AVG in de zorg

In de gezondheidszorg zien we dat datalekken helaas nog steeds voorkomen. Deze datalekken lijken meer aandacht en ophef te veroorzaken dan datalekken in andere sectoren. En dat is ook niet zo gek: zorginstellingen verwerken (zeer gevoelige) bijzondere persoonsgegevens, waardoor de waarborging van de privacy in de gezondheidszorg onder een vergrootglas ligt.

Bescherming van persoonsgegevens

Sinds de komst van de Algemene verordening gegevensbescherming (AVG) in 2018, hebben ook zorginstellingen extra verantwoordelijkheid gekregen om de privacy van patiënten te waarborgen. Omdat zorginstellingen bijzondere persoonsgegevens (oftewel medische gegevens) verwerken, is het van belang dat de beveiliging van deze gegevens aan hogere eisen voldoet dan een organisatie die geen bijzondere persoonsgegevens verwerkt. Bij het toepassen van de AVG in de zorg komt dan ook net wat meer kijken. Om zorginstellingen een kwaliteitskader te bieden, zijn er verschillende normen opgesteld. Denk daarbij aan NEN-normen en ISO-normen.

Toegang beperken

Niet iedere zorgverlener mag zomaar toegang krijgen tot elk patiëntendossier. Dit hangt af in hoeverre het noodzakelijk is dat de zorgverlener de persoonsgegevens ziet voor de zorgverlening aan de betreffende patiënt. De zorginstelling moet haar beleid telkens aan deze norm toetsen om de privacy van patiënten te waarborgen.

In de media zijn verschillende berichten verschenen van zorginstellingen die de inzage van dossiers niet beperkten. Dat heeft, naast maatschappelijke verontwaardiging, in sommige gevallen ook geleid tot een boete van de Autoriteit Persoonsgegevens.

Rechten van cliënten

Cliënten hebben onder de AVG-wet een aantal rechten met betrekking tot hun persoonsgegevens. De rechten van cliënten zijn onder andere vastgelegd in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Eén van die rechten is de mogelijkheid om je persoonsgegevens in te zien als je daar om vraagt. Als zorginstelling ben je verplicht om gehoor te geven aan dit verzoek. Wij zien dat zorginstellingen daarbij vaak in een spagaat zitten: aan de ene kant kost het veel tijd en aan de andere kant is er de wens om aan het verzoek te voldoen. Onze gezondheidsrecht advocaten adviseren daarom om vooraf goed na te denken over hoe je als zorginstelling reageert op een dergelijk inzageverzoek en je blijft voldoen aan jouw plichten binnen de AVG in de zorg.

Delen van persoonsgegevens en datalekken

Andere vragen die wij regelmatig krijgen, gaan over de vraag met wie zorginstellingen persoonsgegevens mogen delen. Dat gaat dan bijvoorbeeld om het delen van persoonsgegevens aan laboratoria, specialisten of in MDO’s.

In het verlengde daarvan speelt ook vaak de vraag of er een verwerkersovereenkomst gesloten moet worden. Dat is het geval wanneer een partij namens de andere partij persoonsgegevens verwerkt. De verwerker verwerkt in dat geval de persoonsgegevens in principe alleen op instructie van de verwerkingsverantwoordelijke (degene die de persoonsgegevens deelt) en stelt niet zelfstandig het doel van de verwerking vast.

Datalekken

Als er toch een datalek ontstaat, is het zaak om als zorginstelling extra zorgvuldig te zijn. De kans dat het datalek een hoog risico vormt voor de betrokken patiënt is door de verwerking van bijzondere persoonsgegevens groot. De zorginstelling moet in dat geval het datalek snel melden aan de Autoriteit Persoonsgegevens en de betrokkenen. Wacht vooral niet te lang om de schade zoveel mogelijk te beperken!

Naast de voorgaande onderwerpen zijn er vele andere privacyvraagstukken die in de zorg een rol spelen. Denk daarbij onder andere aan het uitvoeren van een gegevenseffectbeoordeling wanneer je een nieuwe verwerking van persoonsgegevens start.

Ben je benieuwd of jij als zorginstelling op dit moment aan alle privacywetgeving voldoet? Of heb je nog vragen over de AVG in de zorg? Onze gezondheidsrecht advocaten adviseren je graag over de te nemen stappen om de privacy van jouw patiënten te waarborgen.