De GDPR

Wat is een Verwerkingsverantwoordelijke?

“Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen” Artikel 4.7 van de Algemene Verordening Gegevensbescherming

Met andere woorden, elke persoon die het “waarom” en het “hoe” van de verwerking bepaalt, zal worden beschouwd als verwerkingsverantwoordelijke behalve wanneer een wet er anders over beslist. In het geval van een arts in vrij beroep wordt deze laatste beschouwd als verwerkingsverantwoordelijke.*

Welke verplichtingen heeft de Verwerkingsverantwoordelijke?

Elke verwerkingsverantwoordelijke heeft o.a. de verplichting om:

• Een register van de verwerkingsactiviteiten bij te houden (zie fiche 5)
• Een schriftelijke overeenkomst af te sluiten met elke verwerker, waarin alle belangrijke bepalingen zijn opgenomen (zie fiche 3).
• De patiënten te informeren en hun rechten te waarborgen De verwerkingsverantwoordelijke dient zijn patiënten te informeren over hun rechten en de manieren waarop hun persoonsgegevens worden verwerkt. (Zie fiche  4)
• Een verhoogde beveiliging te waarborgen van bijzondere (gevoelige) gegevens U dient uw beveiligingsmaatregelen aan te passen aan de gevoeligheid van de gegevens. Met andere woorden, hoe gevoeliger uw gegevens zijn, hoe sterker uw beveiliging dient te zijn om elk risico op inbreuk in verband met gegevens te vermijden. (zie fiche 6 en fiche 7)
• Over te gaan tot een melding in geval van inbreuk in verband met gegevens In geval van inbreuk op gegevens, bent u als verwerkingsverantwoordelijke gehouden tot het melden van deze inbreuk bij de Gegevensbeschermingsautoriteit (GBA) (zie fiche 9)

Concreet gezien

• Zorg voor een optimale (technische én organisatorische) beveiliging (Zie fiche 4.a en 4.b)
• Sluit een overeenkomst af met uw verwerkers (Zie fiche 1.b)
• Informeer de patiënten en respecteer hun rechten (Zie fiche 6.)
• Houd een Register van de verwerkingsactiviteiten bij (Zie fiche 2.)
• Maak in geval van inbreuk op gegevens melding bij de GBA (Zie fiche 7.)Concreet gezien
• Zorg voor een optimale (technische én organisatorische) beveiliging 
• Sluit een overeenkomst af met uw verwerkers
• Informeer de patiënten en respecteer hun rechten
• Houd een Register van de verwerkingsactiviteiten bij
• Maak in geval van inbreuk op gegevens melding bij de GBA

Wanneer er wordt gewerkt in een multidisciplinaire praktijk, waarin ruimtes, IT-materiaal en professionele software (EMD) worden gedeeld, kan de praktijk als verwerkingsverantwoordelijke worden beschouwd. De praktijk drukt zich echter uit via een natuurlijke persoon die in de uitoefening van zijn functie niet verwerkingsverantwoordelijke zal zijn.

Met andere woorden de multidisciplinaire praktijk bepaalt de doeleinden en de middelen van de persoonsgegevensverwerking. De zorgactoren zijn echter gehouden tot de waarborging van de volledigheid en juistheid van het medische dossier voor elke patiënt met wie ze een therapeutische relatie hebben.

De multidisciplinaire praktijk moet zich houden aan de verplichtingen van verwerkingsverantwoordelijke zoals:

• Een register van de verwerkingsactiviteiten bijhouden (zie fiche5)
• Overeenkomsten afsluiten met alle verwerkers (zie fiche 3)
• De patiënten informeren en hun rechten waarborgen (Zie fiche 4)
• Een optimale beveiliging van gevoelige gegevens waarborgen (zie fiche 6 en fiche 7)
• Overgaan tot een melding in geval van gegevenslekken (zie fiche 9)

Naast al deze verplichtingen kan de praktijk onderworpen zijn aan aanvullende verplichtingen zoals:

• aanwijzing van een DPO, die het aanspreekpunt is voor de gegevensbescherming. Het kan gaan om een interne of externe persoon voor de praktijk die als opdracht heeft om de praktijk te adviseren, het team bewust te maken, de praktijk bij te staan bij het behandelen van gevallen van inbreuk op gegevens en de praktijk bij te staan bij het opstellen van het verslag dat moet worden gemeld aan de Gegevensbeschermingsautoriteit (GBA).
• gegevensbeschermingseffectbeoordeling (GBEB). Deze analyse is vereist om de waarschijnlijkheid en het niveau te beoordelen van het risico dat wordt gelopen op het gebied van de rechten en vrijheden van de patiënten van de praktijk. Deze GBEB moet worden uitgevoerd vóór de verwerking van (gevoelige) gegevens en moet enerzijds de risico’s en anderzijds de oplossingen, middelen en procedures bevatten die deze risico’s verlagen.

Concreet gezien

• De multidisciplinaire praktijk is verwerkingsverantwoordelijke
• De praktijk moet aan de verplichtingen voldoen waarmee de verwerkingsverantwoordelijke is belast
• Indien gegevensverwerkingen op grote schaal van bijzondere gegevens (i.e. gezondheidsgegevens) en niet op occasionele wijze dan;
  • Aanwijzing van een functionaris voor gegevensbescherming (DPO)
  • Gegevensbeschermingseffectbeoordeling (GBEB)

Wie zijn mijn verwerkers? En hoe kan ik ze identificeren?

Vertrouwt u weleens een dienst of een handeling, die u niet zelf uitvoert, aan een ander toe (voorbeeld: een EMD-dienstverlener)? Dan wordt deze laatste uw ‘verwerker’.

Elke verwerker verwerkt persoonsgegevens namens u en op basis van uw instructies. Dit betekent dat een verwerker verwerkingen zal uitvoeren onder uw verantwoordelijkheid en controle. Deze laatste is net als u onderworpen aan de AVG.

Enkele voorbeelden van verwerkers:

• Uw informaticus,
• Uw EMD-leverancier
• Brussels Gezondheidsnetwerk
• Bedrijven die uw facturatie verzorgen (boekhouder)

Opgelet: personen die geen persoonsgegevens verwerken worden niet als uw verwerkers beschouwd (voorbeeld: gas-/elektriciteitsleverancier)

De verplichtingen

Als verantwoordelijke voor de verwerking van persoonsgegevens bent u onderworpen aan de Algemene Verordening Gegevensbescherming (AVG). Maar uw verwerkers zijn ook onderworpen aan de AVG.

De AVG schrijft meerdere verplichtingen voor in uw relatie met uw verwerkers:

• U bent gehouden tot het kiezen van een verwerker die de naleving van de AVG waarborgt.
• U heeft de verplichting om een schriftelijke overeenkomst af te sluiten met uw verschillende verwerkers, waarin met name alle door de AVG voorgeschreven of voor u belangrijke bepalingen worden vermeld.
  • Door de AVG opgelegde bepalingen (niet limitatief -Art.28 van de AVG- ):
    • De verwerker verwerkt de gegevens uitsluitend op basis van uw instructies
    • In geval van tweederangs verwerking: het is aanbevolen om een machtiging door u te bepalen
    • Recht op audit door u
    • Melding van een inbreuk in verband met gegevens zo spoedig mogelijk na de kennisneming ervan (Advies: 24 kalenderuren)
    • Vernietiging en/of retournering van de gegevens aan het einde van de overeenkomst
  • U dient zich te verzekeren van de rechtmatigheid van doorgifte van gegevens buiten de Europese Unie.
  • U dient eveneens de identiteit van uw verwerker op te nemen in uw Register van de verwerkingsactiviteiten.

Concreet gezien 

• Kies verwerkers die de naleving van de AVG waarborgen en die voldoen aan uw behoeften / werkterrein
• Stel een schriftelijk overeenkomst op met duidelijke en beknopte instructies van wat u van uw verwerkers verwacht (specifieke overeenkomst per verwerker)
• Neem hierin de in Art.28 van de AVG vermelde bepalingen op
• Vermeld al uw verwerkers in uw register van de verwerkingsactiviteiten
• Opteer voor waarborgen op het gebied van beveiligingsmaatregelen, die aan de AVG voldoen
• Let op de rechtmatigheid van doorgifte van gegevens buiten de Europese Economische Ruimte
• Analyseer uw lopende overeenkomsten met uw verwerkers uiterst nauwgezet
• Verbied de toegang aan verouderde verwerkers (voorbeeld: verandering van software/verwerker, adres of praktijk, enz. Trek overbodige toegangen in)

Elke verwerkingsverantwoordelijke moet de veiligheid en de vertrouwelijkheid van de gegevens van zijn patiënten waarborgen. Hij moet hen desalniettemin ook informeren en hun rechten waarborgen.

Elke betrokkene (patiënt) heeft rechten die hij te allen tijde kan uitoefenen. De praktiserende arts is gehouden tot het inwilligen van hun verzoek binnen een termijn van maximaal een maand. Deze termijn kan worden verlengd met 2 maanden als het verzoek ingewikkeld is en op voorwaarde dat de betrokkene hiervan binnen de oorspronkelijke termijn van 1 maand op de hoogte wordt gesteld.

Maar wat zijn de rechten van mijn patiënten? 

• Recht op informatie: de Verwerkingsverantwoordelijke die persoonsgegevens verwerkt moet blijk geven van transparantie en moet zijn patiënten informeren over het gebruik van hun gegevens evenals over hun rechten – document om in uw wachtkamer op te hangen ter beschikking gesteld -LINK-.
• Recht van bezwaar: elke natuurlijke persoon heeft het recht om bezwaar te maken tegen de verwerking van zijn gegevens. Dit recht van bezwaar betekent niettemin in geen geval een recht op definitieve wissing van een informatie.

Bijvoorbeeld: de patiënt kan de deling van een informatie die op hem betrekking heeft weigeren op de eGezondheidsnetwerken. In dit geval moet de praktiserende arts de patiënt enerzijds op de hoogte stellen van het feit dat deze informatie niet zal worden gedeeld maar dat hij wel de verplichting heeft deze in het lokale dossier te bewaren. En anderzijds moet de praktiserende arts de patiënt, met de bedoeling om zichzelf te beschermen, een document laten ondertekenen en daar een kopie van bewaren teneinde een schriftelijk bewijs te hebben van zijn bezwaar  -vertrouwelijkheidsdocument-LINK.

• Recht op inzage: de patiënt heeft naast zijn recht op informatie ook het recht om toegang te vragen tot zijn gegevens. Hij kan zich in dat geval vergewissen van de juistheid ervan. Dit recht strekt zich uit tot een kopie van het medische dossier zoals bepaald door de wet van 22 augustus 2002 betreffende de rechten van de patiënt.
• Recht op rectificatie: dit recht stelt elke patiënt in staat de praktiserende arts, in zijn hoedanigheid van Verwerkingsverantwoordelijke, te verzoeken een onvolledige of onjuiste informatie die op hem betrekking heeft te wijzigen (bijvoorbeeld, dit zal vermijden dat onjuiste informatie over de patiënt wordt gepubliceerd of gedeeld). Dit recht op rectificatie kan de verplichting om de integriteit van het medische dossier te bewaren niet tenietdoen. Heel vaak zal er gevolg worden gegeven aan verzoeken tot wijziging die gaan over administratieve gegevens (adres, vertrouwenspersoon, enz.) en nooit – behalve in geval van zeer zeldzame uitzonderingen – over gezondheidsgegevens.

OPGELET: in geval van wijziging van een informatie moet de praktiserende arts de derden op de hoogte stellen met wie de informatie daarvoor werd gedeeld in het kader van een geadresseerd bericht (niet op het Brusselse Gezondheidsnetwerk).

