KNOV Winkelmandje (0) Menu

FAQ AVG

Gepubliceerd: 09 april 2018

Per 25 mei 2018 moet elke praktijk voldoen aan de AVG. De AVG verandert de Nederlandse Wet bescherming persoonsgegevens. U krijgt als praktijkhouder meer verplichtingen en moet kunnen aantonen dat u hieraan voldoet. De KNOV heeft een FAQ opgesteld. Staat uw vraag niet in de lijst? Stuur dan een mailtje naar helpdesk@knov.nl

Hoe moet ik als verloskundigenpraktijk voldoen aan de NEN7510 norm?

  • Het is niet voldoende als uw softwareleverancier NEN7510 proof is. Dit moet u zelf als verloskundigenpraktijk ook zijn. (Zie ook de vraag 'Wanneer is de NEN7510 verplicht?)
  • Dit kan via de derde module van het VvAA pakket. Ook zijn er veel adviseurs op de markt die dit kunnen doen.

Wanneer is de NEN7510 verplicht?

De NEN7510 is volgens de AVG niet verplicht maar wel de norm waar binnen de zorg al snel naar wordt gekeken als het gaat om informatie beveiliging. Als u werkt met een elektronisch uitwisselingssysteem, dan is de NEN7510 wel verplicht.

Aanvulling: Volgens het Besluit Elektronische gegevensverwerking:

  • De verantwoordelijke voor een elektronisch uitwisselingssysteem draagt overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van dat elektronisch uitwisselingssysteem. (bijvoorbeeld Zorgdomein)
  • Een zorgaanbieder draagt overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem waarop hij is aangesloten.

Zowel de zorgaanbieder (de verloskundige) als de verantwoordelijke (bv eigenaar Zorgdomein) voor het elektronisch uitwisselsysteem dragen zorg voor een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem. Wel elk op hun eigen gebruik.

Is er ook een toestemmingsverklaring nodig van de cliënte voor het delen van informatie met zorgverzekeraars?

Nee, dat is niet nodig.

Als zorgaanbieder mag u onder de Algemene verordening gegevensbescherming (AVG) persoonsgegevens blijven verstrekken aan zorgverzekeraars.

De regels onder de huidige Wet bescherming persoonsgegevens (Wbp) gelden voor bijvoorbeeld het verstrekken van gegevens aan zorgverzekeraars voor de declaratie van zorgkosten, het aanvragen van machtigingen en het uitvoeren van formele en materiële controle en blijven onder de AVG dus bestaan.

Mag ik de cliënte vragen vooraf een toestemmingsformulier te ondertekenen voor eventuele gegevensuitwisseling met de huisarts en de gynaecoloog?

Met toestemming van de patiënt mag de zorgverlener gegevens aan derden verstrekken. De cliënt kan deze toestemming alleen geven als zij vooraf is ingelicht over het doel, de inhoud en de mogelijke consequenties voor gegevensverstrekking. Een algemene toestemmingsverklaring bij aanvang van de begeleiding mag dus niet.

Moet ik toestemming vragen om cliëntgegevens te verwerken?

Nee, er is geen expliciete toestemming nodig van de cliënte.

Bij de nieuwe wet gaat het er om dat je expliciet toestemming vraagt om de gegevens te verwerken. Tijdens de eerste informatiebijeenkomst op 26 maart is ten onrechte aangegeven dat deze toestemming vooraf moet zijn vastgesteld. Uit overleg tussen VvAA en de Autoriteit Persoonsgegevens volgt het volgende:

De AVG is soms in strijd met andere wetten. In dit geval moet de WGBO worden aangehouden. Deze stelt dat de behandelovereenkomst expliciet en impliciet kan worden overeengekomen. Om juiste zorg te leveren is dossiervorming nodig en kan toestemming worden verondersteld. Het is dus niet nodig om expliciet toestemming te verkrijgen door middel van bijvoorbeeld een getekend formulier. Het feit dat er een impliciete of expliciete behandelovereenkomst ligt is voldoende. Let op: het is wel verplicht de patiënten te informeren over hun rechten en plichten, zodat patiënten weten waar ze impliciet of expliciet toestemming voor geven.

Moet ik toestemming vragen voor gegevensuitwisseling met andere zorgverleners die rechtstreeks zijn betrokken bij de uitvoering van de behandelingsovereenkomst?

Indien andere zorgverleners rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst kunnen de medische gegevens zonder toestemming van de patiënt worden uitgewisseld (artikel 7:457 BW). De toestemming van de patiënt kan dan worden verondersteld. Dat was al zo.

Als het gaat om uitwisseling met derden dan moet er nog steeds gerichte toestemming aan de cliënt worden gevraagd.

Moet er toestemming worden gevraagd aan de cliënte om LVR gegevens aan te leveren bij Perined?

Ja, hiervoor moet toestemming worden gevraagd aan de cliënte. De postcode en de geboortedatum van de moeder wordt geregistreerd. Dit maakt dat deze gegevens tot de persoon herleidbaar zijn.

Moet er ook een verwerkersovereenkomst worden afgesloten met een partij die persoonsgegevens van jouw cliënten verwerkt, als er een contract is waarin het beroepsgeheim staat?

