AVG in een notendop

AVG in een notendop (van controle naar regie)

Belangrijk is  de principes van de AVG te benoemen want hier is de wet omheen gebouwd en worden de te nemen maatregelen op geënt. Daarbij kan ‘organisatie’ ook als ‘huisartsenpraktijk’ gelezen worden. De wet geldt voor ons allemaal, ook voor de zorgsector en daarbinnen ook voor de huisarts. 

De basisprincipes zijn:

  • Rechtmatige, behoorlijke en transparante verwerking 

    Organisaties moeten geldige redenen hebben om persoonsgegevens te verwerken en moeten die informatie aan de betrokkene geven.

     
  • Doelbinding

    Er moet een duidelijke reden zijn voor de verwerking van persoonsgegevens. De gegevens mogen alleen worden gebruikt voor het doel waarvoor zij verzameld zijn.De betrokkene van wie persoonsgegevens worden verwerkt, moet over het algemeen hiervoor zijn instemming geven.

     
  • Minimale gegevensverwerking

    De verwerkte gegevens moeten beperkt zijn tot wat strikt noodzakelijk is voor een specifiek doel. Toegang mag alleen worden gegeven aan degenen die die gegevens voor dat specifieke doel nodig hebben.

     
  • Juistheid

    De gegevens moeten juist zijn en eventuele onjuistheden moeten gemakkelijk kunnen worden gecorrigeerd. Een betrokkene heeft het recht om dergelijke rectificatie te vragen.

     
  • Opslagbeperking

    De gegevens mogen alleen worden bewaard zolang ze noodzakelijk zijn voor het beoogde doel.

     
  • Integriteit en vertrouwelijkheid

    De gegevens moeten worden verwerkt op een wijze die adequate beveiliging van de gegevens garandeert, waaronder voorkoming van ongeoorloofde verwerking en onopzettelijk verlies.

     
  • Verantwoordingsplicht

    De organisatie moet in staat zijn de naleving van bovenstaande principes en gerelateerde corrigerende maatregelen aan te tonen. Een organisatie moet kunnen aantonen dat zij afdoende veiligheidsmaatregelen heeft genomen en dat naleving adequaat wordt gecontroleerd.  

Het venijn zit hem in de staart. Waar er tot nu een meldingsplicht was: persoonsregistraties (doel en inhoud) werden gemeld bij de Autoriteit Persoonsgegevens moet degene die een persoonsregistratie voert de verantwoordingsplicht die dat met zich mee brengt kunnen aantonen. 

Verplichtingen die voortkomen uit de AVG zijn onder andere:

  • opstellen en bijhouden van het ‘Verwerkingsregister’;
  • het benoemen van de functionaris gegevensbescherming;
  • het volledig op orde brengen van de verwerkersovereenkomsten (bewerkersovereenkomsten);
  • het maken (en bijhouden) van een gegevensbeschermingseffectbeoordeling; de zogenaamde PIA ( Privacy Impact Assessment).

Bij dit alles is wel van belang dat de organisatie/huisartsenpraktijk nu al voldoet aan de bepalingen van de huidige wetgeving (WBP). Zie de aandachtspunten Gegevensbescherming  (WBP)  onder het kopje Extra. De controle van Inspectie en Autoriteit Persoonsgegevens verschuift dus naar meer regie over de eigen praktijk.