banner

ZorgDomein en AVG

Versie augustus 2018

De AVG in het kort

De AVG ( Algemene verordening gegevensbescherming) vervangt de huidige Wet Bescherming Persoonsgegevens (Wbp). De AVG kent een aantal striktere eisen dan zijn voorganger de Wbp. Belangrijke punten uit de AVG zijn, de betrokkene heeft meer rechten, zoals bijvoorbeeld het recht op inzage, recht op correctie en recht op vergetelheid. Er zijn meer verplichtingen voor organisaties (als verwerkingsverantwoordelijke en als verwerker). Organisaties moeten kunnen verantwoorden welke data ze hebben, waarom ze die data hebben en wat daarmee gebeurt. Dit moet worden vastgelegd in een verwerkingsregister. Dit register kan worden opgevraagd door de Autoriteit Persoonsgegevens (AP).
ZorgDomein heeft meestal de rol van verwerker en handelt in opdracht van de verwerkersverantwoordelijke. Patiëntgegevens worden daarom enkel op verzoek van de verwerkersverantwoordelijke verwijderd (vaak de huisarts).

Verwerkersovereenkomst

Het afsluiten van een verwerkersovereenkomst (voorheen bewerkersovereenkomst) is wettelijk verplicht vanaf het moment dat ZorgDomein in opdracht van een gebruiker persoonsgegevens verwerkt. In de verwerkersovereenkomst wordt de verwerking van de gegevens vastgelegd tussen de verwerkingsverantwoordelijke (meestal de Verwijzer/Aanvrager) en de verwerker (ZorgDomein). ZorgDomein kan sinds mei 2018 niet meer worden gebruikt zonder dat deze verwerkersovereenkomst is afgesloten.
In deze verwerkersovereenkomst is onder andere vastgelegd dat indien een betrokkene (meestal patiënt) een verzoek indient voor inzage of verwijdering van gegevens dit nooit kan zonder dat de verwerkersverantwoordelijke hiervan op de hoogte is gebracht. ZorgDomein moet van de verwerkersverantwoordelijke de opdracht krijgen het verzoek van de betrokkene uit te voeren. Voor de betrokkene betekent dit dat zij altijd aan moet geven bij ZorgDomein wie de behandelend (huis)arts is. ZorgDomein neemt dan contact op met de verwerkersverantwoordelijke om de gevoerde communicatie te melden bij de verwerkersverantwoordelijke.

Privacy statement

Het privacy statement geeft helderheid over hoe ZorgDomein met gegevens omgaan.

Privacy Impact Assessment (PIA)

De PIA is een instrument om de privacyrisico’s van gegevensverwerking in kaart te brengen. Voor processen waarbij er ‘gegevens over gezondheid’ grootschalig worden verwerkt is een PIA gewenst. ZorgDomein heeft de PIA uit laten voeren door een externe partij. De PIA wordt herhaald zodra er plannen zijn voor ingrijpende vernieuwing/uitbreiding van de software.

Functionaris gegevensbescherming

Iedere partij die aan grootschalige verwerking van gevoelige (bijzondere) persoonsgegevens doet, moet een Functionaris Gegevensbescherming (FG) aanstellen. De FG ziet erop toe dat de AVG wordt nageleefd en heeft een adviesfunctie voor PIA en de uitvoering daarvan. De FG is bereikbaar via mail, het mailadres is informationsecurity@zorgdomein.nl.

Informatiebeveiliging

ZorgDomein is ISO-27001 en NEN7510 gecertificeerd en werkt voortdurend aan het verbeteren van onze processen voor informatiebeveiliging.

Contact

Voor specifieke vragen over ZorgDomein en de AVG kun je mailen naar informationsecurity@zorgdomein.nl.