Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Dit is een nieuwe Europese privacywet. Daardoor is de privacy in alle landen van de EU gelijk. Nu hebben de lidstaten nog hun eigen nationale wetten.

De Algemene verordening gegevensbescherming (AVG) komt dus in plaats van de oude Wet bescherming persoonsgegevens (Wbp). In de AVG staan een aantal verplichte maatregelen genoemd waaraan u, als therapeut, moet voldoen omdat u gegevens vastlegt in cliëntendossiers.Autoriteit persoonsgegevens

 

 

 

 

Verplichte maatregelen

De verplichte maatregelen die de AVG concreet noemt zijn:

  • het bijhouden van een register van verwerkingsactiviteiten;
  • het (laten) uitvoeren van een veiligheidscontrole van het digitale cliëntendossier. Dit kan gedaan worden door de leverancier, maar u kunt het ook zelf doen (als u de kennis in huis hebt) of een externe partij inschakelen.
  • het bijhouden van een register van datalekken die zijn opgetreden;
  • het aantonen dat een patiënt, of cliënt daadwerkelijk toestemming heeft gegeven voor het vastleggen van gegevens in het cliëntendossier.

Het register van verwerkingsactiviteiten

Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die u vast legt in het cliëntendossier, of in een digitaal programma. U mag zelf weten hoe u het register opstelt. Wel schrijft de AVG voor welke informatie u als therapeut in het register moet zetten. Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet u het register direct kunnen laten zien.

In het register van verwerkingsactiviteiten moet u opnemen:

  1. een omschrijving van de categorieën persoonsgegevens (= cliëntgegevens) die u verwerkt;
  2. een beschrijving van de doeleinden waarvoor u persoonsgegevens verwerkt. In de handleiding hebben wij dit al vast als voorbeeld voor u vastgelegd;
  3. welke rechten betrokkenen (cliënten) hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens;
  4. welke organisatorische en technische maatregelen u genomen heeft om de persoonsgegevens te beveiligen;
  5. hoe lang u de persoonsgegevens bewaart; en
  6. hoe u omgaat met een datalek.

Hieronder treft u een handleiding aan waarmee u dit register kunt opstellen.

Over dit document

Met behulp van dit document kunt u aan de hand van een aantal stappen vastleggen op welke manier u voldoet aan de Algemene verordening gegevensbescherming (AVG).

Zo ver als mogelijk is hebben wij alvast een voorstel voor een definitie aangegeven. Uiteraard kunt u dat wijzigen en aanvullen. Als u alle stappen heeft ingevuld en aangepast, heeft u hiermee een register van verwerkingsactiviteiten ingesteld. U kunt dit uitprinten en archiveren. U kunt dit tijdens de visitatie laten zien.

Meer weten? Lees hier verder!