Neem contact op
Neem contact op
Verantwoorde gegevensverwerking in de zorg

AVG Wet in de zorg

Als zorginstelling wil je de beste zorg leveren. Dat betekent niet alleen hoogwaardige behandelingen en persoonlijke aandacht voor je patiënten, maar ook veilige en verantwoorde omgang met hun persoonsgegevens.

In de zorg werk je dagelijks met persoonsgegevens, zoals medische informatie. Het is dan ook essentieel dat je voldoet aan privacywetgeving, zoals de Algemene verordening gegevensbescherming (AVG). Niet alleen omdat het wettelijk verplicht is, maar vooral omdat je daarmee verantwoorde gegevensverwerking waarborgt, het vertrouwen van patiënten versterkt en juridische risico’s voorkomt. Ofwel, in control bent én blijft.

Snel naar de juiste informatie over de AVG wet:

Wat betekent de AVG voor jouw zorgorganisatie?
↓ Ontdek de: AVG Quick Scan
↓ Stappenplan naar AVG Compliance
↓ AVG Whitepaper
↓ Veel gestelde vragen over de AVG in de zorg

Maak nu een afspraak Download AVG Whitepaper

Met trots werken wij onder andere voor

klant
klant

Wat betekent de AVG voor jouw zorgorganisatie?

De Algemene Verordening Gegevensbescherming (AVG) stelt eisen aan iedereen die persoonsgegevens verwerkt – dus ook aan zorginstellingen. Sinds de invoering van de AVG hebben organisaties meer verantwoordelijkheden en betrokkenen, zoals patiënten, meer rechten gekregen.

Belangrijk om te weten: ook vóór de invoering van de AVG golden er al privacyregels in de zorg. De Wet op de geneeskundige behandelingsovereenkomst (WGBO) beschrijft de rechten en plichten in de relatie tussen zorgverleners en patiënten. In de WGBO wordt ook toegezien op privacy. Met de komst van de AVG zijn sommige rechten en plichten, zoals het inzagerecht, verder aangescherpt of aangevuld. Meer over de verhouding tussen de AVG en WGBO lees je in onze veelgestelde vragen.

 

In de zorgsector is het verwerken van persoonsgegevens onvermijdelijk. Het gaat voornamelijk over gezondheidsgegevens, welke door de AVG als bijzondere persoonsgegevens worden beschouwd. Het verwerken van bijzondere persoonsgegevens is in principe verboden, tenzij het noodzakelijk is voor het verlenen van zorg en er een geldige verwerkingsgrondslag is, zoals een behandelovereenkomst met de patiënt of toestemming

De AVG verplicht om passende maatregelen te nemen om persoonsgegevens te beschermen. Denk aan een goed doordacht privacy beleid, beveiligingsmaatregelen, transparante communicatie én een hoog bewustzijn bij medewerkers over wat zij wel en niet mogen doen met gevoelige patiëntinformatie.

Door de aard en gevoeligheid van gezondheidsgegevens, is het belangrijk om zorgvuldig te werk te gaan. Vanwege het hoge privacyrisico betekent dit in de praktijk vaak dat er een Data Protection Impact Assessment (DPIA) uitgevoerd moet worden. Ook is het aanstellen van een Functionaris Gegevensbescherming (FG) voor veel zorgorganisaties verplicht.

De risico’s van niet-naleving AVG privacywet:

  • Verlies van vertrouwen: Datalekken en privacy schendingen kunnen leiden tot een verlies van vertrouwen bij patiënten.
  • Reputatieschade: Een slechte reputatie op het gebied van gegevensbescherming kan moeilijk te herstellen zijn.
  • Operationele verstoringen: Het niet op orde hebben van de AVG naleving kan leiden tot tijdelijke verstoringen in je bedrijfsvoering.
  • Hoge boetes: De Autoriteit Persoonsgegevens kan bij overtredingen aanzienlijke boetes opleggen.

