De nieuwe AVG wetgeving

En waar u als praktijkhouder op moet letten

De Algemene Verordening Gegevensbescherming (AVG) gaat in op 25 mei. Dan moet iedere mondzorgpraktijk haar processen hierop hebben aangepast. Wij merken dat de nieuwe AVG binnen de mondzorg voor veel onrust en vragen zorgt. In deze blog beantwoord ik graag de meest voorkomende vragen.

In mijn blog beantwoord ik de volgende vragen :

  1. Welke concrete aanpassingen voor de AVG moet ik doen in mijn praktijk?
  2. Welke extra rechten krijgen de patiënten en mijn medewerkers en hoe ga ik hiermee om?
  3. Hoe ziet zo’n verwerkingsovereenkomst eruit en naar welke partijen moet ik die sturen?
  4. Welke organisatorische aanpassingen moet ik doorvoeren?

1. Welke concrete aanpassingen moet ik doen in mijn praktijk?

a. Niet meekijken op de monitor(s).
Het eerste belangrijke aandachtspunt is dat de patiënt en medewerkers niet meer kunnen meekijken op de monitor(s) binnen de praktijk als gegevens van andere patiënten of collega’s openstaan. Dit betekent concreet dat wanneer u de behandelkamer verlaat en de patiënt daar alleen achter blijft, dat het scherm vergrendeld moet zijn. Een oplossing hiervoor is dat u de kijkhoek van de computer beperkt. Zo kunt u bijvoorbeeld een schermfilter aanschaffen waardoor alleen de persoon die recht voor het scherm zit het scherm kan zien en vanuit een kijkhoek van bijvoorbeeld 90 graden het scherm niet meer zichtbaar is. Een andere mogelijkheid is dat u een lijn aangeeft waar de patiënt niet achter mag komen, zodat hij niet mee kan kijken. En zo zijn er nog andere mogelijkheden om dit te realiseren.
Maar dit geldt ook voor de medewerkers binnen uw praktijk. Zij mogen elkaars gegevens niet meer inzien (loonstroken of informatie over evaluatiegesprekken.) Daarom is het belangrijk dat u hier één persoon (of meerdere personen) die hier zicht op heeft verantwoordelijk voor maakt binnen uw praktijk.

b. Een patiëntenfolder verstrekken over privacyrechten
De AVG vraagt u in de wachtkamer een folder voor patiënten te plaatsen waarin duidelijk wordt uitgelegd wat de rechten van de patiënt zijn. Deze informatie plaatst u ook op uw website .

2. Welke extra rechten krijgen de patiënt en mijn medewerkers en hoe ga ik hiermee om?

De patiënt of medewerker kan u vragen om de gegevens die van hem worden opgeslagen in te mogen zien. Over de informatie die u bewaart kan een patiënt een verzoek indienen om hierop aanpassingen te laten doen. Als een patiënt dit vraagt kunt u de informatie verstrekken door een print of een tijdelijke digitale inlog te geven. Het is belangrijk dat u één persoon verantwoordelijk maakt voor het behandelen van dergelijke aanvragen. Wanneer zo’n verzoek binnenkomt doorloopt u (of: de verantwoordelijke in uw praktijk) de volgende stappen :

a. U checkt de identiteit van de verzoeker door een kopie van de identiteitskaart aan te vragen (voor zover nog niet bijgevoegd bij de aanvraag)
b. U geeft aan de verzoeker door dat zijn BSN-nummer niet mag worden verstrekt en dat vervolgens de kopie van het identiteitsbewijs na de verificatie wordt vernietigd.
c. Aan de verzoeker wordt gemeld dat uw reactie binnen één maand mag worden verwacht. Is het een complex verzoek, dan kan u aangegeven dat de reactietermijn met maximaal 2 maanden wordt verlengd. Dit moet binnen de eerste maand nadat u de vraag hebt ontvangen aan de verzoeker worden gemeld.
d. U stelt vast welk recht precies wordt ingeroepen en verzamelt in dat kader vereiste informatie. Indien nodig, wordt het verslag hiervan besproken met een juridisch ondersteuner.
e. Het verslag wordt op basis van bovenstaande informatie opgesteld.
f. Als het verzoek van de patiënt wordt gehonoreerd, verwerkt u de aanpassingen.

Het is belangrijk dat u alle beslissingen documenteert en bewaart .

3. Hoe ziet een verwerkingsovereenkomst eruit en naar welke partijen moet ik die sturen?

Het antwoord op deze vraag ligt eigenlijk voor de hand, namelijk: met iedere partij waarmee u gegevens deelt van uw patiënten of personeel op regelmatige basis moet u een verwerkingsovereenkomst afsluiten. Dit betekent dat als u eenmalig van een andere tandarts patiëntgegevens ontvangt, u geen verwerkingsovereenkomst hoeft af te sluiten.

In deze situatie zijn er twee aandachtspunten :
a. De patiënt moet toestemming geven voor het delen van de informatie tussen beide praktijken.
b. Het versturen van de gegevens wordt gedaan via een versleuteld programma, zoals zorgmail of proton.

Download hier een format voor de verwerkingsovereenkomst. Op het moment dat u een verwerkingsovereenkomst ontvangt is het belangrijk om te controleren of alle benodigde punten die verwerkt moeten worden ook vermeld zijn.
De checklist kunt u hier downloaden. Zo kunt u gemakkelijk na zien of alle punten conform de verwerkingsovereenkomst er ook daadwerkelijk in staan.

4. Welke verdere organisatorische en technologische aanpassingen moeten er verricht worden?

U begint met de instructie die u aan uw personeel geeft en welke informatie voor hen toegankelijk is. Zo moet van iedere medewerker die inzicht heeft in bepaalde patiëntgegevens, een duidelijke omschrijving hiervan in zijn/haar functiebeschrijving staan.

Over de computers binnen uw praktijk: elk scherm moet bij verlaten meteen door de gebruiker vergrendeld worden (windows toets +L). Daarnaast moeten alle computers zo ingesteld zijn dat ze zich automatisch vergrendelen bij langer dan één minuut geen gebruik. Dit als extra zekerheid voor het geval een medewerker vergeet af te sluiten.
De USB-poorten die niet gebruikt worden bij de computers in uw praktijk moeten worden afgesloten. Dit, om te voorkomen dat iemand een USB-stick in de computer doet waar bijvoorbeeld een virus op staat.

De back-ups die gemaakt worden binnen uw praktijk moeten op een externe harde schijf worden gezet die niet voor andere doeleinden mag worden gebruikt. Dat moeten bovendien externe harde schijven zijn die de informatie op de schijf verwijderen wanneer het wachtwoord 10 keer verkeerd wordt ingetypt.

Doe de gratis AVG-check

Ik hoop u met de bovenstaande informatie verder op weg te helpen in de aanpassingen voor de AVG-wetgeving. Omdat het per praktijk kan verschillen hoe deze wetgeving het best toegepast kan worden, bieden wij u tot 25 mei 2018 een gratis AVG-check aan. Dan nemen wij alle punten van de AVG met u door en adviseren wij hoe u uw praktijk AVG-proof kan maken.

DentalRules blog

Vorig bericht
Bezoek van de Inspectie. Wat nu?
Volgend bericht
Nieuwsbrief: Versie 1.9.5
Menu