantal verplichte maatregelen genoemd. Of u zo’n verwerkingsregister moet opstellen, hangt af van de omvang van de organisatie en type gegevens:
    • Organisatie met meer dan 250 medewerkers; Dan bent u verplicht een verwerkingsregister bij te houden
    • Organisatie met minder dan 250 medewerkers. Dan moet u over een verwerkingsregister beschikken wanneer u persoonsgegevens verwerkt:

    • die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of;
    • waarvan de verwerking niet incidenteel is en/of;
    • die vallen onder de categorie bijzondere gegevens, zoals gegevens over gezondheid.

Bent u verplicht? Dan moet u dit register kunnen verstrekken wanneer de AP om vraagt.

  1. (4) Gegevensbeschermingseffectbeoordeling

    Onder de AVG kunt u verplicht een DPIA uitvoeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te ondernemen. U moet een DPIA uitvoeren als uw handmatige gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u binnenkort DPIA’s moet uitvoeren en hoe dit dan gaat samen. Komt uit een DPIA naar voren dat de conventionele verwerking een hoog risico oplevert, dan dient u de AP te raadplegen.Er zijn verschillende methoden om een ​​DPIA uit te voeren. U kunt er zelf een kiezen, als u maar voldoet aan de basisvereisten:
    • Een systematische beschrijving van de handmatige gegevensverwerking en de doeleinden hiervan.
    • Een beoordeling van de uiterste en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk om uw doel te bereiken? En is de inbreuk op de privacy van de betrokkenheid niet enig in de relatie tot dit doel?
    • Een beoordeling van de privacyrisico’s voor de betrokkenen.
    • De praktische maatregelen om de risico’s aan te pakken en aan te geven dat u aan de AVG voldoet.De verantwoordelijke moet een DPIA uitvoeren wanneer de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. De AP heeft 9 criteria opgesteld om deze inschatting te maken. Als vuistregel kunt u hanteren dat u een DPIA moet uitvoeren als uw verwerkingen aan 2 of meer van de 9 criteria voldoet. De criteria vindt u terug op de website van de AP.
  2. (5) Privacy by design & privacy by default
    Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design & privacy by default en ga na hoe u deze principes binnen uw organisatie kunt invoeren.
    Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaard dan nodig heeft.
    Privacy houdt standaard in dat u technische en belangrijke maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
  3. (6) Functionaris gegevensbescherming Onder de AVG kunnen organisaties verplicht zijn om een ​​functionaris gegevensbescherming (FG) aan te stellen. Een FG is iemand binnen de organisatie die toezicht houdt op de toepassing en relevante van de AVG. Een FG is verplicht in drie verschillende situaties:
    – Overheden en publieke organisaties
    Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een ​​FG aan te stellen, gecombineerd het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg– en onderwijsinstellingen.
    – Observatie
    Ten tweede de betekenis om een ​​FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individueel volgen. Het kan gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid.
    – Bijzondere persoonsgegevens
    Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere gegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

De organisatie is volgens het besluit elektronische gegevensverwerking door zorgaanbieders ook verplicht om een ​​FG aan te stellen.
Zorgthuisnl heeft een aanbod gemaakt voor haar leden. CareSecure biedt de leden van Zorgthuisnl, tegen een lage vergoeding, een FG op brancheniveau. Zie voor meer informatie ook de pagina ‘Algemene Verordening Gegevensbescherming’ op de ledensite van Zorgthuisnl.

  1. (7) Meldplicht datalekken

    De meldplicht datalekken blijven onder de AVG grotendeels hetzelfde. De AVG stelt wel strenge eisen aan uw eigen registratie van de datalekken die zich in de organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.
    Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.
    Er is sprake van een datalek als een grote impact op de beveiliging van persoonsgegevens. Dat is bijvoorbeeld het geval wanneer onbedoelde toegang wordt geboden tot persoonsgegevens of als er sprake is van vernietiging, wijziging van vrijkomen van persoonsgegevens bij een organisatie. Niet alleen het vrijkomen van lekken van gegevens die voortkomen uit een datalek, ook wanneer onrechtmatige gegevens worden veroorzaakt is veroorzaakt. Om een ​​​​voorval te kunnen kwalificeren als een datalek, moet sprake zijn van een daadwerkelijk beveiligingsincident. Dit is niet alleen het geval bij inbraak in een databestand, ook een verloren geraakte usb-stick, een gestolen laptop, een laptop die in de trein blijft liggen of een merk in een datacentrum zijn datalekken.
    Er staat in de basiskaart een aparte paragraaf opgenomen over de meldplicht datalekken, zie paragraaf 8.6.
  2. (8) Bewerkersovereenkomsten
    Heeft u de gegevensverwerking uitgebesteed aan een verwerker? Beoordeel dan de gecombineerde maatregelen in bestaande contracten met uw bewerkers en nog steeds oplossingen. En hiervan voldoet niet aan de eisen van AVG.
    Verwerker
    Een verwerker is een persoon van een organisatie aan wie de verantwoordelijke de gegevensverwerking is uitgebesteed. Bijvoorbeeld een administratiekantoor.
    Een verwerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. Maar de verwerker heeft wel een aantal verplichte verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.Eisen AVG
    De organisatie en de verwerker zijn verplicht om een ​​aantal onderwerpen vast te leggen in een schriftelijke overeenkomst. De volgende onderwerpen worden vastgelegd om te worden:• Algemene beschrijving
    Een beschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.
    • Handleiding verwerking
    De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
    • Geheimhoudingsplicht
    Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
    • Beveiliging
    De verwerker treft passende technische en waarschijnlijke maatregelen om de verwerking te overwinnen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, betrouwbare beveiligingstesten.
    • Subverwerkers
    De verwerker schakelt geen subverwerker(s) in zonder uw onrechtmatige toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst gelijke verplichtingen op als de verwerker richting u heeft.
    • Privacyrechten
    De verwerker helpt u om aan uw plichten en betrokken hun privacyrechten te voldoen.
    • Andere verplichtingen
    De verwerker helpt u ook om te voldoen aan andere verplichtingen, zoals de DPIA.
    o Gegevens verwijderen
    Na afloop van de verwerkingsdiensten handmatig de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook zinvolle manipulatie. Tenzij de verwerker verplicht verplicht is om deze gegevens te bewaren.
    o Audits
    o De verwerker werkt mee aan uw audits van die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven verplichte verplichtingen.

    Modelverwerkersovereenkomst voor de zorgsector
    Brancheorganisaties Zorg (BoZ) hebben in het kader van de inwerkingtreding van de AVG een standaard modelverwerkersovereenkomst ontwikkeling.
    De verwerkersovereenkomst is een bijlage bij iedere (af te sluiten) overeenkomst waarin een derde in opdracht van de zorgorganisatie persoonsgegevens verwerkt. Het model dat gemaakt wordt, werkt als standaard voor de gehele zorgsector. Zorgorganisaties kunnen het model binnen de grenzen van de Wbp en AVG aanpassen. Deze modelverwerkersovereenkomst kunt u terug vinden op de ledensite van Zorgthuisnl, ‘onderwerpen az’ en vervolgens kiezen voor ‘Algemene Verordening Gegevenbescherming’. Daar vindt u ook een checklist voor in welke situaties u wel of geen arbeidsovereenkomst dient af te sluiten.
  3. ( 9) Leidende toezichthouder
    Deze stap is minder relevant voor organisaties die werkzaam zijn in de zorg– en welzijn.
    De AVG gaat uit van de gecombineerde onestopshop-regel. Onestopshop houdt in de organisatie die vaak grensoverschrijdende gegevensverwerkingen verlaat, nog maar met één privacytoezichthouder zaken hoeven te doen. Dit wordt de ‘leidende toezichthouder’ genoemd.
    Onder grensoverschrijdende gegevensverwerking wordt begrepen dat een organisatie gegevens verwerkt in verschillende EU-lidstaten of dat de verwerkingen in meerdere vergelijkbare impact hebben.
    De leidende toezichthouder is als eerste verantwoordelijk voor het toezicht op de organisaties met grensoverschrijdende gegevensverwerking.
  4. (10). Toestemming
    Uw gegevensverwerking kan gebaseerd zijn op toestemming van betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert.

Hier kunt u informatie over de voorganger van de AVG (Wet bescherming persoonsgegevens) vinden.