Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Als alternatief inlogmiddel naast DigiD is tot 31-12-2018 een pilot gedraaid met Idensys. Naast een aantal gemeenten en verzekeraars heeft een aantal zorgpartijen aan deze pilot deelgenomen. De ervaringen opgedaan tijdens deze pilot zijn van belang voor het programma Impuls eID dat moet voorzien in de brede uitrol van authenticatiemiddelen van voldoende hoog betrouwbaarheidsniveau door BZK. Zie deze pagina voor een uitgebreidere toelichting of direct naar de brief aan de 2e Kamer van Staatssecretaris Knops van BZK van 29-02-2019 over de voortgang en aanpak

Dat er geen (in dit geval bijzondere) persoonsgegevens worden uitgewisseld doet niets af aan het feit dat je deze in beheer hebt. Ik zou me goed kunnen voorstellen dat in jouw situatie de maatregelen om de risico’s te minimaliseren van beperkte omvang kunnen zijn, maar het antwoord is JA. Je hebt inderdaad de plicht om de passende technische en organisatorische maatregelen te nemen die van jou als verwerkingsverantwoordelijke verwacht worden om te kunnen waarborgen (en aantonen) dat aan de AVG wordt voldaan. Iets anders geformuleerd klinkt het misschien iets vriendelijker: je voormalig patiënten moeten er op kunnen vertrouwen dat hun (bijzondere) persoonsgegevens nog steeds veilig bij je zijn.

Op het moment dat u om toestemming is/wordt gevraagd moet voor u glashelder zijn waarvoor u die toestemming geeft. Uw zorgverlener zal u dus precies moeten kunnen zeggen welke gegevens van u de deur uit gaan. Kan hij dat niet dan rest u niets anders dan uw teleurstelling – misnoegen te laten blijken en uw toestemming onmiddellijk weer in te trekken. Er is immers geen sprake van een informed consent … de basis van een opt-in. Uw zorgverlener dient zich te realiseren dat ook de opt-in’s voor alle overige patiënten die aan hetzelfde onderzoek deelnemen niet rechtsgeldig zijn. Uw zorgverlener kan alleen verantwoordelijkheid nemen voor zaken die hem bekend zijn. Zijn verwerker moet hem in staat stellen zicht te hebben op de geëxporteerde data die klaar staan om te worden verzonden. De verwerker dient een verwerkingsverantwoordelijke in staat te stellen een export voor verzending te autoriseren of af te wijzen.

Impact van de AVG is dat inzichten veranderen. Processen die zich tot dusver als min of meer vanzelfsprekend voltrokken worden nu tegen het licht gehouden. Dat is feitelijk wat de verordening beoogt: het waarom. Betrokkenen hebben recht op transparantie (Artikel 12 AVG). Maak duidelijk dat je alle (tot dusver gangbare) processen waarmee (bijzondere) persoonsgegevens zijn gemoeid tegen het licht houdt en dat je behoefte hebt aan meer garanties voor jezelf als verwerkingsverantwoordelijke, voor betrokkenen die hun persoonsgegevens aan je hebben verstrekt en de toezichthouder. Maak daarbij gebruik van de informatie die aangereikt is tijdens de webinars, op deze site en die van overheidsinstanties. Leg je acties (en reacties!) vast als onderdeel van het tot stand brengen van je ISMS  Zie ook deze vraag en antwoord

Net als WhatsApp maakt ook Siilo gebruik van end-to-end-encryptie. Er zijn wel wat verschillen. Siilo is ontwikkeld voor een veilige overdracht tussen zorgaanbieders. Het is dus niet mogelijk om met patiënten te communiceren. Siilo biedt een aantal extra maatregelen om gegevens te beveiligen. Bijvoorbeeld door een aparte map voor afbeeldingen, alle correspondentie versleuteld op te slaan en correspondentie na 30 dagen automatisch te wissen tenzij je daar zelf een stokje voor steekt. Volgens recente mededelingen (mei 2018) maken nu rond 70.000 zorgverleners van Siilo gebruik.  (Klik hier voor meer info over de beveiliging)

Nee dat kan een koepel niet. Als je je verplaatst in de rol van betrokkene (patiënt, werknemer of lid van een vereniging) begrijp je misschien dat ook jouw belangen worden behartigd met deze verordening. Wat zorgkoepels kunnen doen is hun leden informeren en hen er van  te overtuigen dat ze er verstandig aan doen op dit punt snel hun verantwoordelijkheid te nemen. Het helpt misschien als je je realiseert dat dat feitelijk al veel eerder had moeten gebeuren.

Dat er heel veel verplichtingen zijn waar je als zorgaanbieder moet voldoen is bekend. Er wordt gesproken over oplossingen voor de doorgeschoten administratieve verplichtingen. Het realiseren van oplossingen, waarbij ICT efficiënter en veilig wordt ingezet (en gegevens kunnen worden hergebruikt) kosten meer tijd dan wenselijk is. Maar over de vraag, of je als zorgverlener wel iets beter te doen hebt, dan je bezig te houden met de verplichtingen die voortvloeien uit de AVG verschillen we echt van mening. Zeker als je je realiseert dat patiënten dagelijks hun vertrouwen geven in de impliciete veronderstelling (en verwachting) dat hun gegevens in veilige handen zijn. Het op orde hebben van je informatiebeveiliging is een kwaliteitsaspect. Het niet op orde hebben van je informatiebeveiliging kan voor een patiënt dramatische gevolgen hebben.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport