Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Er worden veel vragen gesteld die beginnen met het werkwoord “mogen” of “moeten“. Dus: Mogen … moeten wij, nu de AVG van kracht is, dit of dat (nog) doen? Misschien goed om je te realiseren dat  je veelal niet echt iemand anders nodig hebt om antwoord op vragen te krijgen als je jezelf consequent de volgende vragen voorlegt:

  1. Is sprake van een rechtmatige verwerking?
  2. Beschik ik over de expliciete toestemming van betrokkene(n) als dat wordt verlangd?  
  3. Bestaan (of ontstaan) voor een betrokkene (patiënt, medewerker of lid) vermijdbare risico’s bij deze handeling of verwerking?
  4. Heb ik voldoende inzicht in de eventuele gevolgen voor de betrokkene(n) en mijn organisatie?
  5. Als het antwoord op vraag 3 JA luidt, kan/wil ik (ook ethisch gezien!) de betrokkene(n) en mijn organisatie aan die risico’s blootstellen?
  6. Ben ik ook bereid om de daaruit eventueel voortvloeiende consequenties (boetes, reputatie- of imagoschade) te aanvaarden?

Vooral voor organisaties die nog moeten starten is het veel. Waar te beginnen. Uiteraard met het verwerkingsregister. Maar ook het  op orde hebben van de informatiebeveiliging. Voorwaarde voor het (verplicht) gebruik van BSN in de zorg is (al enige jaren) de implementatie van de norm voor informatiebeveiliging NEN7510 (zie dit bericht).

Het van kracht worden van de AVG op 25-05-2018 en het besef dat implementatie van de NEN7510 een vereiste is  zorgt hier en daar voor paniek. Vooral bij de confrontatie met uitgebreide risicoanalyses en de omvang van deel 2 (Beheersmaatregelen) van de NEN7510.

Het is misschien goed om te weten dat er nog veel moet gebeuren voordat alle zorgorganisaties aantoonbaar aan de AVG zullen voldoen. Dat neemt niet weg dat je moet beseffen dat als geen acties worden ondernomen, je niet moet rekenen op begrip van de toezichthouder en betrokkenen.

  • Als eerste stap is het goed om op een zo kort mogelijke termijn te streven naar minimaal level 2 van de Privacy Maturity Index.
  • De inhoud (en uitgebreidheid) van een risicoanalyse is afhankelijk van vele (eigen organisatie specifieke) variabelen. Hanteer het principe SMART (Specifiek Meetbaar Acceptabel Realistisch en Tijdgebonden) bij het bepalen van de scope voordat je met die risicoanalyse aan de slag gaat
  • Documenteer alles wat je onderneemt
  • Dat SMART principe is ook van belang bij het documenteren van de maatregelen je graag wilt nemen maar niet kunt nemen door gebrek aan capaciteit, financiën of invloed.

 

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport