Meer weten?

Neemt u dan contact met ons op via info@farmedvisie.nl.

Het AVG 10 Stappenplan van FarMedvisie

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Binnen FarMedvisie is in het afgelopen jaar opvolging gegeven aan het ’10-stappenplan’ van de Autoriteit Persoonsgegevens, om zodoende AVG-proof te geraken.

De 10 stappen betreffen:

1. Bewustwording
2. Rechten van betrokkenen
3. Overzicht verwerkingen
4. Data protection impact assessment (DPIA)
5. Privacy by design & privacy by default
6. Functionaris voor de gegevensbescherming
7. Meldplicht datalekken
8. Ver-/Bewerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming

De 10 stappen in vogelvlucht
1. Bewustwording
Binnen FarMedvisie worden voor medewerkers met regelmaat voorlichtingssessies georganiseerd om iedereen op de hoogte te brengen en te houden van de nieuwe privacyregels.

2. Rechten van betrokkenen
Naast versterking van de bestaande rechten (zoals reeds in de Wbp geregeld) krijgen mensen (‘betrokkenen’) door de AVG een aantal aanvullende rechten.

Twee nieuwe rechten onder de AVG zijn het recht op vergetelheid en het recht op dataportabiliteit
1. Vergetelheid: ook nu al, onder de Wbp, hebben betrokkenen het recht om een zorgaanbieder/FarMedvisie te vragen hun persoonsgegevens te verwijderen. Onder de AVG kunnen betrokkenen daarnaast eisen dat wij de verwijdering doorgeven aan alle andere organisaties die deze gegevens van ons hebben gekregen.

2. Dataportabiliteit: betrokkenen hebben onder de AVG (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een machine leesbaar formaat te ontvangen. Dit heet het recht op dataportabiliteit.

Het recht van dataportabiliteit houdt tevens in, dat cliënten van hun zorgverlener zouden kunnen eisen, dat deze de persoonsgegevens direct doorstuurt aan een nieuwe zorgverlener, die die gegevens zo mogelijk rechtstreeks in zijn zorginformatiesysteem opneemt.

FarMedvisie investeert al jaren in de ontwikkeling van communicatiemogelijkheden via het Landelijk Schakelpunt. Het belang van het Landelijk Schakelpunt (LSP) is dat het LSP de randvoorwaarde schept voor dataportabiliteit, namelijk een standaard voor dit soort communicatie tussen zorgverleners.

– FarMedvisie biedt de mogelijkheid om medicatiegegevens via het LSP op te vragen. Het vereiste is in dit geval dat de cliënt hiervoor toestemming heeft gegeven.
– FarMedvisie biedt de mogelijkheid om medicatiegegevens direct te leveren aan het cliëntportaal van een zorgaanbieder.
– FarMedvisie werkt momenteel aan het traject ‘Medicatieoverzicht’, waarbij de medicatie van de afgelopen 3 maanden digitaal via het LSP, door u naar een andere zorgverlener kan worden verstuurd.
– FarMedvisie werkt momenteel aan het traject ‘ambulant elektronisch voorschrijven’, waarbij de voorschrijver via het LSP verstrekkingsverzoeken naar de openbare apotheker kan sturen, die deze verzoeken vervolgens digitaal kan verwerken.

3. Overzicht verwerkingen
FarMedvisie heeft een verwerkingenregister. Daarin is opgenomen welke persoonsgegevens FarMedvisie verwerkt en met welk doel, waar de gegevens vandaan komen en met wie we ze deelt.
De functionaris gegevensbescherming (FG) van FarMedvisie is verantwoordelijk voor het beheer van het verwerkingenregister.

4. Privacy Impact Assessment
FarMedvisie voert bij nieuwe activiteiten waarbij persoonsgegevens worden verwerkt standaard een PIA uit. De PIA is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen en om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. De uitvoering van een PIA is verplicht als de beoogde gegevensverwerking waarschijnlijk een hoog privacy risico met zich meebrengt.

Definitief vastgestelde PIA rapportages worden bij FarMedvisie op een centrale plek opgeslagen. De FG van FarMedvisie is verantwoordelijk voor de beheer van dit register.

5. Privacy by design & Privacy by default
Gegevensbescherming door ontwerp en door standaardinstellingen (art. 25 AVG) houdt in, dat er door ons al tijdens de ontwikkeling van onze informatiesystemen aandacht wordt besteed aan privacyverhogende maatregelen. Met ‘standaardinstellingen’ dient bijvoorbeeld te worden voorkomen, dat er méér gegevens worden gevraagd, dan noodzakelijk in het licht van het doel waarvoor gegevensverwerking plaatsvindt.

6. Functionaris voor de gegevensbescherming (FG)
Voor FarMedvisie is de aanstelling van een FG een verplichting, die voortvloeit uit artikel 2 lid 1 van het Besluit elektronische gegevensverwerking door zorgaanbieders, dat luidt: De verantwoordelijke voor een elektronisch uitwisselingssysteem benoemt een functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de wet (i.e. nu de Wbp, per 25 mei 2018 zal de verwijzing naar de AVG zijn). FarMedvisie heeft per 1-9-2017 een FG aangesteld. De FG is feitelijk een soort vooruitgeschoven post van de Autoriteit Persoonsgegevens (AP) en is voor de AP het eerste aanspreekpunt.

7. Meldplicht Datalekken
De meldplicht datalekken is onder de AVG grotendeels hetzelfde gebleven als nu in de Wbp. De AVG stelt wel strengere eisen aan de registratie van de datalekken. Alle datalekken moeten worden gedocumenteerd. Met deze documentatie moet de AP kunnen controleren of aan de meldplicht IS voldaan. FarMedvisie registreert alle datalekken/incidenten en rapporteert daarover periodiek aan de directie van FarMedvisie. In aanvulling op de verzwaarde verplichtingen heeft FarMedvisie zijn verwerkersovereenkomst en de procedure melding datalekken aangepast.

8. Verwerkersovereenkomst
Zorgaanbieders zijn de Verwerkingsverantwoordelijke voor persoons- en medicatiegegevens. FarMedvisie is Verwerker van deze persoonsgegevens voor zorgaanbieders. Tussen FarMedvisie en zorgaanbieders is in het verleden altijd al een Bewerkersovereenkomst gesloten. Met het oog op het van kracht worden van de AVG is deze Bewerkersovereenkomst aangepast. Voor zover dat nog niet is gebeurd, zal FarMedvisie een nieuwe aangepaste overeenkomst sluiten.

9. Leidende toezichthouder
De zogeheten leidende (externe) toezichthouder voor FarMedvisie was onder de Wbp de AP. Ook onder de AVG blijft dat de AP.

10. Toestemming
De uitwisseling van gegevens is gebaseerd op toestemming van de betrokkenen. De AP heeft bepaald, dat zorgaanbieders verantwoordelijk zijn voor de rechtmatige verkrijging en registratie van deze toestemmingen.
De verwerking van het BSN mag alleen als daarvoor een wettelijke grondslag bestaat. Toestemming van een betrokkene is nooit (nimmer) voldoende om het BSN te mogen verwerken.
Van de verwerkingen moet een register worden bijgehouden.

FarMedvisie biedt aan zorgaanbieders een S.a.a.S.-oplossing en is daardoor Verwerker van gegevens voor de zorgaanbieder/Verwerkingsverantwoordelijke. Op basis van artikel 8 lid 2 van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (voorheen was dit de Wet gebruik Burgerservicenummer in de zorg) is een zorgaanbieder bevoegd tot verwerking van het BSN. FarMedvisie heeft in deze een afgeleide bevoegdheid.

Artikel 8 luidt:
1. De zorgaanbieder neemt het burgerservicenummer van de cliënt in zijn administratie op bij het vastleggen van persoonsgegevens met betrekking tot de verlening van zorg.
2. Indien de zorgaanbieder overeenkomstig het bepaalde in artikel 15a (van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg) gegevens van de cliënt beschikbaar stelt via een elektronisch uitwisselingssysteem, is de rechtspersoon die dat elektronisch uitwisselingssysteem beheert en in stand houdt, bevoegd tot het verwerken van het burgerservicenummer van die cliënt voor zover dat noodzakelijk is om zijn taak als beheerder uit te voeren.