Het Besluit elektronische gegevensverwerking door zorgaanbieders is 1 januari in werking getreden. Dit was later dan gepland, omdat er nog te veel Kamervragen liepen. De Kamervragen gaven geen aanleiding tot wijziging van het Besluit, maar is het Besluit wel in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG)?
Op 25 mei 2018 treedt de AVG - de nieuwe, strenge privacywet voor heel Europa - in werking. In deze wet is onder andere geregeld dat organisaties in een privacyverklaring moeten opnemen wat zij doen met persoonsgegevens en dat datalekken intern moeten worden gedocumenteerd.
In de AVG is tevens opgenomen dat passende maatregelen genomen moeten worden voor de beveiliging van de persoonsgegevens. Nieuw is dat onder de AVG dit de verantwoordelijkheid van zowel de verantwoordelijke, als van de verwerker is. De huidige Nederlandse wetgeving (de Wet Bescherming Persoonsgegevens, ‘Wbp’) verplicht alleen de verantwoordelijke om deze maatregelen te nemen.
Het is dan ook opmerkelijk dat in het Besluit is opgenomen dat alleen de verantwoordelijke moet zorgen voor beveiligingsmaatregelen voor de logging van het systeem. In de toelichting op het Besluit lijkt de komst van de AVG in dit kader te zijn vergeten. Zo staat er: “Artikel 13 Wbp verplicht de verantwoordelijke om passende en technische maatregelen ten uitvoer te leggen (…)”. Dit is dus niet in overeenstemming met de verplichting uit de AVG.
De Wbp kent een meldplicht voor de verwerking van persoonsgegevens. Dat houdt in dat wanneer een partij persoonsgegevens verwerkt, zij dit moeten melden bij de Autoriteit Persoonsgegevens. Het doel hiervan is het bevorderen van de transparantie van de gegevenswerking. Met de komst van de AVG komt deze meldplicht te vervallen. In plaats daarvan komt een registerplicht. De verantwoordelijke moet een register bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid vallen.
Het Besluit is niet in lijn met deze nieuwe wetgeving. De beheerder van een elektronisch uitwisselingssysteem moet volgens het Besluit namelijk nog wel melding doen van de verwerking, en moet daarbij een audit-rapport overleggen.
Praktisch betekent dat, dat een beheerder van een elektronisch uitwisselsysteem op grond van het Besluit vanaf 1 januari een melding moet doen mèt een auditrapport. Heeft die beheerder nog geen audit (onderzoek) laten uitvoeren, dan moet hij dat nu snel laten uitvoeren. Het uitvoeren van zo’n onderzoek kan in de praktijk zo een paar maanden tot een jaar duren.
Op grond van de AVG moet je een Functionaris Gegevensbescherming aanstellen, wanneer je op grote schaal gevoelige persoonsgegevens (zoals gezondheidsgegevens) verwerkt. Deze plicht geldt - uiteraard - pas vanaf de inwerkingtreding van de AVG op 25 mei 2018. In het Besluit is besloten de plicht even een heel eind naar voren te trekken: namelijk per 1 januari 2018. Zorgaanbieders moeten dus vier maanden eerder een FG aanstellen dan op basis van de AVG zou moeten. Voor (kleine) organisaties is het naar alle waarschijnlijkheid onhaalbaar om dat op zo’n korte termijn te realiseren.
Met de inwerkingtreding van de AVG, zal de Wbp worden ingetrokken. Het Besluit is gebaseerd op de Wbp. Dat betekent niet dat met de inwerkingtreding van de AVG, ook het Besluit zal komen te vervallen. De AVG voorziet erin dat het Besluit gehandhaafd kan worden. Verwijzingen naar ingetrokken wetgeving worden onder de AVG namelijk gezien als verwijzingen naar de AVG.
Wilt u meer weten over beveiliging en privacy van gegevens in de zorg? Hoe er volgens nieuwe wetgeving gewerkt moet worden in de cloud? En hoe persoonsgegevens uitgewisseld mogen worden?
> Kom naar de training ICT & Gezondheidsrecht
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.