Regelmatig krijgen we vragen binnen over de interpretatie en uitvoering van de privacywetgeving in de zorg:
- inzien en delen van dossiers;
- beroepsgeheim;
- opslaan, bewaren en (veilig) delen van gegevens;
- wel of niet inzetten van een functionaris gegevensbescherming;
- zorgovereenkomst.
Daarom hebben we een digitale kennisbijeenkomst georganiseerd met onze samenwerkingspartner Eldermans | Geerts over de AVG en de WGBO.
Gestelde vragen tijdens het webinar
Mag je dan wel of geen cliënt /casus informatie delen per mail of WhatsApp? En dan bedoel ik naar een cliënt of andere hulpverleners.
Je mag informatie delen als er toestemming is, maar dit moet dan op een veilige manier gebeuren. Gewone e-mail en Whatsapp zijn geen veilige media en mogen daarvoor dan ook niet gebruikt worden.
Gegevens delen per mail
Gegevens delen per Whatsapp
Hoe ga je er als organisatie mee om als een derde partij niet zorgvuldig omgaat met de informatie van je cliënt?
Probeer dit bespreekbaar te maken met die andere partij, zij zijn daar verantwoordelijk voor. Er is uiteindelijk ook altijd de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Waar moet ik een datalek melden?
Als er een risico is voor de rechten en vrijheden van de persoon waarvan gegevens gelekt zijn, dan moet er altijd gemeld worden bij de Autoriteit Persoonsgegevens (AP). Afhankelijk van het soort melding moet het ook gemeld worden aan de betrokkene(n).
Informatie datalek
Moet je een datalekregister hebben en melden bij de AP?
Ja, één van de onderdelen van de AVG is de verplichting van een datalekregister. Daarnaast moet er gemeld worden bij de Autoriteit Persoonsgegevens (AP) als het lek risico’s heeft (zie ook hierboven).
FG voor melding bij AP?
Een datalekmelding gaat in principe altijd eerst naar de Functionaris Gegevensbescherming (FG), als die er in een organisatie is. Deze persoon coördineert dan verder het traject en zorgt ook voor eventuele melding bij de Autoriteit Persoonsgegevens (AP). Belangrijk is om hier binnen de organisatie duidelijke afspraken over te maken, ook als de FG met vakantie is, moeten meldingen door gaan.
Is een functionaris gegevensbescherming verplicht?
In de meeste gevallen is dit voor kleine zorgorganisaties niet nodig. Het mag natuurlijk wel. De FG moet onafhankelijk zijn, kan dus niet ook een managementfunctie hebben binnen de organisatie.
Hoe vaak moet je een DPIA doen?
Als er sprake is van een hoog privacy risico en elke grote nieuwe introductie van een nieuw systeem dat persoonsgegevens verwerkt.
Hoeveel jaar moet je een dossier van een client bewaren wanneer de client uit zorg gaat?
Als je zorg levert die valt onder de WGBO dan geldt een termijn van 20 jaar vanaf de laatste wijziging. Valt je ondersteuning niet onder de WGBO dan gelden de termijn zoals die in de andere wetten of uiteindelijk de AVG worden genoemd.
- Wmo – 15 jaar
- Jeugdwet – 20 jaar
- Wgbo – 20 jaar
- Anders – AVG
Bewaartermijn en recht van verwijdering door de client? Hoe verhoudt zich dit tot elkaar?
Recht van verwijdering gaat voor, de client heeft altijd het recht om (delen) van het dossier te laten verwijderen.
Moet een incident opgenomen worden in het een dossier?
Als je zorg levert en daarmee onder de WKKGZ valt dan is er de plicht om dit te melden aan de client en/of nabestaanden. Incidenten waarbij cliënten zijn betrokken en schade of bijna schade hebben opgelopen, moeten in het zorgdossier worden opgenomen. Ook de eventuele maatregelen om het nadeel of de schade te beperken horen thuis in het dossier.
Wat moet/mag ik vastleggen in het dossier?
Het BSN moet vastgelegd worden in het dossier zodat een client geïdentificeerd kan worden en de juiste gegevens uitgewisseld kunnen worden. Dit gebeurt door dit vast te stellen m.b.v. een geldig identiteitsbewijs. Een kopie hiervan mag echter niet opgenomen worden in het dossier.