• Recht op gegevenswissing: als de patiënt vaststelt dat een gegeven dat op hem betrekking heeft niet meer nodig is voor het doeleinde van de verwerking of dat dit gegeven onjuist is, heeft de patiënt het recht de wissing ervan te verzoeken. Dit recht op gegevenswissing kan de verplichting om de integriteit van het medische dossier te bewaren niet tenietdoen. Heel vaak zal er geen gevolg worden gegeven aan verzoeken tot gegevenswissing, behalve in geval van zeer zeldzame uitzonderingen.
• Recht op de verwijdering van een verwijzing: de patiënt heeft het recht de verwijdering te verzoeken van een verwijzing naar een bestaand document op een van de eGezondheidsnetwerken in België. Het document in kwestie zal niet uit het oorspronkelijke medische dossier worden geschrapt maar zal niet meer zichtbaar zijn op de netwerken. Dit document blijft met andere woorden geregistreerd in de database die aan de oorsprong van de verspreiding staat.
• Recht op beperking: in bepaalde situaties kan de patiënt de beperking verzoeken van de verwerking van zijn persoonsgegevens.

Bijvoorbeeld: in het geval dat de verwerkingsverantwoordelijke aan het einde van de opslagperiode beslist gegevens te wissen, kan de patiënt zijn recht op beperking uitoefenen opdat de gegevens niet worden gewist om redenen zoals de instelling, uitoefening of onderbouwing van een rechtsvordering.

In uw hoedanigheid van verwerkingsverantwoordelijke dient u de rechten van uw patiënten te kennen en hen hierover te informeren.

Het bijhouden van een register van de verwerkingsactiviteiten is een door de Algemene Verordening Gegevensbescherming (AVG) bepaalde verplichting.

Iedere beroepsbeoefenaar moet in geval van controle in staat zijn om zijn register van verwerkingsactiviteiten ter beschikking te stellen van de Gegevensbeschermingsautoriteit (GBA).

Dit document moet door iedere zorgverlener die persoonsgegevens verwerkt en zijn beroep ALLEEN uitoefent, in zijn hoedanigheid van verwerkingsverantwoordelijke, in elektronisch of papierformaat worden bijgehouden. Als er sprake is van een GROEPSpraktijk moet het register worden bijgehouden door de praktijk.

Welke informatie moet ik in mijn register vermelden?

Het register dient de informatie met betrekking tot de verwerkingen te bevatten zoals:

• Uw gegevens (en, in voorkomend geval, die van de DPO)
• De categorieën van verwerkte gegevens
• Het doeleinde van de gegevensverwerking
• De categorieën van betrokkenen
• De categorieën van ontvangers
• De opslagduur van de gegevens
• De beschrijving van de beveiligingsmaatregelen
• En alle andere informatie die u belangrijk acht

Op onze website vindt u een voorbeeld van een vooraf ingevuld register van verwerkingsactiviteiten dat u kunt downloaden en aan uw activiteit kunt aanpassen.

OPGELET: In geval van controle moet u in staat zijn dit document ter beschikking te stellen van de Gegevensbeschermingsautoriteit (GBA). Wat betekent dat dit document moet worden bijgehouden.

Concreet gezien

• Het register van de verwerkingsactiviteiten is een verplichting van de AVG
• Op de volgende link vindt u een vooraf ingevuld document, dat u aan uw activiteit kunt aanpassen: LINK
• Vermeld per verwerking de volgende informatie:
• Uw gegevens (en, in voorkomend geval, die van de DPO)
• De categorieën van verwerkte gegevens
• Het doeleinde van de gegevensverwerking
• De categorieën van betrokkenen
• De categorieën van ontvangers
• De opslagduur van de gegevens
• De beschrijving van de beveiligingsmaatregelen
• + alle aanvullende informatie die u nuttig acht
• Zorg ervoor dat u uw register up-to-date houdt en vermeld steeds de datum van uw laatste update
• Wees erop voorbereid om uw register op verzoek ter beschikking te stellen van de Gegevensbeschermingsautoriteit (GBA).

Beveiliging omvat zowel de technische beveiliging die we in dit fiche zien als de organisatorische beveiliging waarover fiche 7 gaat. 

Enerzijds dient het voorbestaan van de gegevens te worden gewaarborgd en anderzijds moet er een gezonde IT-omgeving en een goed beheer van de toegangen zijn.