Herken jij deze uitdagingen voor jouw organisatie?

  • Je weet niet precies waar je moet beginnen met de AVG wetgeving.
  • Je twijfelt of je voldoet aan de strikte eisen uit de AVG.
  • Je wilt de bijzondere persoonsgegevens van je patiënten beschermen, maar weet niet goed hoe.
  • Je wilt het volwassenheidsniveau van privacy verhogen, maar hebt onvoldoende kennis of capaciteit om dat te realiseren.

 

accountmanager PrivacyOnze experts staan klaar om jouw organisatie te helpen met de AVG. Maak een afspraak met onze professional Dennis Baay en ontdek wat wij voor jullie kunnen betekenen.

Maak een Afspraak

Cuccibu valt op door de no-nonsens cultuur en de prettige manier van zaken doen. Pragmatisch, meedenkend en betrokken

Marcel Slingerland Manager ICT at Reinier de Graaf Groep

Ontdek de AVG Quickscan

De Cuccibu AVG Scan helpt je snel inzicht te krijgen in de AVG privacy status, risico’s en verbeterpunten voor jouw organisatie. Zodat jij je kunt concentreren op wat écht belangrijk is: zorg leveren die vertrouwen opbouwt.

Onze ervaren experts analyseren jouw organisatie en brengen in kaart waar de kwetsbaarheden zitten. Je krijgt een helder overzicht van:

  • Jouw huidige situatie: Waar sta je nu met de AVG?
  • De belangrijkste risico’s: Welke specifieke risico’s loop jij?
  • Concrete verbeterpunten: Wat moet gebeuren om de AVG naleving te verbeteren?
  • Prioriteiten: Waar moet je als eerste beginnen?

Cuccibu jouw AVG Privacy Partner

Meer dan 10 jaar kennis en ervaring in de zorgsector

Meer dan 30 privacy-specialisten

Gespecialiseerd in privacy- en zorgwetgeving

 

AVG Scan aanvragen
We nemen binnen 1 werkdag contact met je op.

Een Stappenplan naar AVG Compliance

Nu je inzicht hebt in het belang van het naleven van de AVG en de voordelen van een AVG Scan, is het tijd om proactief te worden. Check bijvoorbeeld of jouw datalek procedure op orde is met onze onze gratis AVG check.

Hieronder vind je een stappenplan om jouw organisatie AVG compliant te maken.

  • Welke gegevens verwerk je? Maak een gedetailleerde lijst van alle persoonsgegevens die je verwerkt. Let op, ‘verwerken’ is een breed begrip conform de AVG. Het gaat niet alleen om het opslaan of verzamelen van gegevens, maar bijvoorbeeld ook om het inzien, doorsturen of vernietigen. Wist je dat het inzien van persoonsgegevens, zonder ze op te slaan, ook al als verwerken wordt gezien door de AVG?
  • Heb je inzicht in de informatiestromen van gegevens? Breng de informatiestromen van persoonsgegevens in kaart: waar komen gegevens vandaan en waar gaan ze naartoe? Het in kaart brengen van deze stromen helpt je niet alleen te begrijpen hoe gegevens worden verwerkt, maar maakt ook duidelijk of er risicovolle verwerkingen zijn die extra aandacht vereisen.
  • Waar worden de gegevens opgeslagen? Bepaal waar gegevens worden opgeslagen, zowel fysiek als digitaal (denk aan servers, de cloud en papieren archieven).
  • Wie heeft toegang tot de gegevens? Bepaal welke personen of afdelingen binnen je organisatie toegang hebben tot persoonsgegevens. Zorg ervoor dat je toegang tot gegevens beperkt tot de personen die het echt nodig hebben.

