figure 1

Dit jaar had iedereen het over de Algemene Verordening Gegevens-bescherming (AVG), bedoeld om ervoor te zorgen dat organisaties zorgvuldig omgegaan met persoonsgegevens (dit zijn gegevens die herleidbaar zijn tot een persoon) en om misbruik te voorkomen. Met de AVG-rechten kunnen burgers grip op hun eigen persoonsgegevens houden. De Autoriteit Persoonsgegevens krijgt meer handhavingsbevoegdheden, waaronder de gevreesde boetes. Zeker in de zorg, waar vertrouwen tussen organisatie, behandelaar en cliënt noodzakelijk is om goede zorg te kunnen verlenen, is het van groot belang om zorgvuldig om te gaan met persoonsgegevens.

De AVG vervangt sinds 25 mei 2018 de Wet Bescherming Persoonsgegevens (WBP). Andere sectorspecifieke wetten uit de gezondheidszorg en het sociaal domein (de Wet Geneeskundige Behandelingsovereenkomst, de Wet Bijzondere Opnemingen Psychiatrische Ziekenhuizen, de Jeugdwet en de WMO 2015) blijven naast de AVG bestaan. Je mag onder de AVG bijvoorbeeld alléén gegevens aan een derde verstrekken als dat mag op grond van de AVG én als je een grond hebt om het beroepsgeheim te doorbreken.

Is de AVG een grote verandering? Dat valt wel mee. Veel van de verplichtingen bestonden al, evenals de rechten van betrokkenen. Was er in je organisatie sprake van achterstallig onderhoud, dan was er nog wel wat te doen. Er werd een privacybeleid vastgesteld, een verwerkingsregister ingericht en een functionaris gegevensbescherming aangesteld. Ook werden er verwerkingsovereenkomsten gesloten en werd een procedure rond datalekken vastgelegd. Daarnaast werden privacyrisico’s onderzocht in gegevensbeschermingseffectbeoordelingen, werden betrokkenen geïnformeerd en privacyverklaringen op websites geplaatst.

Wat verandert er? Een paar highlights. Persoonsgegevens moeten adequaat worden beveiligd tegen inbreuk, misbruik of diefstal. Niet alleen het systeem moet beveiligd, meestal door de afdeling ICT, ook zelf zul je veilig moeten omgaan met de gegevens van je cliënten. Bijvoorbeeld door te mailen via beveiligde verbindingen (de Autoriteit Persoonsgegevens heeft hier nu een duidelijk standpunt over ingenomen) en je moet er alert op zijn dat de informatie wordt toegezonden aan de juiste geadresseerde, een typefoutje is snel gemaakt. In onze sector is er al snel sprake van een datalek. Meer hierover kun je vinden in Geregeld van maart 2017. Dus al geeft een cliënt toestemming om hem te mailen op een hotmailadres, de AVG staat het niet toe, omdat de gegevens niet adequaat beveiligd zijn.

Als er geen andere wettelijke grondslag aanwezig is, bijvoorbeeld een wettelijke verplichting, dan kan informatie alleen met anderen worden gedeeld als daarvoor toestemming is gegeven, ook voor informatie aan de verwijzer. Eerder gingen we er vaak vanuit dat de cliënt akkoord was, zolang deze geen bezwaar maakte. Nu is expliciete toestemming nodig.

Lijstjes met persoonsgegevens zijn snel gemaakt en vaak reuzehandig, denk aan intakeplanningen, wachtlijstbestanden, overzichten van contactgegevens et cetera. Maar handig is niet meer de juiste reden. Er moet een duidelijk omschreven doel zijn én een wettelijke grondslag. De verwerking moet worden opgenomen in het verwerkingenregister en vooraf moet in een gegevensbeschermingseffectbeoordeling worden beoordeeld of er privacyrisico’s zijn.

De meeste rechten van betrokkenen kenden we al: het recht op informatie, inzage, correctie/rectificatie, aanvulling en bezwaar/vernietiging. Her en der worden nog wat termijnen in overeenstemming gebracht met de AVG. Nieuw zijn het recht op dataportabiliteit (het recht om gegevens in zodanige vorm te ontvangen dat ze door de betrokkene gemakkelijk kunnen worden doorgegeven aan een ander), het recht op vergetelheid en het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

De AVG levert kortom veel verplichtingen op voor organisaties. Voor hulpverleners gaat het vooral om veilig, zorgvuldig en bewust omgaan met cliëntgegevens, met als doel een goede vertrouwensrelatie en een betere behandeling. Daar kan toch niemand tegen zijn.