Vragen en antwoorden over de AVG

Vragen over de Algemene Verordening Gegevensbescherming (AVG)? Hier vindt u de antwoorden.

Geen antwoord kunnen vinden op uw vraag? Overleg met uw Functionaris voor de Gegevensbescherming (FG) of neem contact op met de KNMP: .

Is een FG verplicht voor de apotheek?

Aan de hand van vier factoren kan een inschatting gemaakt worden, of er sprake is van de noodzaak tot het aanstellen van een FG: (1) het aantal patiënten, (2) de hoeveelheid gegevens, (3) de duur van de gegevensverwerking, (4) de geografische reikwijdte. Op basis van de vier genoemde factoren, kan een inschatting gemaakt worden of het aanstellen van een FG noodzakelijk is. Een uitgebreidere omschrijving van de vier factoren is beschikbaar. Als de apotheek van mening is dat een FG niet noodzakelijk is, moet de apotheker dit goed uit kunnen leggen. De Autoriteit Persoonsgegevens (AP) hecht groot belang aan aantoonbare inspanningen. 

De Autoriteit Persoonsgegevens (AP) kent voorbeelden waarbij geen FG vereist is, zoals voor de individuele arts. Daartoe behoort de apotheek niet. Een individuele arts is namelijk een zorgaanbieder bestaande uit één persoon die persoonsgegevens verwerkt zonder medewerkers.

Biedt de KNMP een FG aan?

Nee, de apotheek kan zelf een FG aanstellen of gezamenlijk met andere zorgaanbieders. Deze mogelijkheden zijn gericht op bestaande regionale samenwerking, wat ten goede komt van de betrokkenheid bij de apotheek. Er wordt namelijk vereist dat de FG merkbaar en zichtbaar bij de apotheek betrokken is. Wat betekent dat een FG ook regelmatig een apotheek moet kunnen bezoeken.

Kan de apotheker zichzelf als FG benoemen?

Nee, een (gevestigd) apotheker kan geen FG voor de apotheek zijn waar hij zelf de leiding heeft en beslissingen neemt over gegevensverwerking. Dit zou tot belangenconflict kunnen leiden. Een FG dient onafhankelijk zijn taken uit te kunnen voeren. 

Moet een medewerker binnen de apotheek benoemd worden tot FG?

Nee, een FG hoeft niet binnen de apotheek aangesteld te worden. Deze kan door meerdere apotheken en/of met andere zorgaanbieders gedeeld of op basis van een servicecontract ingehuurd worden. In het document 'Waar op te letten bij aanstellen FG', staat meer informatie. 

Kan een apotheekmedewerker aangesteld worden als FG?

Ja, dat kan alleen als dit niet tot belangenverstrengeling leidt. De medewerker moet zijn taken als FG onafhankelijk kunnen uitvoeren. Hij mag niet beslissen over de gegevensverwerking in de apotheek. De FG is niet de verwerkingsverantwoordelijke die het doel en de middelen van de gegevensverwerking vaststelt.

Wanneer moet ik een privacy impact assessment (PIA) uitvoeren?

Een apotheek is verplicht om een PIA uit te voeren als een wijziging in de gegevensverwerking waarschijnlijk een verhoogd risico met zich meebrengt. Dit kan bepaald worden aan de hand van een lijst met criteria, die door de Europese werkgroep (WP29) zijn opgesteld. Bijvoorbeeld bij het gebruik van nieuwe technologieën. 

Wie dient de PIA uit te voeren?

De apotheek is verantwoordelijk dat een PIA wordt uitgevoerd. De apotheek kan dit samen met de FG, die een adviesfunctie heeft over de PIA, doen of (volledig) uitbesteden aan een extern bureau. Als een verwerker (bijvoorbeeld een AIS/IT-leverancier) betrokken is bij de verwerking, dan dient de verwerker  de informatie te verstrekken die u daarvoor nodig heeft.

Moet de uitkomst van een PIA openbaar zijn?

Nee, dit is niet wettelijk verplicht. Wel kan een deel of samenvatting van de PIA verwerkt worden in de privacyverklaring. Blijkt uit de PIA dat de (gewijzigde) gegevensverwerking gepaard gaat met een hoog risico voor de patiënt en dat risico niet beperkt kan worden, dan is een voorafgaande raadpleging bij de AP benodigd en dient de PIA daarvoor beschikbaar gesteld te worden.

Hoe specifiek moet de verwerking in het register omschreven worden?

