/

/

eerste hulp bij gdpr in de medische sector

GDPR & Cybersecurity
02 juli 2021

door Evelien Callewaert

Eerste hulp bij GDPR in de medische sector

Drie jaar na de inwerkingtreding van de GDPR is het duidelijk dat ook de medische sector niet gespaard is gebleven van boetes. Verschillende Europese ziekenhuizen werden reeds beboet. Vaak gaat het om een ontoereikend en nonchalant toegangsbeleid, bijvoorbeeld omdat alle artsen toegang hadden tot de patiëntendossiers, ook wanneer zij niet de behandelende arts waren, of omdat een opgevraagd patiëntendossier niet teruggevonden kon worden. Hoewel artsenpraktijken of andere zorgverleners vandaag voorlopig nog buiten het vizier zijn gebleven, is de kans groot dat het tij snel zal keren. Hoe bereidt u zich voor op een mogelijke controle?

Eerste hulp bij GDPR in de medische sector

Stel een verwerkingsregister op

Iedere organisatie of persoon die zich bezighoudt met het verwerken van persoonsgegevens moet over een register van verwerkingsactiviteiten of verwerkingsregister beschikken. In dit register houdt u alle activiteiten bij die uw praktijk uitvoert waarbij persoonsgegevens gebruikt worden, denk aan het aanmaken van een patiëntendossier of het consulteren van het medisch dossier van een patiënt.

Informeer uw patiënten

Binnen de GDPR-wetgeving staan transparantie en informatie centraal. Informeer uw patiënten daarom duidelijk over wat er met hun persoonsgegevens gebeurt, met wie u deze gegevens deelt en welke rechten uw patiënten zelf hebben. Deze informatie wordt veelal gebundeld in een privacyverklaring, die u kunt delen op uw website of in uw wachtzaal.

Sluit verwerkersovereenkomsten af

Worden de verzamelde persoonsgegevens door een externe partijen verwerkt, denk maar aan softwaretoepassingen die een back-up van uw patiëntendossiers in de cloud bewaren? Dan moet u altijd een verwerkersovereenkomst met hen afsluiten. Op die manier sluit u uit dat de externe partij de persoonsgegevens voor eigen doelen verwerkt.

Meld datalekken

Om professioneel om te gaan met een datalek, is het belangrijk dat u een interne procedure opstelt waarin uitgelegd wordt hoe u hiermee omgaat. Na een datalek hebt u 72 uur de tijd om het datalek correct te melden bij de Gegevensbeschermingsautoriteit. Een aantal voorbeelden van datalekken: een onbevoegde heeft toegang tot de persoonsgegevens, u verliest een patiëntendossier of u vult patiëntengegevens per ongeluk bij een andere patiënt in.

Controleer uw beveiligingsmaatregelen

Van zodra een patiëntendossier geraadpleegd wordt, is het belangrijk dat dit geregistreerd wordt. Dat betekent dat elke medewerker binnen het ziekenhuis of binnen uw artsenpraktijk over een persoonlijke gebruikersaccount moet beschikken. Per medewerker kunt u persoonlijke toegangsrechten vastleggen.

Deel dit artikel

Evelien Callewaert

Senior Advisor Legal evelien.callewaert@vdl.be

Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.


Nieuws en inzichten

Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.