De Belgische Gegevensbeschermingsautoriteit (hierna: GBA) heeft haar Strategisch Plan voor de komende drie jaar toegelicht. Hieruit is gebleken dat de GBA sterk de nadruk heeft gelegd op de verwerking van gezondheidsgegevens omwille van de verhoogde risico’s op de privacyrechten. Jurist en gecertificeerde Data Protection Officer bij Apogado, Melissa Dogan, onderzocht de implicaties hiervan voor huisartsen/huisartsenpraktijken.
De prioriteit van de komende drie jaar ligt op de grootschalige verwerkingen met een hoog risico, maar wat bedoelt de GBA hier nu concreet mee? Onder “grootschalige gegevensverwerkingen met hoog risico” verstaat de GBA verwerkingen (zowel in de private als in de publieke sector) die door hun omvang of aard een potentieel grote impact hebben op de privacy van betrokkenen. In het strategisch plan worden expliciet enkele voorbeelden genoemd, waaronder ook “gezondheidsgegevens”. Het betreft onder meer de verwerking van medische data door ziekenhuizen en zorgnetwerken. Ook individuele huisartsen(praktijken) met grote patiëntenbestanden (digitale medische dossiers) vallen hieronder.
Voorts heeft de GBA in het Strategisch Plan aangekondigd dat de focus verschuift van een reactieve aanpak (na ontvangst van een klacht) naar een proactieve toezichtstrategie. Dit houdt in dat er preventieve en doelgerichte inspecties zullen plaatsvinden bij organisaties die in het vizier staan.
Wat betekent dit voor uw praktijk?
Het risico op proactieve controles door de inspectiedienst van de GBA is toegenomen voor organisaties die actief zijn in de zorg. Dit Strategisch Plan vormt dan ook een belangrijk signaal om extra alert te zijn als ziekenhuis, groepspraktijk of aanbieder van een gezondheidsapp.
De GBA zal strenger toezien op de beveiliging van data, de voorwaarden voor een geldige toestemming van de patiënt, en dit steeds rekening houdend met de AVG, Wet Patiëntenrechten en de Wet betreffende de kwaliteitsvolle praktijkvoering in de gezondheidszorg, en het principe van minimale gegevensverwerking. Dit betekent dat je geen gegevens van de patiënt mag bijhouden die niet langer nodig zijn voor de zorgverstrekking in kader van de therapeutische relatie met de patiënt. Deze relatie kan diagnostisch, curatief, preventief, palliatief van aard zijn, maar kan ook betrekking hebben op een bedrijfsgeneeskundige of controlegeneeskundige relatie.
Om de impact van het verwerken van gezondheidsgegevens goed te kunnen inschatten, kan men zich afvragen wat er zou gebeuren als de huisartsenpraktijk het slachtoffer wordt van een cyberaanval? Hoeveel gevoelige patiëntengegevens zouden er dan op straat kunnen belanden? Bovendien heeft dit ook een impact op uw werking van de praktijk. Stel dat u uw agenda niet meer kan raadplegen of patiëntendossiers niet meer kan openen waardoor u uw werk niet kan uitvoeren. Bovendien worden gezondheidsgegevens op grote schaal verhandeld op het dark web.
De GBA heeft reeds in een nota van 2019 betreffende de verwerking van gegevens uit patiëntendossiers gewezen op de zogenaamde referentiemaatregelen voor de beveiliging van patiëntengegevens. Daarbij wordt in het bijzonder aandacht besteed aan de logische beveiliging van de toegang tot patiëntendossiers, de logging van toegangen en de implementatie van een mechanisme voor controle en monitoring van de toegang tot een patiëntendossier. Daarnaast gelden onverkort de technische en organisatorische maatregelen van artikel 32 AVG, zoals onder meer de pseudonimisering van persoonsgegevens, het beschikken over het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot patiëntendossiers tijdig te herstellen en, ten slotte, het hanteren van een procedure om op gezette tijdstippen de doeltreffendheid van deze maatregelen te testen.
Er zijn dus gegronde redenen om huisartsenpraktijken te wijzen op het belang van de AVG regels. Om huisartsenpraktijken hierin te ondersteunen, werkt Domus Medica samen met Apogado een aanbod uit rond het informeren van huisartsen en huisartsenpraktijken inzake GDPR-regelgeving, maar ook daadwerkelijk het implementeren van deze verplichtingen. Meer hierover volgt snel op de website van Domus Medica en hou ook zeker onze vormingskalender in het oog, want het eerste webinar rond GDPR-regelgeving vindt plaats op 28 april 2026. Inschrijven kan vanaf nu via deze link.
Yente Reinenbergh,
Jurist