Het volstaat om een categorie van betrokkenen (zoals patiënten of medewerkers), categorie ontvangers (zoals zorgaanbieders, ziektekostenverzekeraars, bureaus voor statistiek of onderzoek, et cetera) en categorie gegevens (zoals BSN, NAW, Medicatie, Labwaarden of ICA) te benoemen. De KNMP heeft een voorbeeldregister (inclusief toelichting) opgesteld dat u kunt aanvullen met de informatie specifiek voor uw apotheek.

Zijn mijn verwerkersovereenkomsten na 25 mei nog geldig?

Alleen wanneer de verplichtingen uit de AVG voldoende zijn beschreven. Bent u daar niet zeker van, dan doet u er goed aan om nieuwe (verwerkers)overeenkomst af te sluiten. De verwerkersovereenkomst van BOZ is daar een goed model voor. Deze is juridisch getoetst voor gebruik in de eerste lijn.

Met wie moet ik een verwerkersovereenkomst sluiten?

Met verwerkers, zoals partijen die op uw instructie persoonsgegevens verwerken. Denk bijvoorbeeld aan uw AIS en IT-leverancier of salarisadministratie (indien deze uitbesteed is). Dit hoeft echter niet met partijen waarmee u gegevens uitwisselt en die zelf verantwoordelijke zijn over de persoonsgegevens, zoals andere zorgaanbieders (ziekenhuizen, huisartsen, en dergelijke) en het LSP. De beslisboom verwerkersovereenkomst helpt u beoordelen met welke partij een verwerkersovereenkomst nodig is.

Wat is vergetelheid?

Dit is een nieuwe recht onder de AVG en houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt. De AP heeft beschreven in welke gevallen ‘vergetelheid’ van toepassing is. Voor de zorg is dit reeds vastgelegd onder de WGBO, het ‘recht op vernietiging’.

Mag een patiënt eisen dat het dossier met medische gegevens wordt verwijderd?

Ja, dit is reeds vastgelegd in de WGBO onder het 'recht op vernietiging'. Wijs daarbij de patiënt op de gevaren van het verwijderen van het dossier. Er kan niet meer worden teruggegrepen op de medicatiehistorie. De patiënt die toch volhoudt en het dossier wil vernietigen, neemt zelf het risico. De patiënt moet hiervoor een schriftelijk verzoek tot vernietigen van het dossier naar de apotheker sturen. De apotheker bewaart het schriftelijke verzoek en maakt een aantekening waaruit blijkt dat het dossier op verzoek van de patiënt is vernietigd.

Sommige gegevens dienen wel bewaard te blijven, gezien de bewaarplicht (zie bewaarplicht). Daarnaast mogen persoonlijke werkaantekeningen bewaard blijven die geen onderdeel zijn van het dossier. Daarbij gaat het om indrukken, vermoedens of eigen vragen.

Welke gegevens ben ik verplicht te bewaren als een patiënt eist dat alle patiëntgegevens worden verwijderd?

Het (digitale) recept moet 15 jaar bewaard blijven (art 5.1 regeling Geneesmiddelenwet). Bij voorkeur digitaal, zie KNMP-handreiking digitaliseren patiëntendossiers. Voor declaraties 7 jaar (in verband met de fiscale bewaartermijn). Daarnaast moeten batchnummers van biologische geneesmiddelen en bloedproducten 5 jaar bewaard worden. Gegevens over medisch wetenschappelijk onderzoek met geneesmiddelen 20 jaar (Wmwo).

Mag ik een verzoek tot verwijderen afwijzen?

Ja, dat mag met de volgende reden:

  • Als u de patiëntgegevens nodig heeft voor verdere behandeling (of behandeling van familieleden in geval van een erfelijke ziekte);
  • Wanneer er een klachten- of juridische procedure gestart is of binnen korte tijd te verwachten valt. Het dossier bevat gegevens over de behandeling die van belang kunnen zijn voor de procedure;
  • Indien overduidelijk is dat vernietiging van het dossier niet in het belang is van de patiënt. Denk aan informatie die zó cruciaal is voor de behandeling, dat de apotheek bij vernietiging van de gegevens geen goede zorg meer kan leveren. Bijvoorbeeld bij verwijdering van medicatiegegevens die cruciaal zijn voor de medicatiebewaking en kan leiden tot levensbedreigende noodsituaties.

Wat is de reactietermijn voor een verwijderverzoek? 

Uiterlijk binnen één maand na ontvangst van het verzoek, geeft u een reactie. 

Moet ik persoonlijke werkaantekeningen ook op verzoek van patiënt verwijderen of in laten zien?