  • Privacy beleid: Heb je een duidelijk en actueel privacy beleid? Zorg ervoor dat je beleid alle vereiste onderdelen uit de AVG bevat.
  • Rechtmatigheid van verwerking: De AVG benoemt 6 grondslagen om persoonsgegevens te mogen verwerken, zoals toestemming of wettelijke verplichting. Zorg ervoor dat je voor elke verwerking de juiste grondslag hebt vastgesteld, getoetst en geregistreerd in het verwerkingsregister.
  • Informatieplicht: Verschaf je betrokkenen voldoende informatie over hun rechten en de manier waarop hun gegevens worden verwerkt?
  • Rechten van betrokkenen: Kunnen betrokkenen hun rechten uitoefenen? De AVG zorgt ervoor dat betrokkenen meer controle hebben over hun persoonsgegevens. Deze rechten zijn onder meer het recht op inzage, rectificatie en bezwaar.
  • Gegevensbeveiliging: Zijn jouw systemen en processen voldoende beveiligd tegen dreigingen zoals datalekken? Zorg ervoor dat zowel technische, organisatorische als juridische maatregelen zijn genomen om persoonsgegevens te beschermen. De samenwerking tussen privacy- en informatiebeveiliging teams is hierbij cruciaal.
  • Functionaris gegevensbescherming (FG): Is er een FG aangesteld? Dit is onder andere verplicht voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en waarvan dit een kernactiviteit is. Daarnaast is het belangrijk om te beoordelen of de rol van de FG binnen je organisatie duidelijk is en of er structureel advies wordt ingewonnen.

  • Identificeer risico’s: Bepaal welke risico’s verbonden zijn aan de verwerking van persoonsgegevens binnen jouw organisatie. Dat zijn zowel de bedrijfsrisico’s als, voor de privacy risico’s voor de mensen van wie je gegevens verwerkt (zoals patiënten).
  • Beoordeel de impact en prioriteer: Beoordeel de mogelijke impact van deze risico’s op betrokkenen en op jouw organisatie. Op basis van de impact en waarschijnlijkheid bepaal je welke risico’s de hoogste prioriteit hebben.
  • Mitigatie van risico’s: Implementeer maatregelen om de gesignaleerde risico’s te mitigeren en leg de restrisico’s vast. Zorg ervoor dat het voor de directie en andere betrokkenen duidelijk is wie verantwoordelijk is voor de bestaande risico’s. Door actief aan de slag te gaan met de risico’s, voldoe je aan de AVG en maak je jouw organisatie weerbaarder.

  • Technische maatregelen: Implementeer technische maatregelen om de beveiliging van persoonsgegevens te verbeteren.  Denk aan encryptie, firewalls en toegangscontrole.
  • Organisatorische maatregelen: Implementeer maatregelen die zich richten op de inrichting van de (privacy)organisatie en de verantwoordelijkheden, processen en het gedrag van medewerkers. Begrijpen medewerkers wat er van hun verwacht wordt om het proces waarvoor zij verantwoordelijk zijn zo veilig en privacy-vriendelijk mogelijk te laten verlopen?
  • Juridische maatregelen: Zorg voor de juiste contractuele afspraken met partners en leveranciers omtrent het verwerken van persoonsgegevens.

  • Regelmatige controles: Voer regelmatig controles uit om na te gaan of de geïmplementeerde maatregelen effectief zijn.
  • Incidentmanagement: Stel een gedegen incidentmanagementplan op voor het melden, onderzoeken en afhandelen van datalekken en andere privacy gerelateerde incidenten.
  • Continue verbetering: Evaluaties van de effectiviteit van je maatregelen mogen niet alleen als een controle worden gezien, maar als een essentiële stap in het proces van verantwoorde innovatie. Ga actief aan de slag met verbetering en scherp beheersmaatregelen aan waar nodig.

  • Training: Zorg ervoor dat alle medewerkers op de hoogte zijn van de AVG en hun verantwoordelijkheden.
  • Communicatie: Communiceer open en transparant met betrokkenen over de verwerking van hun persoonsgegevens.
Vragen over het AVG Stappenplan?

