Waar gaat het over?
Op 25 mei 2018 ging de nieuwe Europese regelgeving in rond de bescherming van persoonsgegevens. Er wordt verwacht dat alle professionals en organisaties, die gestructureerd met persoonsgebonden informatie werken, actief aan kunnen tonen dat er voldoende maatregelen worden genomen om deze gegevens te beschermen.
Verwerking van persoonsgegevens
Er wordt een brede definitie gehanteerd van zowel het begrip persoonsgegevens als van de verwerking ervan.
- Onder persoonsgegevens wordt alle persoonsgerelateerde informatie begrepen die kunnen leiden tot de identificatie van een persoon. Ook gegevens die op zich neutraal lijken zoals leeftijd, gewicht, soort auto,… worden hieronder begrepen. Immers, een combinatie van deze gegevens kan leiden tot identificatie van een specifiek persoon.
- Verwerking houdt alle handelingen in die met gegevens gesteld kunnen worden: ook inzage in gegevens of opslag ervan valt hieronder.
Opletten met medische gegevens
Verder wordt er extra aandacht besteed aan gevoelige gegevens zoals medische gegevens. Deze mogen in principe niet verwerkt worden, tenzij er wordt voldaan aan de juiste rechtsgrond en de gegevens worden verwerkt door (of onder verantwoordelijkheid van) personen die gebonden zijn aan het beroepsgeheim. Artsen die een medisch dossier bijhouden, wachtposten en groepspraktijken hebben dus het recht om deze gegevens te verwerken maar dienen dit goed te documenteren en te verantwoorden.
Hoe beginnen?
Domus Medica staat artsen bij in het hele proces en stelt heel wat documentatie ter beschikking. Deze pagina wordt regelmatig aangevuld, kom voor nieuwe informatie zeker terug een kijkje nemen.
De Privacycommissie heeft een stappenplan ontwikkeld om de voorbereiding te begeleiden. Omdat dit stappenplan niet overal volledig van toepassing is op de huisartsenpraktijk, ontwikkelde Domus Medica een eigen stappenplan. Hiermee kan de arts concreet aan de slag in zijn praktijk.
Een eerste oplijsting van de impact van de GDPR op de (huis)arts en welke stappen moeten genomen worden, is terug te vinden in Huisarts Nu van april 2018. Hier wordt ook ingegaan op mogelijke uitzonderingen voor individuele zorgverleners op het 13-stappenplan.
De belangrijkste opdrachten ter voorbereiding van de GDPR zijn
- het opstellen van een verwerkingsregister en privacyverklaring,
- een procedure voor het melden van gegevenslekken opstellen en
- de overeenkomsten met verwerkers nakijken en waar nodig aanpassen.
Niet alles zal meteen afgerond zijn want het hele GDPR-proces is een lopend en evoluerend geheel van stappen die in de praktijkwerking moeten geïntegreerd worden.Vertrek vanuit een stappenplan om op te lijsten welke prioriteiten de praktijk zal leggen, en hoe de verschillende onderdelen zullen worden aangepakt. Eens het stappenplan is opgesteld, start u best met het opstellen van het verwerkingsregister om de bestaande processen in kaart te brengen, en van daaruit de privacyverklaring en de nodige beschermingsmaatregelen op te starten.