delen

Jacqueline Krabben

Jacqueline Krabben

De AVG gaat 25 mei 2018 in: wel actie, maar geen reden tot paniek

Met ingang van 25 mei 2018 vervangt de Algemene Verordening Gegegevensbescherming de Wbp (Wet bescherming persoonsgegevens). De AVG geldt dan in heel Europa en is daarom ook bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Inwerkingtreding van de AVG heeft consequenties voor bedrijven die persoonsgegevens opslaan en in beheer hebben. Jacqueline Krabben van PrivacyCare gaat in op de AVG en het overgangsmoment van 25 mei 2018 waar veel organisaties mee bezig zijn. Zij is juridisch adviseur in de zorgsector en privacy is al jaren haar specialisme. 

“Digitale uitwisseling van gegevens houdt niet op bij de landsgrenzen. De nieuwe verordening geldt met ingang van 25 mei 2018 rechtstreeks in iedere lidstaat van Europa. Digitalisering heeft een enorme vlucht genomen en zo ook de risico’s die verbonden zijn aan de verwerking van digitale gegevens. De wetgeving op het gebied van de bescherming van deze gegevens was nog niet helemaal actueel. Ook was er in Europa behoefte aan verdergaande harmonisering. Elke lidstaat behoudt wel enige vrijheid om via 'uitvoeringswetgeving' nadere regels te stellen die aansluiten bij de gebruiken in dat land. Zo mag elk land regels maken over het gebruik van bijzondere data, zoals medische gegevens. Om die reden blijft naast de AVG bijvoorbeeld ook de WGBO van kracht. De Wbp is in de afgelopen jaren door rechters en door de Autoriteit Persoonsgegevens al in de richting van deze ontwikkelingen geïnterpreteerd. Het was belangrijk om zaken letterlijk vast te leggen en dat is nu gebeurd in de AVG.  

Als je de beveiliging van privacygevoelige data niet op orde hebt, kunnen deze gegevens eenvoudig door anderen onderschept worden. En wie heeft toegang tot deze data en hoort dat wel? De meeste organisaties in de zorg maken gebruik van ICT-bedrijven die de systemen bouwen en onderhouden, waardoor zij ook toegang tot de gegevens hebben. Deze bedrijven worden verwerkers’ genoemd en onder de nieuwe AVG krijgen deze ‘verwerkers’ een grotere verantwoordelijkheid. Zowel de zorgorganisaties als de ‘verwerkers’ moeten kunnen aantonen welke maatregelen ze getroffen hebben om hun beveiliging op orde te hebben. Alle procedures en privacy- en beveiligingsbeleid moet zorgvuldig gedocumenteerd en geïmplementeerd zijn. 

Paniek is absoluut niet nodig voor veel zorgorganisaties die al bewust met de Wbp en het gezondheidsrecht zijn omgegaan, maar het is goed om nu wel in actie komen en te kijken waar je organisatie staat en wat er opgepakt moet worden. Bewustwording is heel belangrijk. Sommige bedrijven hebben hun beveiliging en privacybeleid al redelijk op orde. Zij moeten vaak nog wel de aangepaste contracten met hun verwerkers goed regelen. Voor anderen werd het sowieso hoog tijd om aan de slag te gaan. Dat is niet aan de AVG te wijten, maar is eigenlijk het inhalen van een achterstand. Je kunt op 4 juni naar een themadag van ActiZ gaan, specialistisch advies inwinnen, of op de site van de AP kijken. Op die site vind je een actielijst en veel informatie die van pas kan komen. Lid worden van het digitale netwerk van ActiZ: Privacy #HuisOpOrde kan natuurlijk ook.

Zorgorganisaties die ‘op grote schaal’ bijzondere persoonsgegevens -zoals medische gegevens- verwerken, moeten een Functionaris voor de Gegevensbescherming (FG) aanstellen. Wat exact ‘op grote schaal’ betekent is een zaak van interpretatie en zal zich gaandeweg ontwikkelen. De ‘eenpitters’ hoeven dit vooralsnog niet te doen, maar voor iets grotere organisaties zou mijn advies zijn wel een FG aan te stellen. Dat hoeft beslist niet full-time en kan ook een gedeelde FG zijn met andere zorgorganisaties. Je hoeft een FG niet in dienst te nemen, je kunt bijvoorbeeld gebruik maken van de expertise van een gespecialiseerd adviseur. Kijk hier wel kritisch naar, er is op dit moment veel aanbod. 

De bepalingen in de AVG komen niet uit de lucht vallen. Inhoudelijk lijken de regels sterk op wat de Wbp al voorschreef, en zijn best practices verankerd. Het is eigenlijk heel logisch dat de beveiliging, het beheer van en toegang tot privacygevoelige gegevens van mensen, zeker ook in de zorg waar mensen kwetsbaar kunnen zijn, passende bescherming verdient.”