1. Algemene informatie - De Algemene Verordening Gegevensbescherming (AVG)

Wij adviseren u om eerst dit artikel “1. Algemene informatie-De AVG” en de “2. Handleiding AVG” door te nemen voordat u met de documenten aan de slag gaat.

De AVG legt zorgaanbieders nieuwe strengere privacyverplichtingen op. Deze Europese regelgeving heeft als doel de verwerking van persoonsgegevens nog beter te beschermen. De AVG treedt per 25 mei 2018 in werking. De ANT heeft door advocatenkantoor Eldermans  en Geerts een aantal standaard documenten laten maken waarmee u als praktijkeigenaar op een groot aantal  punten voldoet aan de verplichtingen die voor u gaan gelden krachtens de AVG.

Wij adviseren u de “Handleiding AVG” door te nemen waarin precies staat aangegeven hoe u de standaard documenten dient in te vullen. Een aantal zaken zijn in de AVG niet helder geregeld. In de AVG is aangegeven dat u een funktionaris gegevensbescherming (FG) dient  aan te stellen als u op grote schaal gevoelige persoonsgegevens verwerkt. In de AVG wordt echter niet aangegeven wat precies verstaan dient te worden onder ‘op grote schaal’. De Autoriteit Persoonsgegevens (AP), die in Nederland is belast met de handhaving van de AVG, heeft aangegeven dat een ziekenhuis een FG dient aan te stellen en dat het voor een individuele zorgverlener (dus bijvoorbeeld een eenmanspraktijk) niet nodig is.Als het goed is zal na inwerkingtreding van de AVG verder worden ingevuld wie wel een FG nodig heeft en wie niet. De ANT wenst haar leden niet nodeloos op kosten te jagen, tenzij u eigenaar bent van meerdere tandartspraktijken waar in totaal meer dan 10 tandartsen werkzaam zijn, adviseren wij u om nog geen FG aan te stellen. Mocht de AP zich na verloop van tijd op standpunt stellen dat een FG nodig is in een praktijk waarin meer dan een x- aantal tandartsen werkt of die een x-aantal patiënten heeft, dan zal de ANT verder onderzoeken in hoeverre wij daarin ondersteuning kunnen bieden. 

In de AVG is ook de verplichting opgenomen tot het uitvoeren van een Data Protection Impact Assessment (DPIA). In de Nederlandse vertaling wordt de DPIA gegevensbeschermingseffectbeoordeling genoemd. Dit is een onderzoek waarbij de privacyrisico’s in kaart worden gebracht. Een DPIA is alleen verplicht als de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Ook hier wordt door de AP weer het voorbeeld van een ziekenhuis genoemd. Tot nu toe heeft de AP niet aangegeven dat individuele tandartspraktijken verplicht zijn een DPIA uit te voeren, mocht er een ander standpunt worden ingenomen dan zullen wij u daarover vanzelfsprekend nader informeren.

Veilig werken (zorgvuldig omgaan met de persoonsgegevens) is eveneens een verplichting die voortvloeit uit de AVG. In het op deze site geplaatste artikel “Aandachtspunten veilig werken” treft u een aantal praktische tips die veilig werken bevorderen. Als achtergrond informatie over de AVG vindt op deze site ook de “sheets van de workshop AVG” die Ralph Tak voor de ANT heeft verzorgd.