Eerste hulp bij GDPR in de medische sector

Stel een verwerkingsregister op

Iedere organisatie of persoon die zich bezighoudt met het verwerken van persoonsgegevens moet over een register van verwerkingsactiviteiten of verwerkingsregister beschikken. In dit register houdt u alle activiteiten bij die uw praktijk uitvoert waarbij persoonsgegevens gebruikt worden, denk aan het aanmaken van een patiëntendossier of het consulteren van het medisch dossier van een patiënt.

Informeer uw patiënten

Binnen de GDPR-wetgeving staan transparantie en informatie centraal. Informeer uw patiënten daarom duidelijk over wat er met hun persoonsgegevens gebeurt, met wie u deze gegevens deelt en welke rechten uw patiënten zelf hebben. Deze informatie wordt veelal gebundeld in een privacyverklaring, die u kunt delen op uw website of in uw wachtzaal.

Sluit verwerkersovereenkomsten af

Worden de verzamelde persoonsgegevens door een externe partijen verwerkt, denk maar aan softwaretoepassingen die een back-up van uw patiëntendossiers in de cloud bewaren? Dan moet u altijd een verwerkersovereenkomst met hen afsluiten. Op die manier sluit u uit dat de externe partij de persoonsgegevens voor eigen doelen verwerkt.

Meld datalekken

Om professioneel om te gaan met een datalek, is het belangrijk dat u een interne procedure opstelt waarin uitgelegd wordt hoe u hiermee omgaat. Na een datalek hebt u 72 uur de tijd om het datalek correct te melden bij de Gegevensbeschermingsautoriteit. Een aantal voorbeelden van datalekken: een onbevoegde heeft toegang tot de persoonsgegevens, u verliest een patiëntendossier of u vult patiëntengegevens per ongeluk bij een andere patiënt in.

Controleer uw beveiligingsmaatregelen

Van zodra een patiëntendossier geraadpleegd wordt, is het belangrijk dat dit geregistreerd wordt. Dat betekent dat elke medewerker binnen het ziekenhuis of binnen uw artsenpraktijk over een persoonlijke gebruikersaccount moet beschikken. Per medewerker kunt u persoonlijke toegangsrechten vastleggen.