AVG: welke stappen zetten wij en hoe ondersteunen wij onze klanten?

 in Kwaliteit & privacy

Op 25 mei is het zover, dan treedt de Algemene Verordening Gegevensbescherming in werking. Wij worden overspoeld met mailings die ons vertellen wat we moeten doen en wat straks niet meer mag. U vast ook.

Wij geven daarom niet de zoveelste checklist, maar willen u informeren over de stappen die wij zetten ter voorbereiding. Werken met data en (bijzondere) persoonsgegevens is onze core business. Wij zijn daardoor continu bezig met privacybescherming en nu dus ook met de AVG.

De AVG in het kort

De AVG vervangt de huidige Wet Bescherming Persoonsgegevens (Wbp). Er zijn veel overeenkomsten tussen beide wetten, maar de AVG kent een aantal striktere eisen.

In het kort kunnen we de AVG omschrijven als: meer rechten voor de respondent, meer expliciet over verplichtingen voor organisaties (als verwerkingsverantwoordelijke). Organisaties moeten kunnen verantwoorden welke data ze hebben en wat daarmee gebeurt.

Wat zijn belangrijke onderwerpen en wat doen wij?

Hieronder lichten we een aantal belangrijke onderwerpen toe. Wat houdt het in en wat doen we om u als klant te ondersteunen bij de invulling van de rol van verwerkingsverantwoordelijke.

Verwerkersovereenkomst

Wat is het?
Het afsluiten van een verwerkersovereenkomst (voorheen bewerkersovereenkomst) is wettelijk verplicht op het moment dat wij in opdracht van een klant persoonsgegevens verwerken. In de verwerkersovereenkomst wordt de volledige verwerking van de gegevens vastgelegd tussen de verwerkingsverantwoordelijke (klant) en de verwerker (Mediquest). Er staat onder andere in hoe de data worden verwerkt, door wie, wat de bewaartermijn is en met welke subverwerkers er wordt samengewerkt.

Voor onze klanten
Wij stellen voor al onze klanten waarvoor dit nodig is een verwerkersovereenkomst op die aan alle eisen uit de AVG voldoet. Onze klanten ontvangen deze van ons en hoeven, naast accorderen hiervoor niets te doen. De verwerkersovereenkomst bevat een bijlage waarin ook een projectspecifieke omschrijving van de uitgewisselde data en het dataverwerkingsproces is opgenomen. Deze bijlage geeft invulling aan het verwerkersregister dat onze klanten als verwerkingsverantwoordelijke inzichtelijk dient te hebben. Wanneer onze klanten akkoord zijn en ondertekenen, zijn zij, als verwerkersverantwoordelijken, ervan verzekerd dat de afspraken rondom data en verwerking goed vastgelegd en te verantwoorden zijn.

Privacy statement

Wat is het?
Het privacy statement geeft helderheid over hoe wij met gegevens omgaan en wat de rechten van de respondent zijn. Het informeert onze klanten, maar ook hun patiënten of cliënten over welke gegevens wij ontvangen en hoe we hiermee omgaan. Ook beschrijft het welke rechten de patiënt heeft, wie de gegevens ontvangen die noodzakelijk zijn voor het onderzoek en hoe lang de gegevens worden bewaard.

Voor onze klanten
Klanten kunnen informatie uit ons algemene privacy statement gebruiken om hun patiënten of cliënten te informeren. Ook ontvangen klanten van ons een onderzoek-specifiek privacy statement, omdat zaken per onderzoek kunnen verschillen. Daarnaast ontvangen personen die wij voor onze klanten uitnodigen voor onderzoek bij aanvang een korte uitleg over de gegevensverwerking en verwijzen we naar ons uitgebreide privacy statement.

Privacy Impact Assessment (PIA)

Wat is het?
De PIA is een instrument om de privacyrisico’s van een gegevensverwerking in kaart te brengen. Voor processen waarbij er ‘gegevens over gezondheid’ grootschalig worden verwerkt is een PIA gewenst. Diverse verwerkingstappen van patiënt- en cliëntonderzoeken met CQi, PREM, cPTO en PROMs komen in aanmerking voor een PIA.

Voor onze klanten
Wij hebben al jarenlang een Business Architect in dienst die onder andere kijkt naar de borging van informatiebeveiliging in de informatieverwerkende systemen die wij ontwikkelen en diensten die we van onderaannemers inkopen. Hiermee zorgen we dat privacy-afwegingen al in de ontwerpfase worden meegenomen, het zogenaamde ‘Privacy-by-design’.

In de verwerkersovereenkomst die wij onze klanten aanbieden staan de exacte data die wij voor de betreffende opdracht verwerken, hoe wij dit verwerken en welke beveiligingsmaatregelen wij daarvoor hebben ingericht. Deze concreet omschreven informatie is bruikbaar voor onze klanten om gemakkelijker hun PIA uit te voeren.

Functionaris gegevensbescherming

Wat is het?
Iedere partij die aan grootschalige verwerking van gevoelige persoonsgegevens doet, moet een Functionaris Gegevensbescherming (FG) aanstellen. De FG ziet erop toe dat de AVG wordt nageleefd en heeft een adviesfunctie voor PIA en de uitvoering daarvan. De verwerkingsverantwoordelijke (opdrachtgever van Mediquest) dient zeker een FG te hebben.

Voor onze klanten
Onze FG zorgt ervoor dat onze dienstverlening, nieuw en bestaand, in lijn is en blijft met de AVG. De FG stimuleert een gegevensbeschermingscultuur binnen Mediquest. Ook helpt de FG met de implementatie van essentiële elementen van de AVG, zowel intern als in onze dienstverlening.

Onze FG heeft de kennis en kunde om de Mediquest systemen te doorgronden en de privacyrisico’s helder in kaart te brengen. De FG is het eerste aanspreekpunt voor de FG’s van onze klanten. Hiermee hebben zij een aanspreekpunt die hun taal spreekt en die helderheid kan bieden over hoe AVG-eisen in onze bedrijfsvoering zijn geborgd en worden bewaakt.

Wie voor Mediquest kiest, kiest voor kwaliteit en veiligheid

Kwaliteitsbewustzijn en continue kwaliteitsverbetering zijn al standaard onderdeel van ons werk. De AVG stelt straks striktere eisen, maar is in onze ogen de al bestaande Wbp in een nieuw jasje. De meeste eisen zijn daarom voor ons vanzelfsprekend.

Wat wij structureel doen:

  • Wij zijn ISO-27001, ISO-9001 en NEN7510 gecertificeerd en werken daardoor continu aan het verbeteren van onze processen voor informatiebeveiliging
  • Wij organiseren interne kennissessies over AVG en informatiebeveiliging – al onze medewerkers werken daardoor vanuit een hoog bewustzijn rondom beveiliging en privacy
  • Samenwerken met onze klanten en subverwerkers om zorgvuldig om te gaan met de privacy van alle cliënten en patiënten van onze klanten
  • Privacy by design & Privacy by default – Informatiebeveiliging is standaard onderdeel in de (door)ontwikkeling van onze projecten

Contact

Heeft u vragen over de AVG? Kijkt u dan op de website van de Autoriteit Persoonsgegevens. Voor specifieke vragen over onze dienstverlening en de AVG kunt u contact opnemen met uw contactpersoon bij Mediquest of mailen naar info@mediquest.nl.

N.B. Deze informatie vanuit Mediquest kan niet worden beschouwd als een vervanging van juridisch advies.

Die zou u ook kunnen interesseren