Hieronder enkele tips:

1/ Om ervoor te zorgen dat gegevens blijven voortbestaan en om het verliezen ervan te vermijden, moet:

• Er een regelmatige back-up van gegevens worden gemaakt
• Deze back-up op een beveiligde plek worden bewaard, buiten uw praktijk.
  voorbeeld: in geval van diefstal, brand of overstroming van uw praktijk, of in geval van vernietiging van uw systeem, moet uw back-up beschut zijn tegen schade/diefstal.
• Er een rampenplan zijn in geval van stroomonderbreking of netwerkstoring.

2/ Zorg voor een goed beheer van de toegangen:

• Kies een individuele login en een individueel wachtwoord.
  • Geef de voorkeur aan een ingewikkeld wachtwoord: geen geboortedatum of een gebruikelijk wachtwoord, zoals de voornaam van uw echtgeno(o)t(e) of kinderen, maar iets dat u zich makkelijk kunt herinneren (voorbeeld: naam van een plaats of een herinnering)
  • Deel uw wachtwoord niet: geef het aan niemand!

Opgelet: Hang of plak de wachtwoorden niet aan uw computer of onder uw toetsenbord.

• Verander de wachtwoorden voor de toegangen regelmatig, maar niet om de drie maanden om ervoor te zorgen dat u ze kunt onthouden.
• Geef de voorkeur aan een sterke (twee-factor-)authenticatie om de risico’s te verlagen. Applicaties kunnen helpen (vb. Itsme, myID.be,…)
• Haal alle verouderde toegangen weg: zorg ervoor dat alle toegangen van personen die uw organisatie hebben verlaten of er niet meer voor werken (werknemers, verwerkers, enz.), geblokkeerd en verwijderd worden.
  • Gebruik een automatisch vergrendelingssysteem van uw sessie na bijvoorbeeld 5 minuten van inactiviteit.
  • Vergrendel uw computer wanneer u uw bureau verlaat of wanneer u geen zicht meer op uw computer heeft en sta niemand toe om uw sessie te gebruiken die persoonlijk moet blijven.
    Bijvoorbeeld, als u bent ingelogd op de eGezondheidsnetwerken, zijn alle toegangen getraceerd. Wanneer iemand anders toegang neemt tot gegevens via de sessie die op uw computer open is blijven staan, wordt u aansprakelijk gehouden aangezien uw inloggegevens zijn getraceerd (log van raadplegingstoegang).

3/ Beheer de IT-infrastructuur:

• Zorg ervoor dat u een performante firewall en antivirus heeft.
• Activeer de automatische updates van de computer (firewall, antivirus, software, Windows, … ). U kunt deze taak delegeren aan uw verwerkers. Denk er in dit geval aan om een specifieke bepaling in uw overeenkomst op te nemen over het vernieuwen van softwarecontracten en het beheren van uw updates, zodat uw software en IT-infrastructuur performant blijven.
• Denk er voordat u een overeenkomst met een verwerker (software, programma, anders) ondertekent aan om de systemen/software te testen zodat u er zeker van bent dat ze voldoen aan de behoeften (in verband met het werkterrein in kwestie) en de prestaties op het vlak van gegevensbeveiliging.
• Bescherm het wifinetwerk met een wachtwoord (wijzig het oorspronkelijke wachtwoord).
  Als u wifi aan uw patiënten ter beschikking stelt, maak dan 2 afzonderlijke wifinetwerken aan:

   

  • een privénetwerk voor de activiteiten van de praktijk, beveiligd met een sterk wachtwoord dat alleen voor dit netwerk geldt (voor u en uw eventuele collega’s)
  • een ander openbaar netwerk voor uw patiënten, met een gedeeld wachtwoord dat uitsluitend voor uw patiënten is bedoeld (denk eraan om een affiche in de wachtkamer op te hangen).
• Als u twijfelt aan de veiligheid van een e-mail of website: controleer deze op SafeOnWeb: https://safeonweb.be/nl/home
• Gebruik van IT-materiaal (tablet/GSM/USB-stick/harde schijf, enz.):
  • Beperk de opslag van gevoelige gegevens op deze hulpmiddelen, aangezien ze vatbaar zijn voor verlies of diefstal.
  • Kies een optimale beveiliging voor uw IT-instrumenten door beveiliging met een wachtwoord of biometrische authenticatie (vingerafdruk, gezichtsherkenning).
• Een beschadigd instrument:
  • Vernietig alle gegevens van de harde schijf (boor gaten in de harde schijf) voordat u deze weggooit. Verkoop materiaal dat gebruikt is om al dan niet gevoelige persoonsgegevens op te slaan nooit tweedehands door.
  • Dank het (op deze manier vernietigde) materiaal af (Recupel-punten).
  • Andere optie: doe een beroep op een bedrijf dat IT-materiaal vernietigt.