Nee, dit betreffen geen patiëntgegevens en ze mogen ook geen onderdeel van het dossier zijn. Onder persoonlijke werkaantekeningen wordt verstaan: indrukken, vermoedens of vragen die bij de hulpverlener leven. Het betreffen dus notities die gemaakt zijn voor de eigen gedachtevorming of de interne dialoog van de hulpverlener. Zij zijn niet voor anderen bestemd en horen dan ook niet voor anderen toegankelijk te zijn. Zij dienen niet in het dossier te worden bewaard.

Wat is dataportabiliteit?

In de AVG heet dit ‘het recht om gegevens over te dragen’. Dit betekent dat patiënten het recht hebben om persoonsgegevens die bij de apotheek bekend zijn, in digitale vorm te mogen ontvangen. Dit geldt echter niet voor het gehele medisch dossier. In het volgende antwoord staat beschreven om welke gegevens het gaat.

Dienen alle gegevens uit een medisch dossier digitaal overgedragen te worden?

Nee, dit geldt alleen voor de persoonsgegevens die uw patiënt zelf actief en bewust (digitaal) heeft verstrekt en voor de gegevens die de patiënt indirect heeft verstrekt door het gebruik van een dienst of apparaat. Bijvoorbeeld de gegevens die een pacemaker of een bloeddrukmeter genereert. Het geldt dus bijvoorbeeld niet voor de conclusies, diagnoses of vermoedens die u als apotheek op basis van de door de patiënt verstrekte gegevens vaststelt.

Mag ik nog kosten in rekening brengen voor een afschrift van het medisch dossier? 

Nee, u mag geen kosten in rekening brengen. Verzoekt een patiënt om meer dan een kopie van alle gegevens ('bijkomende kopieën'), dan mag u hiervoor wel een redelijke vergoeding vragen. 

Wanneer moet toestemming aan een patiënt worden gevraagd voor het uitwisselen van medische gegevens?

Het delen van medicatiegegevens mag alleen met toestemming van de patiënt. De toestemming van de patiënt is nodig voor iedere manier waarop apothekers elektronisch gegevens uitwisselen, bijvoorbeeld via het LSP of binnen het cluster. Op de juiste manier toestemming vragen aan de patiënt om zijn of haar medicatiegegevens te delen, verloopt via drie stappen.

Wanneer de apotheek zelf patiëntgegevens - die zij zelf in bezit hebben - uitwisselt met medebehandelaars (diegenen die rechtstreeks bij de behandelingsovereenkomst betrokken zijn), dan kan dat zonder expliciete toestemming of machtiging van de patiënt. Bijvoorbeeld bij overleg met de voorschrijver voor verandering van een recept op basis van vragen en informatie van de patiënt. De patiënt dient wel op de hoogte te worden gebracht dat zijn gegevens aan collega’s zijn verstrekt en met welk doel. Vertel er ook bij dat zijn gegevens uitsluitend voor dat doel worden gebruikt.

Is opnieuw toestemming nodig bij verandering in gegevensuitwisseling?

Als nieuwe categorieën van zorgaanbieders aansluiten bij het elektronisch uitwisselingssysteem (bijvoorbeeld het LSP of een cluster), of de werking van het elektronisch uitwisselingssysteem anderszins substantieel wordt gewijzigd, moet de apotheker de patiënt over deze wijziging informeren en hem wijzen op de mogelijkheid om de eerder verleende uitdrukkelijke toestemming aan te passen of in te trekken. De wet vereist dus niet dat opnieuw om toestemming moet worden gevraagd.

Mogen medische gegevens in een noodsituatie gedeeld worden als er geen toestemming is?

Indien een patiënt nog geen toestemming heeft gegeven, maakt de apotheker de afweging of er sprake is van een levensbedreigende situatie en/of sprake is van vitaal belang. In die gevallen mogen de medicatiegegevens gedeeld worden.
Bij een patiënt die géén toestemming heeft gegeven, mogen de gegevens ook niet gedeeld worden in deze situatie. Tenzij de patiënt de uitzondering heeft gemaakt dat in spoedgevallen gegevens wel gedeeld mogen worden.

Mag medicatie of een AMO worden meegegeven aan een ander dan de patiënt?

Alleen met toestemming van de patiënt kan medicatie of een actueel medicatieoverzicht aan derden worden verstrekt. Het moet duidelijk zijn voor wie de patiënt toestemming verleend. Als voor de partner toestemming is verleend betekent dat niet dat ook de buurvrouw de medicatie of een overzicht op mag komen halen. Alhoewel mondelinge toestemming volstaat, is het advies om te vragen om de toestemming op schrift. De apotheek mag daarbij overigens niet meer persoonsgegevens verwerken dan noodzakelijk is voor dit doel. Zo is het vaak niet toegestaan dat hierbij het BSN wordt verwerkt. De toestemming wordt vastgelegd in het dossier. Het medicatieoverzicht geeft u in een gesloten envelop mee.

