Vrijwel iedere ondernemer heeft het inmiddels wel gehoord: vanaf mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. De AVG, zoals de verordening meestal genoemd wordt, moet gaan zorgen voor meer privacybescherming rondom de verwerking van persoonsgegevens. Om dit te realiseren moeten ondernemers, voor wat betreft de verwerking van persoonsgegevens, aan strengere eisen voldoen dan voorheen.

De overheid heeft geprobeerd duidelijkheid te scheppen over welke stappen ondernemers precies moeten nemen. Toch is het voor veel ondernemers nog niet helemaal duidelijk welke maatregelen ze precies moeten nemen om aan de AVG te voldoen, helemaal als het gaat om de verwerking van medische gegevens door fysiotherapeuten. In deze blog meer over de AVG en de verwerking van (medische) persoonsgegevens door fysiotherapeuten.

Wat gaat er veranderen door de invoering van de AVG?

Vanaf 25 mei 2018 geldt de AVG en moet iedere onderneming ‘AVG-proof’ zijn. Aan welke eisen je precies moet voldoen, hangt af van de soort gegevens die je verwerkt. De Autoriteit Persoonsgegevens heeft een ingewikkeld 10-stappenplan voor de AVG gepubliceerd, waarin globaal beschreven staat aan welke eisen je als ondernemer moet voldoen. Uiteindelijk is het de bedoeling dat je als ondernemer een rapport opstelt, waarin al deze stappen zijn uitgewerkt. Omdat je als fysiotherapeut medische (persoons-)gegevens verwerkt, gelden er bovendien aanvullende eisen. Als je de onderstaande vragen kunt beantwoorden, ben je al aardig op weg naar een AVG-proof onderneming.

Waarom verwerk ik persoonsgegevens?

Allereerst moet je in het rapport aangeven wat voor persoonsgegevens je precies verwerkt, met welk doel je dit doet en op basis van welke grondslag. Er wordt daarbij een onderscheid gemaakt tussen “gewone” persoonsgegevens en ‘”bijzondere” persoonsgegevens. Voor de verwerking van “gewone” persoonsgegevens is het voldoende dat je aangeeft met welk doel en met welke grondslag je de gegevens verwerkt. Het verwerken van bijzondere persoonsgegevens mag echter niet, tenzij een uitzondering van toepassing is.

Gegevens over iemands gezondheid vallen onder bijzondere persoonsgegevens, waardoor je als fysiotherapeut zal moeten aantonen dat een uitzondering op de regel van toepassing is. Een uitzondering kan zijn dat iemand uitdrukkelijk toestemming heeft gegeven of wanneer de verwerking noodzakelijk is voor de bescherming van de vitale belangen van de betrokkene.

Bestaat er een verhoogd risico voor mijn verwerking?

Als er sprake is van een verhoogd privacyrisico, ben je verplicht een zogenaamde Data Protection Impact Assessment (DPIA) uit te voeren. Gelukkig is er niet snel sprake van een verhoogd privacyrisico en hoef je ook niet voor iedere verwerking een DPIA uit te voeren. Je zal echter zelf moeten bepalen of er sprake is van een verhoogd privacyrisico bij jouw praktijk. Hiervan is niet snel sprake, maar laat een jurist dit voor de zekerheid controleren.

Hoe lang moet of mag ik persoonsgegevens bewaren?

In de AVG staat centraal dat je je producten of diensten al van tevoren op privacyrisico’s controleert en dat je gegevens niet langer bewaart dan nodig is. Deze stappen worden samen ‘Privacy by design & privacy by default’ genoemd. Het gaat erom dat je niet meer gegevens verwerkt dan strikt noodzakelijk is voor de werkzaamheden van je bedrijf. Ook moet je de gegevens die je niet langer nodig hebt zo snel mogelijk vernietigen. Daarnaast moet je de bewaartermijnen voor bepaalde gegevens in acht te nemen. Als je zeker wilt weten hoe lang je bepaalde gegevens mag of moet bewaren, kun je het beste een jurist om advies vragen.

Moet ik een register van persoonsgegevens bijhouden?

Als fysiotherapeut ben je voor de AVG een ‘verwerkingsverantwoordelijke’. Dit houdt in dat je een register moet bijhouden, waarin je een uitgebreide beschrijving geeft van de manier waarop je omgaat met het verwerken van persoonsgegevens. Hierbij kun je denken aan de doelen van de verwerking, aan wie je persoonsgegevens verstrekt en wat voor gegevens je precies verwerkt. Om precies te weten welke punten je in het register moet opnemen, is het verstandig om een jurist in te schakelen.

Heb ik alles goed beveiligd?

Beveiliging van persoonsgegevens wordt steeds belangrijker, zo blijkt ook uit de nieuwe regels van de AVG. Na de inwerkingtreding van de AVG moet je kunnen aantonen dat je de persoonsgegevens die je verwerkt, ook daadwerkelijk goed hebt beveiligd. Wat doe je als je een tablet of smartphone, waarop gevoelige gegevens staan, kwijtraakt? Gaat de computer op zwart als je je kantoor uitloopt? Op grond van de AVG moet je in het rapport kunnen aantonen dat je je beveiliging op orde hebt.

Hoe zit het met overeenkomsten die ik heb gesloten met anderen?

Als ondernemer sluit je overeenkomsten met anderen. Vaak verwerken deze partijen ook namens jou persoonsgegevens. Denk aan het laten factureren van behandelingen of de samenwerking met een zorgverzekeraar. Voor dit soort situaties eist de AVG dat je aangeeft met wie je dergelijke overeenkomsten hebt gesloten en dat je de bijbehorende verwerkersovereenkomsten sluit. Omdat de inhoud van zulke overeenkomsten kan verschillen, kun je deze het beste laten opstellen door een jurist.

Informeer ik de betrokkenen voldoende?

Tenslotte zijn er nog de rechten van de betrokkenen. De AVG moet ervoor zorgen dat de betrokkenen meer inzicht krijgen in de verwerking van hun persoonsgegevens. Als ondernemer moet je er daarom voor zorgen dat de betrokkenen hun privacyrechten kunnen uitoefenen. Hierbij kun je denken aan het recht op inzage en het recht op verwijdering van persoonsgegevens. Je bent dan ook verplicht om een privacyverklaring op te stellen, waarin je de betrokkenen informeert over de manier waarop je hun persoonsgegevens verwerkt. Ook hier geldt weer: raadpleeg een adviseur!

Conclusie

Het klinkt allemaal vrij ingewikkeld en dat is het eigenlijk ook wel. Het is daarom verstandig om een AVG-rapport op te laten stellen door een jurist, zodat je zeker weet dat jouw bedrijf in de toekomst helemaal AVG-proof is! Als je niet zeker weet wat je precies nodig hebt, kun je natuurlijk altijd eerst een risicoanalyse laten uitvoeren. Kijk voor meer informatie over de AVG op doorkees.nl of neem gerust contact op met een van onze adviseurs.