Opgelet: bepaalde instrumenten worden ondanks dat ze erg nuttig kunnen zijn toch afgeraden (matige beveiliging op heden), en de algemene voorwaarden zouden ook moeten worden gecontroleerd omdat deze kunnen veranderen (plaats van opslag van gegevens, naleving van AVG, enz.)

Elke Verwerkingsverantwoordelijke moet alle gegevens die hij verwerkt beschermen en dit door alle voorzorgsmaatregelen te treffen op het gebied van organisatorische en technische beveiliging (fiche 6 Technische beveiliging).

Wat de organisatorische beveiliging betreft, moet de Verwerkingsverantwoordelijke:

Basisbeginsel:

• • Het hele personeel regelmatig (bijvoorbeeld: een keer per jaar) bewustmaken
  • Elke persoon die werkzaam is in de praktijk en persoonsgegevens verwerkt bewustmaken van de verwerking van persoonsgegevens
    • Bewustmaken van het beroepsgeheim,
    • Een individuele login en een individueel wachtwoord kiezen.
  • Kies voor een wachtwoord dat ingewikkeld en niet aan anderen communiceerbaar is ( fiche 6).

Opgelet: Hang of plak de wachtwoorden niet aan uw computer.

• • Wijzig alle wachtwoorden van uw toegangen (+/- elk jaar) (cf. fiche 6).
    • Plaats van de printer: deze moet niet op een plek staan die toegankelijk is voor de patiënten (voorbeeld: in de wachtkamer, gang naar de toiletten).
    • Afgedrukte documenten moeten meteen na het afdrukken worden opgehaald. (Bijvoorbeeld, kies een printer met toegang per gebruikersnaam en wachtwoord per gebruiker of badge)
    • Verouderde documenten: vernietig documenten die gevoelige gegevens bevatten met een papierversnipperaar.
    • Ongebruikte computers (of elk ander IT-instrument): vergeet niet om de harde schijf te vernietigen (cf. fiche 6).
    • De werkplek beveiligen: sluiten van deuren, ramen en kasten bij het verlaten van het kantoor. Geen dossiers laten liggen op plaatsen waar iedereen erbij kan.
    • Regelmatig een back-up maken en deze op een andere plaats bewaren dan de werkplek: want in geval van brand of overstroming van de praktijk, of in geval van vernietiging van het systeem, moet uw back-up beschut zijn tegen schade (cf. fiche 6).

Een professioneel en beveiligd communicatiekanaal kiezen: Hij moet zich vergewissen van de ontvanger, zich afvragen of de informatie die zal worden meegedeeld belangrijk/noodzakelijk is of niet. Kies voor een end-to-end vercijfering bij het versturen van informatie via een informatiekanaal (bijvoorbeeld het gebruik van de eHealthBox, het Brusselse Gezondheidsnetwerk).

Wanneer een patiënt vraagt om met hem te communiceren via een middel waarvan de beveiliging niet is gegarandeerd, vermeld de aanvraag dan in zijn lokale medische dossier door het document ‘Communicatiemiddel’ in te vullen (beschikbaar via de volgende link: ‘LINK’).

Opletten met de doorgifte van informatie: bepaal de gegevens van de ontvanger en controleer deze vóór het versturen (let op met het automatisch invullen van het e-mailadres van de ontvanger). Opgelet met doorgifte van gegevens buiten de EU.

