Dit jaar had iedereen het over de Algemene Verordening Gegevens-bescherming (AVG), bedoeld om ervoor te zorgen dat organisaties zorgvuldig omgegaan met persoonsgegevens (dit zijn gegevens die herleidbaar zijn tot een persoon) en om misbruik te voorkomen. Met de AVG-rechten kunnen burgers grip op hun eigen persoonsgegevens houden. De Autoriteit Persoonsgegevens krijgt meer handhavingsbevoegdheden, waaronder de gevreesde boetes. Zeker in de zorg, waar vertrouwen tussen organisatie, behandelaar en cliënt noodzakelijk is om goede zorg te kunnen verlenen, is het van groot belang om zorgvuldig om te gaan met persoonsgegevens.
De AVG vervangt sinds 25 mei 2018 de Wet Bescherming Persoonsgegevens (WBP). Andere sectorspecifieke wetten uit de gezondheidszorg en het sociaal domein (de Wet Geneeskundige Behandelingsovereenkomst, de Wet Bijzondere Opnemingen Psychiatrische Ziekenhuizen, de Jeugdwet en de WMO 2015) blijven naast de AVG bestaan. Je mag onder de AVG bijvoorbeeld alléén gegevens aan een derde verstrekken als dat mag op grond van de AVG én als je een grond hebt om het beroepsgeheim te doorbreken.
Is de AVG een grote verandering? Dat valt wel mee. Veel van de verplichtingen bestonden al, evenals de rechten van betrokkenen. Was er in je organisatie sprake van achterstallig onderhoud, dan was er nog wel wat te doen. Er werd een privacybeleid vastgesteld, een verwerkingsregister ingericht en een functionaris gegevensbescherming aangesteld. Ook werden er verwerkingsovereenkomsten gesloten en werd een procedure rond datalekken vastgelegd. Daarnaast werden privacyrisico’s onderzocht in gegevensbeschermingseffectbeoordelingen, werden betrokkenen geïnformeerd en privacyverklaringen op websites geplaatst.
Wat verandert er? Een paar highlights. Persoonsgegevens moeten adequaat worden beveiligd tegen inbreuk, misbruik of diefstal. Niet alleen het systeem moet beveiligd, meestal door de afdeling ICT, ook zelf zul je veilig moeten omgaan met de gegevens van je cliënten. Bijvoorbeeld door te mailen via beveiligde verbindingen (de Autoriteit Persoonsgegevens heeft hier nu een duidelijk standpunt over ingenomen) en je moet er alert op zijn dat de informatie wordt toegezonden aan de juiste geadresseerde, een typefoutje is snel gemaakt. In onze sector is er al snel sprake van een datalek. Meer hierover kun je vinden in Geregeld van maart 2017. Dus al geeft een cliënt toestemming om hem te mailen op een hotmailadres, de AVG staat het niet toe, omdat de gegevens niet adequaat beveiligd zijn.
Als er geen andere wettelijke grondslag aanwezig is, bijvoorbeeld een wettelijke verplichting, dan kan informatie alleen met anderen worden gedeeld als daarvoor toestemming is gegeven, ook voor