Overtuigd? Of juist verward? Geen zorgen. Onze privacy-experts hebben jarenlange ervaring in de zorgsector en kunnen al je vragen beantwoorden. Maak een afspraak voor een persoonlijk adviesgesprek om naar jouw specifieke situatie te kijken.

Maak een afspraak

Eerst zelf wat meer informatie lezen over AVG Compliance?

Download onze gratis AVG Navigator: een praktische gids voor AVG en gegevensbescherming.

15 pagina’s met alle informatie over de AVG in één handig document.

Bekijk ons handige stappenplan naar AVG compliant voor jouw organisatie.

Ontdek meer informatie over misvattingen en uitdaingen in AVG-naleving.

Download nu

FAQ Algemene verordening gegevensbescherming

We zetten de meest gestelde vragen over de AVG wet in de zorgsector voor je op een rijtje.

We starten met een kick-off sessie, waarin we samen bespreken wat voor jouw organisatie belangrijk is en welke rol gegevensverwerking daarin speelt. In de vervolgstappen hanteren we een gestructureerde aanpak die erop gericht is om herhaalbaar te zijn en in de volle breedte de organisatie belicht. We onderzoeken hoe de organisatie is ingericht om als geheel verantwoord om te gaan met persoonsgegevens en compliant te zijn aan de AVG. Het eindproduct is een adviesrapport met daarin concrete en praktische aanbevelingen om aan de gestelde doelen te voldoen.

Er zijn verschillende moment waarop het (laten) uitvoeren van een AVG scan van toegevoegde waarde kan zijn. Je kunt dit bijvoorbeeld eenmalig doen om het startpunt van jouw organisatie te bepalen en een stappenplan op te stellen, maar je kan de scan ook periodiek herhalen om te toetsen of de genomen maatregelen ook daadwerkelijk het gewenste effect hebben.

De AVG is van toepassing op iedereen die persoonsgegevens verwerkt, ongeacht de grootte van de organisatie. Dit geldt dus onder andere voor ziekenhuizen, huisartsenpraktijken, verpleeghuizen en andere zorg gerelateerde organisaties. Het doel is het waarborgen dat persoonsgegevens van patiënten op een verantwoorde en veilige manier worden verwerkt.

De AVG beschermt persoonsgegevens van individuen. In de AVG wordt het begrip persoonsgegevens als volgt gedefinieerd: “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.”.

Het gaat om informatie die direct over iemand gaat of naar indirect naar deze persoon te herleiden is.

De AVG maakt onderscheid tussen gewone en bijzondere persoonsgegevens. Voorbeelden van gewone persoonsgegevens zijn iemands naam, adres, pasfoto maar ook personeelsnummers, IP-adressen of geluidsopnames. Bijzondere persoonsgegevens zijn zo privacygevoelig dat het grote(re) impact op iemand kan hebben als deze gegevens worden verwerkt. Deze gegevens krijgen extra bescherming in de AVG. Denk hierbij aan gezondheidsinformatie.

Het verwerken van persoonsgegevens houdt simpel weg in, alles wat een organisatie met persoonsgegevens kan doen. Volgens de AVG vallen in ieder geval de volgende handelingen onder verwerken: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen.

Zorginstellingen hebben door de AVG meer verantwoordelijkheden gekregen. Iedereen die persoonsgegevens verwerkt moet zich houden aan de 6 basisprincipes van de AVG en dit kunnen aantonen (de verantwoordingsplicht).

De 6 AVG-basisprincipes zijn:

  • Rechtmatigheid, behoorlijkheid en transparantie;
  • Doelbinding;
  • Dataminimalisatie;
  • Juistheid;
  • Opslagbeperking;
  • Vertrouwelijkheid en integriteit.

