De AVG bevat twee maatregelen die op nationaal niveau worden voorbereid. Ook in Nederland worden wetten al aangepast om te voldoen aan deze AVG. Het gaat om een meldplicht bij datalekken en de verplichting tot het aanstellen van een privacyfunctionaris voor zorginstellingen.
EPD’s
Het treft zorginstellingen die gebruik maken van epd’s. Als de AVG nog in dit jaar wordt aangenomen, kan die al volgend jaar ingaan. Echter geldt wel een overgangstermijn van twee jaar. Het zou dus kunnen dat elke zorgaanbieder die met een elektronische uitwisselbaarsysteem voor patiëntengegevens werkt, volgend jaar al een privacyfunctionaris moet gaan werven. Samenwerkingsverband BoZ schrijft hierover: ‘De inhoud van de nieuwe Europese en nationale regelgeving staat nog niet vast. Maar het is wel zaak om deze ontwikkelingen te blijven volgen, zodat u niet verrast wordt als het zover is.’
Artikel 34a
De Tweede Kamer buigt zich momenteel over een nieuw artikel 34a van de Wet bescherming persoonsgegevens. Dit artikel bevat de meldplicht bij datalekken. Elke zorgorganisatie wordt verplicht om bepaalde beveiligingslekken te melden bij het College bescherming persoonsgegevens (CBP). Volgens de laatst bekende versie van de wetstekst moet het gaan om een lek dat ‘ernstige nadelige gevolgen heeft voor de bescherming van de verwerkte persoonsgegevens’. Als dat ‘waarschijnlijk ongunstige gevolgen’ zal hebben voor de patiënten, moeten ook patiënten over dit datalek worden geïnformeerd.
Als de AVG is aangenomen dan zijn de te verwachten veranderingen als volgt:
- Wie patiëntgegevens verwerkt, de verantwoordelijke, moet aan de patiënt kunnen vertellen wat precies het beleid is en wat zij met de gegevens doen.
- Een gegevensbeschermingsbeleid moet worden geformuleerd voor de gehele levenscyclus van gegevensverwerking, vanaf het verzamelen tot en met het vernietigen van persoonsgegevens.
- Wie gevoelige persoonsgegevens verwerkt, zoals patiëntgegevens, moet de gegevensverwerking onderwerpen aan een ‘privacyeffectbeoordeling’.
- Een patiënt moet verzoeken inzake de uitoefening van zijn rechten desgewenst elektronisch kunnen indienen.
- De nationale toezichthouder, het CBP, krijgt de bevoegdheid om boetes op te leggen tot maximaal honderd miljoen euro of vijf procent van de jaaromzet van de organisatie.
BoZ
De Brancheorganisaties Zorg bestaat uit ActiZ, GGZ Nederland, NFU, NVZ en VGN samen met artsenfederatie KNMG, apothekerskoepel KNMP en werkgeversorganisatie VNO-NCW.
‘Status NEN7510 in de zorg is grote uitdaging’ vanwege de ‘Algemene Maatregel van Bestuur bij wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens’.
Waarschijnlijk zal NEN7510, de veldnorm voor informatiebeveiliging in de zorg, binnenkort een wettelijke status krijgen. De beveiliging van patiëntgegevens moet immers altijd geborgd zijn en hier kan niet op worden afgedongen.
Deze AMvB gaat véél verder dan de Europese regelgeving want het bevat de volledige NEN7510, 7512 en 7513. Mogelijk geeft het plenair debat van de Tweede Kamer op 2 juni 2014 meer duidelijkheid.
Naast de genoemde privacyfunctionaris zullen zorginstellingen met een ‘functionaris informatiebeveiliging’ in het voordeel zijn.
Vergeten ze de gemeenten niet? What about jeugdzorg?