Voldoet uw instelling aan de privacy-eisen?

Uitwisseling van medische gegevens

Voor het uitwisselen van bijzondere persoonsgegevens zijn belangrijke eisen gesteld. Deze privacy-eisen zijn onder andere vastgelegd in de Algemene Verordening Gegevensbescherming (AVG) en specifiek in de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg. Bent u op de hoogte van de voorwaarden waaraan gegevensuitwisseling dient te voldoen binnen uw zorginstelling? In dit artikel gaan we in op (het verkrijgen van) toestemming, het beveiligen van informatie en de rechten van betrokkenen.

Auteur: Corine van Herk, Manager Audit en Advies bij Audittrail - ICT/Magazine

1. Toestemming

Een zorginstelling verwerkt veel cliëntgegevens. Neem bijvoorbeeld het delen van cliëntgegevens met andere zorgaanbieders. De zorginstelling moet voorafgaand aan het verwerken van gegevens toestemming krijgen van de cliënt voor het verwerken van zijn persoonsgegevens. Vaak zien we bij zorginstellingen dat een medewerker mondeling om toestemming vraagt, waarna een vinkje wordt geplaatst in het systeem. Echter, mondelinge toestemming is niet voldoende, omdat de toestemming niet tot uiting komt in geschrift of gedrag. De toestemming is daardoor ook lastig te bewijzen. Een manier om dit op te lossen is middels een ondertekend (elektronisch) formulier, zoals een online klantportaal. De cliënt geeft dan in het portaal zijn toestemming om de gegevens te mogen delen.

2. Beveiliging

De AVG schrijft voor dat organisaties persoonsgegevens dienen te beveiligen door middel van organisatorische en technische maatregelen. Hoe gevoeliger de gegevens, hoe hoger het beveiligingsniveau dient te zijn. Een belangrijke beveiligingseis aan zorginstellingen is dat ze ervoor moeten zorgen dat alleen bevoegde personen toegang hebben tot een patiëntdossier. Daarbij is het loggen van activiteiten in de systemen van de zorginstelling zeer belangrijk. 

Om te bepalen welke maatregelen de instelling kan gebruiken, kunnen de normenkaders van informatiebeveiliging, helpen de NEN-7510 en de NEN-7512. Zorg ervoor dat uw instelling voldoet aan deze normen. 

Andere belangrijke informatiebeveiligingsnormen zijn de Gedragscode Elektronische Gegevensuitwisseling in de Zorg en het Besluit elektronische gegevensverwerking door zorgaanbieders. Het laatstgenoemde besluit is op 1 januari 2018 in werking getreden.

3. Rechten van betrokkenen

Onder de Wet bescherming persoonsgegevens hadden betrokkenen al rechten zoals het inzagerecht en rectificatierecht. Onder de AVG komen daar nieuwe rechten bij, namelijk 1) het recht op vergetelheid en 2) het recht op dataportabiliteit.

  • Met de komst van de AVG hebben cliënten het recht om hun (persoons)gegevens te laten verwijderen. Echter, het verwijderen van gegevens mag geweigerd worden indien de informatie erg belangrijk is voor een ander dan de betrokkene zelf of omdat er een wet is die een bewaartermijn voorschrijft.
  • Een cliënt heeft het recht om zijn gegevens, zoals een kopie van een medisch dossier, van de ene aanbieder naar een andere aanbieder mee te nemen. De cliënt hoeft hier geen reden voor op te geven. Zorg ervoor dat een cliëntdossier zo adequaat mogelijk is opgesteld en bijgehouden, zodat deze netjes kan worden overgedragen.

Audittrail ondersteunt

Hebt u ondersteuning nodig bij het voldoen aan deze informatiebeveiligings en privacy-eisen? Audittrail kan u hierbij helpen. Bezoek onze website en neem contact op. We helpen graag!

Audittrail

Met veel ervaring en kennis op zak adviseert Audittrail organisaties op het gebied van informatiebeveiliging en privacy. Onze adviseurs helpen zorginstellingen met Nulmetingen, Awarenesscampagnes, Documentatiesets, Privacy Officers, Functionaris Gegevensbeschermers en meer. Onze enthousiaste adviseurs zorgen ervoor dat uw instelling écht wordt geholpen dankzij begrijpelijk geschreven rapporten en praktische handvatten.

Zorg & ICT

Op 17, 18 en 19 april staat Audittrail op Zorg & ICT op het Security Healthcare plein (standnummer 01.A112). We sparren graag met u over uw vraagstukken op het gebied van privacy en informatiebeveiliging. Corine en Corien presenteren elke dag van 11.30 tot 12.00 uur in Theater 4 een case over het aanpakken van een Privacy Office. Tot dan!