Algemene Verordening Gegevensbescherming (AVG)

Een overgangsperiode van twee jaar is dan al verstreken, aangezien de wet op 25 mei 2016 in werking is getreden in de Europese Unie.

De AVG bevat aangescherpte privacyregels voor alle maatschappelijke sectoren, waaronder de zorg. Zo wordt de positie versterkt van patiënten en krijgen zij extra privacyrechten. Apotheken die persoonsgegevens (zoals medicatiegegevens) verwerken, krijgen hierdoor meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van apotheken om te kunnen aantonen hoe de privacy van de patiënt is geborgd.

Grootste veranderingen door AVG

Apotheken moeten een Functionaris voor de Gegevensbescherming (FG) aanstellen wanneer zij aan meer dan 10.000 patiënten per jaar farmaceutische zorgt verlenen. Bij een aantal van minder dan 10.000 patiënten mag een apotheek een FG aanstellen, maar kan de apotheek de taak ook op andere wijze organiseren. Een FG controleert of de privacywetgeving wordt nagekomen, geeft advies, maakt inventarisaties van de gegevensverwerkingen en houdt deze bij. Ook is de FG contactpersoon voor de Autoriteit Persoonsgegevens (AP) en patiënten. Daarnaast wordt het door de AVG voor apotheken verplicht om:

1. een gegevensbeschermingseffectbeoordeling (GEB, ofwel Privacy Impact Assessment – PIA) uit te voeren als er sprake is van nieuwe technologieën die risico's met zich meebrengen. Met een PIA worden vooraf de privacyrisico’s van gegevensverwerking (bijvoorbeeld het opnemen van medische dossiers in een informatiesysteem) in kaart gebracht. Om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen;
2. een verwerkingsregister bij te houden van alle verwerkingen van persoonsgegevens, zoals die van patiëntgegevens. Voor elke verwerking is vastgelegd: welke categorie persoonsgegevens, categorie personen waarvan de gegevens verwerkt worden, en met welk doel en met welke partijen de gegevens gedeeld worden. Daarnaast waarom de gegevens verwerkt mag worden (wettelijke grondslag) en welke maatregelen genomen worden ter bescherming van de privacy;
3. een verwerkersovereenkomst te sluiten met leveranciers die gegevens in opdracht van de apotheek verwerken (voorheen de bewerkersovereenkomst onder Wbp);
4. nieuwe en extra rechten voor de patiënt na te leven. Deze mag bijvoorbeeld het dossier digitaal ontvangen en mag verzoeken de verwerking te beperken (alleen voor bepaalde doeleinde te gebruiken);
5. aantoonbaar te maken dat de apotheek voldoet aan de eisen van de wet, zoals hierboven genoemd. Dat geldt ook voor de overige vereisten voor informatieveiligheid, bijvoorbeeld de NEN-normen voor informatiebeveiliging in de zorg. In dit kader werkt de KNMP aan een doorontwikkeling van de website voor implementatie van de NEN7510.

Meer informatie: