Keilhacker Lichaamswerk
Praktijk voor Mindfulness, Psychomotorische Therapie (PMT) en Compassietraining

Algemene verordening gegevensbescherming (AVG)

Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Dit is een nieuwe Europese privacywet. Daardoor is de privacy in alle landen van de EU gelijk. Nu hebben de lidstaten nog hun eigen nationale wetten.

De Algemene verordening gegevensbescherming (AVG) komt dus in plaats van de oude Wet bescherming persoonsgegevens (Wbp). In de AVG staan een aantal verplichte maatregelen genoemd waaraan je, als  vaktherapeut, moet voldoen omdat u gegevens vastlegt in cliëntendossiers.

Verplichte maatregelen
De verplichte maatregelen die de AVG concreet noemt zijn:

  • het bijhouden van een register van verwerkingsactiviteiten;
  • het (laten) uitvoeren van een veiligheidscontrole van het digitale cliëntendossier.
    Dit kun je o.a. doen door de leverancier te laten verklaren van het digitale cliëntendossier voldoet aan de NEN 7510. Dit is de standaard beveiligingseis die gesteld wordt aan software die in de zorg gebruikt wordt om persoonsgegevens te verwerken.
  • het bijhouden van een register van datalekken die zijn opgetreden;
  • het aantonen dat een patiënt, of cliënt daadwerkelijk toestemming heeft gegeven voor het vastleggen van gegevens in het cliëntendossier. 

Het register van verwerkingsactiviteiten 
Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die je vast legt in het cliëntendossier, of in een digitaal programma. Je mag zelf weten hoe je het register opstelt. Wel schrijft de AVG voor welke informatie je als vaktherapeut in het register moet zetten. Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet je het register direct kunnen laten zien.

In het register van verwerkingsactiviteiten moet je opnemen:

  1. een omschrijving van de categorieën persoonsgegevens (= cliëntgegevens) die je verwerkt;
  2. een beschrijving van de doeleinden waarvoor je persoonsgegevens verwerkt. In de handleiding hebben wij dit alvast als voorbeeld voor je vastgelegd;
  3. welke rechten betrokkenen (cliënten) hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens;
  4. welke organisatorische en technische maatregelen je genomen heeft om de persoonsgegevens te beveiligen;
  5. hoe lang je de persoonsgegevens bewaart; en
  6. hoe je omgaat met een datalek.