Hoe dient de toestemming vastgelegd te zijn? 

U registreert op welke manier u de toestemming heeft ontvangen, op basis van welke informatie de betrokken persoon de toestemming heeft gegeven en op welk moment dit is gebeurd. Raadpleeg voor de mogelijkheden van registratie uw AIS-leverancier.

Mag ik gegevens delen met derden na het overleden van een patiënt?

Nee, ook na het overlijden kunnen (een aantal) medische gegevens alleen gedeeld worden als de overledene hiervoor toestemming had gegeven.
Als aangetoond kan worden dat er sprake is van een zwaarwegend belang en u er redelijkerwijs van kan uitgaan dat de overleden patiënt geen bezwaar zou hebben gehad, kunnen gegevens ook gedeeld worden. Hiervan is bijvoorbeeld sprake als familieleden een procedure willen aanspannen tegen een zorgverlener of als informatie wordt gevraagd over een erfelijke aandoening.
Over het algemeen is er geen sprake van een zwaarwegend belang wanneer familie inzage wil in het kader van een procedure ter aanvechting van het testament van de overledene of andere persoonlijke belangen van de nabestaanden.

Hoe vraag ik op de juiste manier toestemming?

De toestemmingsvraag mag mondeling worden gesteld, maar als u dat wilt mag het ook schriftelijk. Een toestemming dient daarbij ‘vrijelijk gegeven’, ‘ondubbelzinnig’,  ‘geïnformeerd’ en ‘specifiek’ te zijn. Dat betekent dat toestemming actief en niet onder druk door de patiënt gegeven moet zijn. Dit betekent dat u de patiënt informeert waarvoor toestemming wordt gevraagd en wat de gevolgen zijn. Zo vertelt u een patiënt die niet wil dat gegevens beschikbaar worden gesteld, wat de mogelijke risico’s voor medicatieveiligheid kunnen zijn. En dat de patiënt dan zelf de zorgverlener moet informateren over de medicatie. De patiënt kan dan goed geïnformeerd de afweging maken. Het wijzigen van de toestemming dient net zo eenvoudig te zijn voor de patiënt. 

Wat verandert er door de AVG in de melding van datalekken?

Onder de AVG blijft de Meldplicht Datalekken bestaan. De AVG stelt wel strengere eisen aan de registratie van de datalekken in een organisatie. Organisaties moeten alle datalekken documenteren, ook de datalekken die niet gemeld worden bij de Autoriteit Persoonsgegevens (AP). Het register datalekken helpt bij het documenteren van een datalek.

Voldoet mijn privacyverklaring aan de AVG?

In een privacyverklaring dient het volgende beschreven te staan:

  1. Contactgegevens van de verantwoordelijke (de apotheek) en FG
  2. Welke persoonsgegevens verwerkt worden
  3. Met welk doel en onder welke wettelijke grondslag (ofwel, wat de aanleiding hiervoor is)
  4. Wie de ontvangers zijn bij verwerking van persoonsgegevens (en, indien van toepassing, of verzending buiten de EU plaatsvindt)
  5. De bewaartermijn van de verschillende soorten persoonsgegevens
  6. Algemene beschrijving van maatregelen voor adequate beveiliging
  7. De rechten (zoals inzage, toestemming en klacht) van de patiënt en welke wijze deze uitgevoerd kunnen worden

Deze informatie dient in een duidelijke en eenvoudige taal voor de patiënt geschreven te zijn. In uw verwerkingsregister staan veel van deze gegevens verwerkt en kunnen daarvoor gebruikt worden.

De KNMP heeft een voorbeeld-privacyverklaring opgesteld. 

Controleert de IGJ ook op informatieveiligheid?

De Autoriteit Persoonsgegevens (AP) ziet toe op de naleving van informatieveiligheid, zoals beschreven in de normen NEN7510, NEN7512 en NEN7513. Ook de IGJ hanteert deze normen wanneer de kwaliteit van zorg in het geding is als gevolg van het onveilig omgaan met medische persoonsgegevens.

Welke maatregelen moet ik nemen voor adequate beveiliging?