Elk incident vermelden in zijn register van incidenten: de verwerkingsverantwoordelijke heeft de verplichting om een register van incidenten bij te houden waarin hij elke inbreuk moet vermelden (zie fiche 7). Ter herinnering: inbreuk op gegevens is het verlies, de diefstal, de verstrekking of de vernietiging van persoonsgegevens, op opzettelijke of onopzettelijke wijze, maar ook de onbeschikbaarheid van de gegevens. Als de inbreuk op persoonsgegevens een risico inhoudt voor de persoonlijke levenssfeer van de patiënt moet de inbreuk, in voorkomend geval, worden gemeld bij de Gegevensbeschermingsautoriteit (GBA), binnen een termijn van 72 kalenderuren.

Alle gegevens moeten gedurende minimaal 30 jaar worden gearchiveerd (maximaal 50 jaar) (zie fiche 9). Deze gegevens moeten op beveiligde wijze worden gearchiveerd en indien nodig toegankelijk zijn.

Overeenkomsten afsluiten met verwerkers: deze overeenkomsten moeten waarborgen bieden op het vlak van beveiliging ten aanzien van de AVG (cf. fiche 3).

Een van de beginselen van de Algemene Verordening Gegevensbescherming (AVG) is de bewaring van persoonsgegevens voor de tijd die nodig is om de doelstelling van de verwerking te verwezenlijken. De opslagduur van de gegevens die het mogelijk maken om een natuurlijke persoon te identificeren is met andere woorden beperkt in de tijd.

Deze opslagduur bedraagt, voor wat betreft gezondheidszorgprofessionals, minimaal 30 en maximaal 50 jaar na het laatste contact met de patiënt*. Deze gegevens moeten op beveiligde wijze worden opgeslagen en op om het even welk moment toegankelijk en leesbaar zijn.

De patiënten uit uw patiëntenbestand hebben het recht om u te allen tijde om een (papieren of digitale) kopie van hun gegevens te vragen. Als verwerkingsverantwoordelijke is de praktiserend arts verplicht om hun deze kopie te verstrekken behalve in geval van een wettelijk bepaalde uitzondering (voorbeeld: therapeutische exceptie).

Wat moet ik doen als ik met pensioen ga?

• De beroepsgerelateerde software blijven gebruiken om in geval van een aanvraag de verplichting omtrent bewaring en toegankelijkheid te waarborgen:
  • Gebruikelijk basisforfait
  • Forfait voor bewaring van gegevens met toegang tot de dossiers zonder publicatie noch toegang tot de eHealthBox

• De gegevens doorgeven aan een collega op verzoek van uw patiënt:
  • Via de eHealthBox: in PMF-formaat (patient migration format), per patiënt (denk erom dat u het INSZ-nummer van de patiënt vermeldt)
  • Via een ander beveiligd communicatiekanaal

• In het geval van een groepspraktijk en op verzoek van de patiënt: een andere zorgactor uit de praktijk neemt het dossier van de patiënt over van de zorgverlener in kwestie.

Hierbij dient te worden opgemerkt dat de publicatie van gegevens op de gezondheidsnetwerken een toegang tot de gegevens door andere zorgactoren mogelijk maakt zelfs na het overlijden of het vertrek met pensioen van de zorgactor die de gegevens heeft gepubliceerd.

Wat moet ik doen in geval van overlijden of onmogelijkheid om de gegevens door te geven na het stoppen van een activiteit?

Indien de praktiserend arts niet meer bij machte is het medische dossier aan een andere zorgactor door te geven of het te archiveren, moet dit worden gemeld aan de Toezichtcommissie die door de wet van 22 april 2019 inzake de kwaliteitsvolle praktijkvoering in de gezondheidszorg in het leven werd geroepen. Deze Toezichtcommissie zal de nodige schikkingen nemen voor de gepaste bewaarregeling voor de patiëntendossiers, teneinde de continuïteit van de zorg te kunnen verzekeren evenals voor de vrijwaring van het beroepsgeheim. De Toezichtcommissie licht het deontologisch orgaan in (bijvoorbeeld de Orde der Geneesheren) die de nodige schikkingen zal nemen.

Maar wat moet er worden gedaan na de opslagperiode (namelijk na 30 tot maximaal 50 jaar)?

Er bestaat een wettelijke verplichting om alle persoonsgegevens gedurende een periode van minimaal 30 en maximaal 50 jaar te bewaren. Na deze periode moet de informatie evenwel worden vernietigd.

