Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum de privacy wetgeving binnen de hele Europese Unie gelijk is. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Met de AVG veranderen een aantal zaken op het gebied van privacy en gegevensbescherming, maar veel blijft ook hetzelfde.
Alle organisaties in Europa die persoonsgegevens verwerken krijgen met de komst van de AVG meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Ook wij hebben onze maatregelen genomen.
Een kort overzicht:
De AVG noemt een aantal verplichte maatregelen om aan de verantwoordingsplicht te voldoen. Eén daarvan is een gedocumenteerd en werkend gegevensbeschermingsbeleid (of privacybeleid). Dit beleid beschrijft hoe de technische en organisatorische bescherming van persoonsgegevens is uitgewerkt. De AVG verlangt ook een register waarin alle activiteiten waarbij bijzondere persoonsgegevens (waaronder gegevens over de gezondheid) worden verwerkt worden bijgehouden.
Cliënten hebben meer en verbeterde rechten omtrent de gegevensverwerking. Een aantal van deze rechten zijn niet nieuw, maar worden in de AVG wel meer benadrukt en nemen daardoor in belang toe. Denk hierbij aan het recht op inzage, correctie en verwijdering.
Cliënten kunnen hun gegevens makkelijk krijgen en doorgeven aan een andere organisatie als ze dat willen. Dit heet het recht op dataportibiliteit.
Bij dit alles blijft de Wet op de geneeskundige behandelovereenkomst (Wgbo) gewoon gelden. Die beschrijft de regels voor het bewaren van medische dossiers, onder meer dat medische dossiers vijftien jaar moeten worden bewaard. Cliënten hebben wel het recht om gegevens uit hun medisch dossier te laten verwijderen.
Bedrijven hebben een informatieplicht naar nieuwe en bestaande cliënten over de verwerking van hun persoonsgegevens, te wijzen op hun rechten én hoe je omgaat met datalekken. Hiervoor dient een privacyverklaring.
Met alle bedrijven die persoonsgegevens van ons verwerken (verwerkers) hebben wij een bewerkersovereenkomst afgesloten. In de bewerkersovereenkomst is vastgelegd wat deze bedrijven met de persoonsgegevens mogen doen, maar ook wat niet.
De meldplicht voor datalekken geldt al een aantal jaren onder de Wbp, en is daarmee niet nieuw. Wel nieuw is de eis in de AVG om een registratie bij te houden van alle datalekken.
Persoonsgegevens moeten beschermd worden. Zowel bij de ontwikkeling van nieuwe producten of diensten als bij bestaande moet ernaar gestreefd worden zo min mogelijk persoonsgegevens te gebruiken en deze maximaal te beveiligen. Ook moeten er al op voorhand maatregelen getroffen worden om extra gevoelige persoonsgegevens (bv medische gegevens) te beschermen.