Ja, dan moet ook een verwerkersovereenkomst worden afgesloten.

Moeten er ook verwerkersovereenkomsten met ziekenhuizen worden afgesloten?

U moet met alle partijen, waarmee u persoonsgegevens uitwisselt, verwerkersovereenkomsten afsluiten, maar niet als dit in het kader is van de zorgverlening. U hoeft met ziekenhuizen geen verwerkersovereenkomst af te sluiten. U hoeft ook geen verwerkersovereenkomst af te sluiten met huisartsen, specialisten etc.

Moet ik met mijn accountant ook een verwerkersovereenkomst afsluiten?

Ja, er worden persoonlijke gegevens uitgewisseld van medewerkers.

Met welke partijen stelt de KNOV verwerkersovereenkomsten vast tbv verloskundigenpraktijken?

De KNOV stelt verwerkersovereenkomsten vast met Perined, Vrumen, Orfeus, Onatal, Vecozo en Peridos.

Mag de Functionaris Gegevensbescherming ook een praktijklid zijn?

Ja, dat mag. Deze persoon moet wel de opleiding tot FG hebben gevolgd.

Mag de Functionaris Gegevensbescherming ook collectief worden aangesteld? Bijvoorbeeld door een coöperatie?

Ja, dat mag.

Ben ik verplicht een Functionaris Gegevensbescherming te hebben?

U bent soms verplicht een functionaris voor de gegevensverwerking (FG) aan te stellen. Bijvoorbeeld als u op grote schaal gezondheidsgegevens van cliënten verwerkt. Het is nog niet duidelijk wat de precieze uitleg is van 'op grote schaal'.

Het is daarom nog niet duidelijk in welke gevallen zorgaanbieders met een eigen praktijk aan deze verplichting moeten voldoen. De Autoriteit Persoonsgegevens stelt dat ziekenhuizen in elk geval verplicht zijn een FG aan te stellen, maar een individueel werkende arts/verloskundige niet. Er wordt nog gewerkt aan een praktische richtlijn.

Als er gewerkt wordt met een elektronisch uitwisselingssysteem (bijvoorbeeld Zorgdomein), dan is de FG verplicht bij de verantwoordelijke van het elektronisch uitwisselsysteem. In het geval van Zorgdomein is het dus Zorgdomein die verplicht is een FG aan te stellen. Niet de gebruikers zoals een verloskundige.

Als een zwangere haar eigen zwangerschapskaart in haar tas heeft en de tas wordt gestolen, is er dan sprake van een datalek?

Nee, zij bewaart haar eigen persoonlijke gegevens en heeft zelf 'gelekt'. Dit is haar eigen verantwoordelijkheid.

Moet er met medewerkers van de praktijk die geen beroepsgeheim hebben, een geheimhoudingsplicht worden vastgelegd? Het gaat dan om bijvoorbeeld praktijkassistentes, schoonmakers en stagiaires.

Op grond van de wet bestaat er een van de praktijkhouder afgeleid beroepsgeheim voor de medewerkers van de praktijk. Echter, je moet kunnen aantonen dat je de privacy goed hebt besproken binnen de praktijk. Dus leg de regels met betrekking tot de privacy van de cliënten ook goed vast in een contract met schoonmakers, praktijkassistentes en stagiaires.

Mogen gegevens via een fax worden verzonden?

De ontvanger van de fax is er verantwoordelijk voor dat er geen datalek ontstaat. Bij een fax liggen de gegevens open in een bakje. Als ontvanger moet je ervoor zorgen dat alleen personen die daartoe gerechtigd zijn, de gegevens kunnen zien. Het is niet per definitie verboden om gegevens via fax te verzenden als er maar goed over na is gedacht en wordt voorkomen dat er een datalek ontstaat. Maar uiteraard kan de afspraak ook zijn dat er niet meer gefaxt wordt.

Hoort een interne memo ook tot het medisch dossier die een cliënte mag inzien?

Als u de interne notitie nodig heeft voor goede zorgverlening, dan behoort dit tot het medisch dossier. Eigen aantekeningen horen niet bij het medisch dossier en zijn dus ook niet opvraagbaar voor de cliënte.

Cliënten kunnen zich inschrijven via de website van de praktijk. Deze aanmelding komt binnen op de gewone mail. Mag dat?

Liever via Zorgmail. Maar soms kan het niet anders dan mailen met cliënten via onbeveiligde mail. Het advies is om de cliënten in te lichten over de risico's en eventueel toestemming te vragen of het akkoord is om te mailen met onbeveiligde mail. Er moet wel een verwerkersovereenkomst worden afgesloten met de leverancier van de website.

Hoe lang moet een ondertekend toestemmingsformulier worden bewaard?

Hiervoor gelden dezelfde regels als het bewaren van een medisch dossier.

Mag ik geboortekaartjes ophangen in de wachtkamer?

Dat mag als duidelijk is dat de cliënte hiervoor toestemming heeft verleend. Er moet worden voorkomen dat een data-lek ontstaat.

Deel via:

  • Facebook
  • Twitter
  • E-mail

Koninklijke Nederlandse Organisatie van Verloskundigen

Beroepsorganisatie van en voor verloskundigen

Word lid