Jouw organisatie moet een duidelijk beeld hebben van de persoonsgegevens die worden verwerkt en beveiligingsmaatregelen treffen om deze gegevens te beschermen. Omdat in de zorgsector wordt gewerkt met bijzondere persoonsgegevens is het vaak verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren of een Functionaris Gegevensbescherming (FG) aan te stellen.

Even sparren over de impact en verplichtingen van de AVG? Onze consultants staan voor je klaar!

Zorginstellingen die grootschalig bijzondere persoonsgegevens verwerken, moeten een FG aanstellen. Deze functionaris houdt toezicht op de naleving van de AVG, geeft gevraagd en ongevraagd advies én fungeert als contactpunt voor zowel de toezichthouder als voor betrokkenen.

De AVG schrijft voor dat een DPIA verplicht is wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog privacy risico oplevert voor de rechten en vrijheden van de betrokkenen. Als organisatie moet je zelf bepalen of dit het geval is. Dit kan aan de hand van de AVG, die de criteria hiervoor bepaald. Ook heeft de Autoriteit Persoonsgegevens (AP) een lijst opgesteld met verwerkingen waarvoor het uitvoeren van een DPIA verplicht is. Op deze lijst staat onder andere grootschalige verwerking van gezondheidsgegevens. Dit is bij een zorginstelling al snel het geval.

 

Ja, naast de AVG zijn er ook andere wetten die specifiek van toepassing zijn op de zorgsector en iets zeggen over het verwerken van persoonsgegevens. De Wet op de geneeskundige behandelingsovereenkomst (WGBO) regelt de rechten en plichten van zowel zorgverleners als patiënten. Denk aan het recht op informatie, vastlegging van de behandeling en inzage in het medisch dossier, en bewaartermijnen van medische gegevens.

Daarnaast zijn ook de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) van toepassing. De Wabvpz regelt de verwerking en uitwisseling van gezondheidsgegevens, terwijl de Wegiz verplicht dat zorginstellingen elektronische gegevens veilig moeten uitwisselen. Deze wetten zijn aanvullend op de AVG en bieden specifieke richtlijnen voor de zorgsector.

Let wel, er zijn meer wetten die relevant zijn in de zorg en belangrijk kunnen zijn voor de verwerking van persoonsgegevens.

De Algemene verordening gegevensbescherming (AVG) en de Wet op de geneeskundige behandelingsovereenkomst (WGZO) zeggen allebei iets over privacy en de omgang met persoonsgegevens.

De AVG is een Europese privacywet die van toepassing is op alle sectoren. Deze wet stelt algemene regels voor de verwerking van persoonsgegevens, en stelt extra strenge eisen voor het verwerken van bijzondere persoonsgegevens, zoals medische gegevens.

De WGBO is een Nederlandse wet die specifiek geldt voor de zorgsector. Deze wet regelt de relatie tussen zorgverlener en patiënt en bevat bepalingen over het medisch dossier, het recht op informatie, het geven van toestemming en de bewaartermijn van medische gegevens.

De WGBO bepaalt vooral wat je als zorgverlener moet doen en de AVG beschrijft hoe je dat op een veilige en verantwoorde manier doet en geeft aanvullingen waar de zorgwetgeving niets heeft geregeld.

AVG scan: Ontdek waar je staat!

Een AVG scan van Cuccibu geeft inzicht in waar jouw organisatie staat ten aanzien van de Algemene verordening gegevensbescherming (AVG) en resulteert in een praktisch adviesrapport zodat jouw organisatie nu en in de toekomst verantwoord omgaat met gegevensverwerking.

Van advies tot implementatie, wij zijn jouw partner in gegevensbescherming. Laat hieronder je gegevens achter en we nemen contact met je op.

"*" geeft vereiste velden aan

Jouw naam en e-mailadres gebruiken wij alleen voor het door jou gevraagde contact. Wil je meer lezen over hoe Cuccibu omgaat met persoonsgegevens? Lees dan hier onze privacy- en cookieverklaring.
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.