AVG Privacy
Per 25 mei 2018 treedt de nieuwe privacy wet, de Algemene verordening gegevensbescherming (AVG) in werking. Ik heb mij daarop voorbereid en heb mijn privacyreglement beschreven, een register verwerkingsactiviteiten gemaakt en een verwerkersovereenkomst gemaakt. Deze kun je terugvinden op de website.
De AVG is een nieuwe Europese privacywet. De privacy in alle landen van de EU is dan gelijk. Nu hebben de lidstaten nog hun eigen nationale wetten. De Algemene verordening gegevensbescherming (AVG) komt in plaats van de oude Wet bescherming persoonsgegevens (Wbp). In de AVG staan een aantal verplichte maatregelen genoemd waaraan de therapeut, moet voldoen omdat ik gegevens vastleg in cliëntendossiers.
Concrete verplichte maatregelen:
• het bijhouden van een register van verwerkingsactiviteiten;
• het (laten) uitvoeren van een veiligheidscontrole van het digitale cliëntendossier. Dit kan gedaan worden door de leverancier, maar u kunt het ook zelf doen (als u de kennis in huis hebt) of een ex-terne partij inschakelen;
• het bijhouden van een register van datalekken die zijn opgetreden;
• het aantonen dat een patiënt of cliënt daadwerkelijk toestemming heeft gegeven voor het vastleggen van gegevens in het cliëntendossier.
Het register van verwerkingsactiviteiten
Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die u vastlegt in het cliëntendossier, of in een digitaal programma. U mag zelf weten hoe u het register opstelt. Wel schrijft de AVG voor welke informatie u als therapeut in het register moet zetten. Als de Autoriteit Persoonsgege-vens (AP) daar om vraagt, moet u het register direct kunnen laten zien.
In het register van verwerkingsactiviteiten moet opgenomen worden:
a. een omschrijving van de categorieën persoonsgegevens (= cliëntgegevens) die therapeut verwerkt;
b. een beschrijving van de doeleinden waarvoor therapeut persoonsgegevens verwerkt.
c. welke rechten betrokkenen (cliënten) hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens;
d. welke organisatorische en technische maatregelen therapeut genomen heeft om de persoonsgegevens te beveiligen;
e. hoe lang therapeut de persoonsgegevens bewaart en
f. hoe therapeut omgaat met een datalek.