AVG Tool
AVG, het valt wel mee
Ook CAT-therapeuten worden geconfronteerd met de AVG. Hieronder een korte opsomming van de belangrijkste punten van de AVG waar je als CAT therapeut mee te maken hebt. Gebruik onderstaand stappenplan.
1: Bijhouden
van een cliëntendossier. Dit houdt in dat je bijhoudt wie je wanneer en waarom behandelt. Je kunt dit doen in een mapje of in een digitaal formulier. Dit kun je heel beknopt doen. CAT heeft voorbeeld clientendossiers maar je kunt natuurlijk ook je eigen manier gebruiken.
2: Inventariseren
welke gegevens je bijhoudt. Het document hiervoor kun je downloaden vanuit de CAT inlogpagina. Vul dit in en bewaar het op een veilige plek
3: Beveiligen en bewaren
van je cliëntdossiers. Een cliëntendossier moet 15 jaar bewaard te worden.
4: Rapporteer datalekken
Mocht privacy gevoelige informatie gestolen worden; meldt dit dan binnen 72 uur op https://autoriteitpersoonsgegevens.nl/
5: Medewerkers
waarmee je samenwerkt (de boekhouder of assistent bijvoorbeeld) dienen een verwerkersovereenkomst met je aan te gaan. Het verwerkers document staat op de inlog pagina.
6: Privacy statement publiceren
Verklaar op je website of in je praktijk door middel van een duidelijk document dat je werkt volgens de AVG en een dossier bijhoudt. Een voorbeeld privacy statement vind je op de inlogpagina.
RBCZ documenten
Informatie nieuwe Europese privacywet AVG
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Dit is een nieuwe Europese privacywet. Daardoor is de privacy in alle landen van de EU gelijk. Nu hebben de lidstaten nog hun eigen nationale wetten. De Algemene verordening gegevensbescherming (AVG) komt dus in plaats van de oude Wet bescherming persoonsgegevens (Wbp). In de AVG staan een aantal verplichte maatregelen genoemd waaraan je, als therapeut, moet voldoen omdat je gegevens vastlegt in cliëntendossiers.
Het CAT geeft je in dit bericht informatie door die opgesteld is door Stichting RBCZ. Het CAT bedankt het RBCZ voor het opstellen en doorgeven van deze informatie. RBCZ heeft in nauw overleg met Valegis Advocaten de uiterste zorgvuldigheid betracht bij het opstellen van deze documenten.
CAT, RBCZ en Valegis Advocaten sluiten nadrukkelijk uit dat zij aansprakelijk zijn voor de juiste toepassing. Het betreft immers geen individueel advies aan therapeuten. Je bent als therapeut zelf verantwoordelijk voor de juiste naleving van de AVG.
”RBCZ heeft in nauw overleg met Valegis Advocaten de uiterste zorgvuldigheid betracht bij het opstellen van deze documenten. Hierbij moet worden opgemerkt dat het vereenvoudigde en veralgemeniseerde documenten zijn, die niet in alle gevallen zullen aansluiten op de specifieke situatie van iedere therapeut. Evenmin kunnen wij vast stellen of alle elementen van deze documenten juist worden toegepast. Derhalve sluiten RBCZ en Valegis Advocaten nadrukkelijk uit dat zij aansprakelijk zijn voor de juiste toepassing. Het betreft immers geen individueel advies aan therapeuten.”
Verplichte maatregelen
De verplichte maatregelen die de AVG concreet noemt zijn:
• het bijhouden van een register van verwerkingsactiviteiten;
• het (laten) uitvoeren van een veiligheidscontrole van het digitale cliëntendossier. Dit kan gedaan worden door de leverancier, maar je kunt het ook zelf doen (als je de kennis in huis hebt) of een externe partij inschakelen.
• het bijhouden van een register van datalekken die zijn opgetreden;
• het aantonen dat een patiënt, of cliënt daadwerkelijk toestemming heeft gegeven voor het vastleggen van gegevens in het cliëntendossier.
Het register van verwerkingsactiviteiten
Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die je vast legt in het cliëntendossier, of in een digitaal programma. Je mag zelf weten hoe u het register opstelt. Wel schrijft de AVG voor welke informatie je als therapeut in het register moet zetten. Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet je het register direct kunnen laten zien.
In het register van verwerkingsactiviteiten moet je opnemen:
a. een omschrijving van de categorieën persoonsgegevens (= cliëntgegevens) die je verwerkt;
b. een beschrijving van de doeleinden waarvoor u persoonsgegevens verwerkt. In de handleiding hebben wij dit al vast als voorbeeld voor u vastgelegd;
c. welke rechten betrokkenen (cliënten) hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens;
d. welke organisatorische en technische maatregelen u genomen heeft om de persoonsgegevens te beveiligen;
e. hoe lang je de persoonsgegevens bewaart; en
f. hoe je omgaat met een datalek.
Hieronder treft je een handleiding aan waarmee je dit register kunt opstellen.
Met behulp van dit document kun je aan de hand van een aantal stappen vastleggen op welke manier je voldoet aan de Algemene verordening gegevensbescherming (AVG).
Zo ver als mogelijk is hebben wij alvast een voorstel voor een definitie aangegeven. Uiteraard kunt je dat wijzigen en aanvullen. Als je alle stappen hebt ingevuld en aangepast, heb je hiermee een register van verwerkingsactiviteiten ingesteld. Je kunt dit uitprinten en archiveren. Je kunt dit tijdens een eventuele visitatie laten zien.
Klik op de blauwe titels hieronder om de documenten te downloaden:
180220 7 stappenplan AVG 180220