Arrangement voor de gezondheidszorg

Wanneer mogen iemands medische gegevens worden gebruikt en doorgegeven? Welke  aansprakelijkheden en kostenrisico’s heeft de zorgorganisatie? Welke regels zijn er voor het vastleggen van iemands medische gegevens in een medisch dossier? En hoe doe ik dat binnen het verwerkingenregister?

Binnen de gezondheidszorg hebben de professionals een integrale aanpak ontwikkeld voor zorgprofessionals en de zorgorganisaties. In een ecosysteem wordt het gedrag, de normen en standaardisatie toegepast waarbij de voordelen direct worden opgemerkt.

World's Fastest

Privacy en gegevensbescherming in de gezondheidszorg

Binnen de gezondheidszorg werken veel partijen met elkaar samen en in ketens. Ook met het uitwisselen van patiënt en cliënt informatie. Sinds 25 mei 2018 is de Europese AVG van toepassing. Alle zorgprofessionals én zorgorganisaties die persoonsgegevens verwerken moeten voldoen aan de Avg. Dit betekent dat er maatregelen binnen ketensamenwerkingen dienen te worden/zijn georganiseerd.

  1. Zorgprofessionals en zorgorganisaties laten zien op welke niveau de gegevensbescherming en privacy van betrokkenen (cliënten en patiënten) worden gewaarborgd;
  2. Zo min mogelijk inspanning per zorgorganisatie tegen aanvaardbare tijd en kosten;
  3. Minder risico’s op een datalek, en minder of geen schade en boetes als gevolg van een mogelijk datalek (o.a. de-escalatie);
  4. Een duidelijk plan van aanpak door middel van volwassenheidsniveau’s (accountability);
  5. Communiceren en afspraken maken tussen zorgprofessionals en zorgorganisatie gaat stukken beter binnen een ecosysteem;
  6. Eén domein van vertrouwen waarin de ketenverantwoordelijkheid is geregeld; en
  7. De verantwoording naar de betrokkenen goed is geregeld.

De bestaande regels, zoals de WGBO, Wkkgz, Wet BIG, Zvw en Wmg over gegevensbescherming en privacy worden door de Avg bevestigd en op onderdelen versterkt. De Avg-regels gaan ook naast de huidige regels voor het medisch beroepsgeheim bestaan.

Onder de Avg gelden nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt (de betrokkenen).

Functionaris voor Gegevensbescherming

Als een zorgorganisatie niet grootschalig gegevens verwerkt, kan het nog steeds nuttig zijn om een FG aan te stellen of te delen. Een FG kan een organisatie helpen een organisatie in te richten. De Autoriteit Persoonsgegevens (AP) adviseert andere zorgaanbieders om een FG aan te stellen. Een FG kan worden ‘gedeeld’ met andere zorgaanbieders of extern (voor een beperkt aantal uren) worden ingehuurd, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.

In veel gevallen zullen zorgorganisaties verplicht zijn een register van verwerkingsactiviteiten bij te houden, een data protection impact assessment (DPIA) uit te voeren, een FG aan te stellen of te delen. Ook zijn gegevensuitwisselings- en verwerkersovereenkomsten in veel gevallen verplicht af te sluiten. Tevens, in het kader van ketenzorg zullen partijen transparant zijn over het niveau van volwassenheid binnen de zorgsector.

Vraag vrijblijvend een offerte aan of kom in contact

Offerte

Waar gaat het om?

In de video geeft privacy-professional mr. drs. Jeroen Terstegge zijn visie in de zorgsector. Lees het volledige artikel hier.

Intrakoop is de grootste inkoopcoöperatie van de zorg in Nederland. Zo’n 550 zorgorganisaties met ruim 7.000 locaties maken gebruik van onze diensten en inkoopoplossingen. “Met onze kennis van de zorgsector, de leveranciersmarkt en het inkoopproces, helpen we onze leden om hun bedrijfsvoering te optimaliseren”.

Intrakoop heeft voor haar leden samen met Duthler Associates een servicepakket samengesteld om op een betaalbare en laagdrempelige wijze aan de AVG te kunnen voldoen.

En nu... implementeren

Waar bestaat het servicepakket uit?

  • Het beschikken over het NFU / Duthler Associates normenkader zorg;
  • Opleidingen, bewustwording en handboeken op het gebied van gegevensbescherming en privacy in de zorg;
  • Het organiseren van de wettelijke verplichte registers van verwerkingen en datalekken te organiseren en te beheren;
  • MYOBI wordt als platform (makelaars- en notarisfunctie) ingezet om de verplichte Avg-proof privacyovereenkomsten te organiseren, door middel van het privacy seal wordt verantwoording afgelegd over het niveau van gegevensbescherming en mediation wordt ingezet voor de-escalatie;
  • De maatregelen die een zorgorganisatie treft moeten zijn afgestemd op de risico’s van de betreffende gegevensverwerking. Voor sommige gegevensverwerkingen is een Data Protection Impact Assessments (DPIA) verplicht.