Op basis van een risicoanalyse kan bepaald worden welke maatregelen nodig zijn. Dit is onderdeel van de NEN7510, informatiebeveiliging in de zorg. Deze norm is verplicht gesteld voor de zorg en op basis hiervan wordt voldaan aan de AVG voor adequate beveiliging voor bescherming van persoonsgegevens. Voor meer informatie, zie pagina Informatieveiligheid.

Wat is het beleid voor informatiebeveiliging?

Dit is onderdeel van de NEN7510, informatiebeveiliging in de zorg. Het beleid voor informatiebeveiliging ('Waarom wil ik wat/hoe beveiligen?') bevat o.a.:

  • doelstellingen van informatiebeveiliging;
  • de uitgangspunten en maatregelen voor informatiebeveiliging;
  • organisatie van informatiebeveiliging (taken, bevoegdheden en verantwoordelijkheden);
  • interne controle, review en audit van processen en procedures;
  • risicoanalyses van informatiesystemen (computers, servers, netwerk, programmatuur) en processen (menselijk handelen).

Mag ik nog faxen onder de AVG?

Ja, als dit op een veilige en een verantwoorde wijze gebeurd. Zorg bijvoorbeeld dat onbevoegden geen toegang hebben tot de fax. Controleer altijd voor verzending of het juiste faxnummer wordt gebruikt aan de hand van de contactgegevens van de geadresseerde. 

Een recept via de fax, mag dat?

Ja, dat mag. Net als bij een elektronisch recept is dit recept een vooraankondiging. Controleer altijd of het recept verstuurd is door een voorschrijver en faxnummer dat u herkend. 

Wanneer geldt een gedeelde verantwoordelijkheid tussen zorgverleners?

In de AVG wordt over een gedeelde verantwoordelijkheid gesproken als meerdere partijen gezamenlijk de verantwoordelijkheid dragen voor gegevensverwerking; ze stellen dan samen het doel en middel vast. Dat kan van toepassing zijn als gebruik wordt gemaakt van een geïntegreerd dossier (zie Aandachtspunt 5 uit de Handreiking Verantwoordelijkheidsverdeling). Dit is echter wat anders als verschillende partijen zelfstandig in een keten samenwerken en daarbij gegevens met elkaar uitwisselen.

Iedere zorgverlener heeft namelijk zijn eigen verantwoordelijkheid, echter wel met afhankelijkheden zoals het beschikken over de juiste informatie. De (deel)verantwoordelijkheden voor de zorgverleners zijn vastgelegd in zorgspecifieke wetgeving, professionele standaarden, principes, richtlijnen, etc. Sommige daarvan bevatten ook afspraken over samenwerking, of worden deze op regionaal niveau gemaakt.

Geldt een gedeelde verantwoordelijkheid bij gebruik van dezelfde middel, bijvoorbeeld bij elektronische toedienregistratie?

Nee, zorgmedewerkers die medicijnen toedienen zijn verantwoordelijk voor het goed bijhouden van de toedienregistratie en stellen daarbij het doel vast (verwerking: toedienregistratie). Het middel dat ze daarvoor gebruiken is bijvoorbeeld een app. De apotheek stelt op verzoek van de zorgverlener en na toestemming van de patiënt de benodigde medicatiegegevens daarvoor beschikbaar. Hierdoor ligt de verwerkingsverantwoordelijkheid voor de verwerking: toedienregistratie bij de zorgmedewerker zelf, en betreft het geen gedeelde verantwoordelijkheid. De apotheek is daarbij wel verantwoordelijk voor het juist aanleveren van medicatiegegevens. Ook dient een verwerkersovereenkomst met de app-leverancier afgesloten te zijn, aangezien zij de gegevens op instructie van de verantwoordelijke verwerken (bewaren, beschikbaar stellen, etc.). Dat geldt ook voor de apotheek, aangezien zij de app-leverancier toegang geven tot de medicatiegegevens.

Niet alles over de uitwerking van de AVG is al duidelijk, wanneer en hoe worden onduidelijkheden opgehelderd?

In de komende periode worden onduidelijkheden van de nieuwe wet onder andere door de Autoriteit Persoonsgegevens (AP) verhelderd. Ook zal de wetgeving naar verwachting veel rechtspraak opleveren, waaruit duidelijkheid ontstaat. Ophelderingen worden verwerkt in de brochure AVG en via deze website gecommuniceerd.

Daarnaast biedt de campagne van de AP ook praktische hulp, zoals een digitale ‘regelhulp’ waarmee zorgverleners snel in kaart kunnen brengen wat zij nog moeten doen voor 25 mei. Op hulpbijprivacy.nl, de campagnewebsite van de AP, is ook informatie voor zorgaanbieders over de AVG te vinden.