Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Dat hangt af van de opdracht. Maar daar zal de accountant je ook over kunnen informeren. Als hij de salarisadministratie verzorgt, vervult hij die rol als verwerker en moet je dus inderdaad een verwerkersovereenkomst te sluiten.  Meer informatie tref je op de site van de Koninklijke Nederlandse Beroepsorganisatie van Accountants

Nee. Een verwerkersovereenkomst sluit je met een persoon of organisatie die ten behoeve van jou (als de verwerkingsverantwoordelijke) persoonsgegevens verwerkt. Daarvan is geen sprake. De WGBO (Wet Geneeskundige Behandelingsovereenkomst) ziet toe op de samenwerking met iedere professional die een behandelrelatie heeft met de betreffende patiënt. De AVG verandert daar niets aan.

Ja dat is de Wet Cliëntenrechten bij elektronische verwerking van gegevens in de zorg. In die wet worden de rechten van de patiënt en de plichten van de zorgverlener genoemd. (zie dit document en in het bijzonder de matrices). De in het document aangegeven termijn waarop de patiënt kan beschikken over een elektronische versie van zijn gegevens (2020) strookt niet met artikel 20 van de AVG die op 25-05-2018 van kracht wordt. Omdat in geval de verordening boven de wet gaat is snel duidelijkheid gewenst en aanleiding voor overleg op diverse niveau’s.

De wet Cliëntenrechten bij elektronische verwerking van gegevens van gegevens treedt op 1 juli 2017 in werking. Enkele wettelijke bepalingen zijn daarvan uitgezonderd: de bepalingen die patiënten het recht geven op elektronische inzage en elektronisch afschrift en het recht gespeci ceerd toestemming te geven. Deze wettelijke bepalingen treden op 1 juli 2020 in werking. Zorgverleners krijgen dus nog even de tijd om aan die specifieke wettelijke bepalingen te voldoen. zie voor een verdere toelichting rijksoverheid.nl

Stel vast wie de verwerkingsverantwoordelijke is (dus de opdrachtgever voor de verwerker). Als je dat zelf bent dien je te beschikken over een overeenkomst. De AVG stelt voorwaarden aan de inhoud van een dergelijke overeenkomst. Als die overeenkomst ontbreekt en/of sprake is van een min of meer gedwongen opdrachtgeverschap ga dan na hoe die tot stand gekomen is. Leg alles (dus ook de communicatie met betrokken instanties) zo zorgvuldig mogelijk vast in het kader van artikel 30 van de AVG (verwerkingen in kaart brengen) en het tot stand brengen van het ISMS. Zonder het door jou gewenste inzicht ben je niet in staat / kan niet van je worden verlangd om de verantwoordelijkheid te nemen die je cliënten/patiënten van je (moeten kunnen) verwachten.

Als die wens tot aanpassing het gevolg is van je risicoanalyse en de door jou als noodzakelijk gekwalificeerde maatregelen om aantoonbaar aan de AVG te voldoen, maakt dan schriftelijk (of via een bericht) aan de leverancier duidelijk waarom je wilt dat de overeenkomst wordt aangepast. Het kan geen kwaad om te verwijzen naar artikel 28  van de AVG. Verlang van de verwerker ook een schriftelijke reactie waarin hij uiteenzet waarom hij niet wil of kan voldoen aan je verzoek. Als je in de reactie aanleiding ziet tot nadere stappen, leg dat dan in je documentatie die onderdeel is van je informatiebeveiligingsplan vast. Leg in relatie tot artikel 28.3 ook vast welke vervolgstappen je overweegt.

Jazeker. Voor een verwerker gelden dezelfde plichten als voor een verwerkingsverantwoordelijke.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport