Vragen en antwoorden over implementatie AVG

Vragen over de implementatie van de Algemene Verordening Gegevensbescherming (AVG)? Hier vindt u de antwoorden.

Geen antwoord kunnen vinden op uw vraag? Overleg met uw Functionaris voor de Gegevensbescherming (FG) of neem contact op met de KNMP: .

Moet een medewerker binnen de apotheek benoemd worden tot FG?

Nee, een FG hoeft niet binnen de apotheek aangesteld te worden. Deze kan door meerdere apotheken en/of met andere zorgaanbieders gedeeld of op basis van een servicecontract ingehuurd worden. De KNMP heeft hier verschillende adviezen bij aanstellen FG voor opgesteld.

Wanneer moet ik een privacy impact assessment (PIA) uitvoeren?

Een apotheek is verplicht om een PIA uit te voeren als een wijziging in de gegevensverwerking waarschijnlijk een verhoogd risico met zich meebrengt. Dit geldt met name bij het gebruik van nieuwe (software)technologieën. Wel raadt de toezichthouder – de Autoriteit Persoonsgegevens (AP) - aan om na maximaal drie jaar een nieuwe (of eerste) PIA uit te voeren.

Hoe specifiek moet de verwerking in het register omschreven worden?

Het volstaat om een categorie van betrokkenen (zoals patiënten of medewerkers), categorie ontvangers (zoals zorgaanbieders, ziektekostenverzekeraars, bureaus voor statistiek of onderzoek, et cetera) en categorie gegevens (zoals BSN, NAW, Medicatie, Labwaarde of ICA) te benoemen. 

Wanneer kan of moet ik bestaande bewerkersovereenkomsten vervangen door verwerkersovereenkomsten?

U hoeft niet te wachten voordat de AVG op 25 mei 2018 van kracht is. Een verwerkersovereenkomst – zoals bepaald in de AVG – voldoet ook onder de huidige wetgeving waarbij verwezen wordt naar de begrippen van de Wet bescherming persoonsgegevens (Wbp). Heeft u nu al een goede (bewerkers)overeenkomst waarin alle afspraken zijn vastgelegd, dan gaat die inhoudelijk niet sterk verschillen met de verwerkersovereenkomst. Controleer daarbij wel of in de huidige (bewerkers)overeenkomsten de verplichtingen uit de AVG voldoende zijn beschreven.

Met wie moet ik een verwerkersovereenkomst sluiten?

Met verwerkers, zoals partijen die op uw instructie persoonsgegevens verwerken. Denk bijvoorbeeld aan uw AIS en IT-leverancier of salarisadministratie (indien deze uitbesteed is). Dit hoeft echter niet met partijen waarmee u gegevens uitwisselt en die zelf verantwoordelijke zijn over de persoonsgegevens, zoals andere zorgaanbieders (ziekenhuizen, huisartsen, en dergelijke) en het LSP.

Welke gegevens ben ik verplicht te bewaren als een patiënt eist dat alle patiëntgegevens worden verwijderd?

Het (digitale) recept moet 15 jaar bewaard blijven (art 5.1 regeling Geneesmiddelenwet). Bij voorkeur digitaal, zie KNMP-handreiking digitaliseren patiëntendossiers. Voor declaraties 7 jaar (in verband met de fiscale bewaartermijn). Daarnaast moeten batchnummers van biologische geneesmiddelen en bloedproducten 5 jaar bewaard worden. Gegevens over medisch wetenschappelijk onderzoek met geneesmiddelen 20 jaar (Wmwo).

Mag ik een verzoek tot verwijderen afwijzen?

Ja, dat mag met de volgende reden:

  • als u de patiëntgegevens nodig heeft voor verdere behandeling (of behandeling van familieleden in geval van een erfelijke ziekte);
  • wanneer er een klachten- of juridische procedure gestart is of binnen korte tijd te verwachten valt. Het dossier bevat gegevens over de behandeling die van belang kunnen zijn voor de procedure.

Moet ik persoonlijke werkaantekeningen ook op verzoek van patiënt verwijderen of in laten zien?

Nee, dit betreffen geen patiëntgegevens en ze mogen ook geen onderdeel van het dossier zijn. Onder persoonlijke werkaantekeningen wordt verstaan: indrukken, vermoedens of vragen die bij de hulpverlener leven. Het betreffen dus notities die gemaakt zijn voor de eigen gedachtevorming of de interne dialoog van de hulpverlener. Zij zijn niet voor anderen bestemd en horen dan ook niet voor anderen toegankelijk te zijn. Zij dienen niet in het dossier te worden bewaard.

Niet alles over de uitwerking van de AVG is al duidelijk, wanneer en hoe worden onduidelijkheden opgehelderd?

In de komende periode worden onduidelijkheden van de nieuwe wet onder andere door de Autoriteit Persoonsgegevens (AP) verhelderd. Ook zal de wetgeving naar verwachting veel rechtspraak opleveren, waaruit duidelijkheid ontstaat. Ophelderingen worden verwerkt in de brochure AVG en via deze website gecommuniceerd.