De Algemene Verordening Gegevensbescherming (AVG) heeft ook impact op de praktijk van een zorgverstrekker.
Over de Algemene Verordening Gegevensbescherming (AVG), vaak aangeduid met de Engelstalige afkorting GDPR (Genral Data Protection Regulation), is de voorbije maanden al heel wat geschreven. Maar welke impact heeft de op 28 mei van dit jaar ingevoerde regeling op de praktijk van een huisarts? De AVG werd door het Europees parlement ingevoerd om de persoonsgegevens van elke individuele burger te beschermen. In België staat de Gegevensbeschermingsautoriteit (GBA), de opvolger van de Commissie voor de bescherming van de persoonlijke levenssfeer, in voor de opvolging van de regels.
Het is ten eerste belangrijk te weten wat er onder persoonsgegevens wordt verstaan. De AVG omschrijft dat als volgt: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.” De vermelding dat ook een indirecte identificering onder de regelgeving valt, betekent concreet dat wanneer een code de identificatiegegevens vervangt, de persoon indirect identificeerbaar is en dus de AVG-regels gelden.
Om de AVG-regels na te leven dienen een aantal basisregels in acht te worden genomen:
- Rechtmatigheid, behoorlijkheid en transparantie
- Doelbinding: persoonsgegevens worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen uitsluitend worden verwerkt met het oog op die doeleinden
- Minimale gegevensverwerking: persoonsgegevens moeten ter zake dienen en beperkt blijven tot het noodzakelijke
- Juistheid: persoonsgegevens moeten correct en geactualiseerd zijn. onjuiste gegevens moeten worden verwijderd of gecorrigeerd
- Opslagbeperking: persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk
- Integriteit en vertrouwelijkheid: persoonsgegevens moeten op een beveiligde manier worden verwerkt
De persoon waarvan u gegevens bewaart, kan zich op een aantal rechten beroepen:
- Recht op informatie: de informatie moet duidelijk en kosteloos worden verstrekt
- Recht van inzage: werd ook reeds opgenomen in de Wet op de patiëntenrechten
- Recht op rectificatie
- Recht op wissen van gegevens (recht op vergetelheid): vraagt een persoon dit dan moeten de gegevens zo snel mogelijk worden gewist. Voor medische gegevens telt wel de wettelijke bewaringstermijn en zijn er uitzonderingen om redenen van algemeen belang op het gebied van volksgezondheid
- Recht op beperking van gegevens: elke burger kan vragen zijn gegevens niet te verwerken waardoor u enkel het recht hebt ze op te slaan
- Recht op overdraagbaarheid van gegevens
- Recht van bezwaar: iedereen kan weigeren dat zijn gegevens worden verwerkt, tenzij in enkele bij wet vastgestelde uitzonderingen
Voor de verwerking van gezondheidsgegevens bestaan specifieke regels. De algemene regel is dat de verwerking van deze gegevens verboden is, tenzij in bepaalde gevallen:
- De patiënt heeft vooraf zijn uitdrukkelijke toestemming gegeven
- De verwerking is noodzakelijk om de patiënt te beschermen
- De verwerking is noodzakelijk in het kader van preventieve of arbeidsgeneeskunde
- De verwerking is noodzakelijk om redenen van algemeen belang op het gebied van volksgezondheid
Als u ‘gevoelige’ gegevens verwerkt, wat voor u als huisarts het geval is, moet u een register per type van verwerkte persoonsgegevens bijhouden en regelmatig bijwerken. Voorbeelden zijn gegevens uit patiëntendossiers of gegevens die via de online raadplegingskalender zijn geregistreerd. U moet dat register bijhouden en op verzoek van de Gegevensbeschermingsautoriteit GBA kunnen voorleggen. Dat register zal allerlei informatie bevatten, zoals de verwerkingsverantwoordelijke, het doel van de verwerking, het soort gegevens, het medium, de personen met wie u de gegevens hebt gedeeld, informatie over de risico's en de beveiligingsmaatregelen.