Om veiligheidsredenen wordt vernietiging verkozen boven anonimisering. De technologische ontwikkelingen garanderen het anonieme karakter van gegevens namelijk niet in de tijd, daar het combineren van databases de heridentificatie van de natuurlijke persoon in verband met de gegevens mogelijk zou kunnen maken zonder medeweten van de verwerkingsverantwoordelijke zelf.

Zolang de beroepsgerelateerde software geen automatische vernietiging – onder voorbehoud van een validatie vóór vernietiging door de zorgactor – van de gegevens voorstelt binnen de voorgeprogrammeerde periode, is een manuele vernietiging vereist.

Er moeten ook beveiligingsmaatregelen worden getroffen tijdens de vernietiging van deze gegevens opdat ze niet verloren gaan of binnen het bereik van derden komen. In het geval van papieren dossiers kan de praktiserende arts bijvoorbeeld een beroep doen op een bedrijf dat gegevens vernietigt. En dit bedrijf zal hem een document moeten overhandigen dat de afgesproken vernietiging van alle al dan niet gevoelige persoonsgegevens waarborgt in naleving van de AVG. Wanneer een computer wordt vervangen, dient de harde schijf van de vervangen computer te worden vernietigd. Dit maakt het mogelijk om het risico op inbreuk in verband met gegevens te verkleinen. (cf. fiches 6 en 7)

De Algemene Verordening Gegevensbescherming (AVG) eist van de verwerkingsverantwoordelijke en van de verwerker dat ze waakzaam zijn wat betreft de beveiliging van de verwerking van persoonsgegevens. En dit door geschikte beveiligingsmaatregelen te treffen om welke vorm van inbreuk op gegevens dan ook te voorkomen.

Artikel 4.12 definieert de inbreuk in verband met gegevens als: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. 

Een inbreuk in verband met gegevens is met andere woorden het verlies, de diefstal, de verstrekking of de vernietiging van persoonsgegevens, op opzettelijke of onopzettelijke wijze, maar ook de onbeschikbaarheid van de gegevens.

Wat moet er worden gedaan in geval van inbreuk in verband met persoonsgegevens?

De praktiserende arts moet het incident vermelden in zijn register van incidenten (LINK). Het register van incidenten is een document dat alle incidenten bevat die verband houden met de verwerkingen.

Als de inbreuk op persoonsgegevens een risico inhoudt voor de persoonlijke levenssfeer van de patiënt (diefstal van niet-vercijferde laptop, hacking), is de praktiserende arts gehouden tot het melden van de inbreuk bij de Gegevensbeschermingsautoriteit (GBA), binnen een termijn van 72 kalenderuren vanaf de kennisneming ervan via het op de volgende website beschikbare formulier: Melding van gegevenslekken | Gegevensbeschermingsautoriteit (gegevensbeschermingsautoriteit.be). Na 72 kalenderuren moet de reden van de vertraging worden aangevoerd.

Wanneer de inbreuk een hoog risico inhoudt op inbreuk op de persoonlijke levenssfeer van de patiënt, dient de inbreuk eveneens aan de patiënt te worden gemeld, behalve bij door de AVG bepaalde uitzonderingen*.

Concreet gezien

• Beveilig de gegevens van uw patiëntenbestand maximaal om elk risico op inbreuk in verband met gegevens te vermijden
• Neem in de onderaannemingsovereenkomsten met uw verwerkers de verplichting op van beveiliging ten laste van de verwerker, met inbegrip van een kennisgevingsplicht aan de verwerkingsverantwoordelijke binnen een vastgestelde termijn (bijvoorbeeld 24 uur vanaf de kennisneming)
• Houd een register van incidenten bij van alle inbreuken in verband met persoonsgegevens
• Evalueer het risico
• Maak in geval van risico op inbreuk op de persoonlijke levenssfeer van de patiënt binnen max. 72 uur vanaf de kennisneming van de inbreuk melding bij de GBA
• Breng de patiënt op de hoogte van deze inbreuk in geval van hoog risico op inbreuk op zijn persoonlijke levenssfeer