Waarnemers en de privacywet AVG

De LHV krijgt geregeld vragen van waarnemende huisartsen over wat de nieuwe privacywet AVG voor hen betekent. We hebben daarom op een rijtje gezet welke stappen wel en niet voor waarnemers van toepassing zijn. Binnen de huisartsenpraktijken zijn waarnemers niet verantwoordelijk voor AVG-verplichtingen, maar als zelfstandig ondernemer wel.

Waarnemers (en ook hidha’s) zijn volgens de wet AVG binnen de huisartsenpraktijk(en) waar ze werken geen verwerkingsverantwoordelijke. Een verwerkingsverantwoordelijke is namelijk degene die beslist over het doel en de middelen voor de verwerking van persoonsgegevens. In huisartsenpraktijken is dat de praktijkhouder.

Ook bent u als waarnemer of hidha geen verwerker van gegevens binnen de huisartsenpraktijk. Een verwerker is namelijk iemand die niet onder rechtstreeks gezag staat van de verwerkingsverantwoordelijke. Een hidha is werknemer van de verwerkingsverantwoordelijke en valt dus onder diens gezag. Als waarnemer bent u geen werknemer, maar de opdrachtgever bepaalt wel hoe de persoonsgegevens binnen de praktijk worden verwerkt (bijvoorbeeld: met welk HIS). Dit maakt dat u als waarnemer voor de binnen de praktijk verwerkte gegevens niet wordt aangemerkt als verwerker.

AVG-verplichtingen voor waarnemend huisartsen

Als waarnemer bent u zelfstandig ondernemer. Daarnaast bent u een zorgaanbieder in het kader van de klachtenwet Wkkgz. Er zijn daardoor wel enkele verplichtingen uit de AVG waar u, net als andere ondernemers in elke andere sector, aan moet voldoen.

Het gaat dan om de gegevens die u buiten de huisartsenpraktijk, maar binnen uw eigen onderneming verwerkt, zoals gegevens van uw opdrachtgevers.

We raden waarnemers de volgende stappen aan:

  1. Loop voor uzelf na: welke categorieën persoonsgegevens verwerkt u en is dit geoorloofd? Een voorbeeld: vanuit de klachtenwet Wkkgz bent u verplicht om incidenten en klachten te registreren (meer informatie daarover vindt u in het dossier Wkkgz) Die registratie geldt als een verwerking van persoonsgegevens. Ander voorbeeld: u houdt een lijst bij met contact- en facturatiegegevens van de opdrachtgevers (praktijkhouders) waar u werkt. Ook dat is een verwerking. Denk hierbij ook aan gegevens die u ontvangt via een contactformulier op uw website (indien u die heeft).

  2. Bedenk of deze persoonsgegevens afdoende zijn beveiligd. Bijvoorbeeld: als u deze documenten opslaat op uw computer, is deze computer dan voldoende beveiligd (zoals met een wachtwoord)? Tip: kijk in de Praktijkwijzer Informatiebeveiliging voor informatie over het goed beveiligen van uw data en hardware.

  3. Houd een verwerkings- en datalekregister bij. Voor praktijkhouders heeft de LHV een uitgebreid model verwerkingsregister. Een aantal onderdelen hiervan zijn niet van toepassing op waarnemers (immers geldt alleen voor praktijkhouders dat zij verantwoordelijk zijn voor de verwerking van patiëntgegevens en die dus in het verwerkingsregister moeten registreren). Daarom hebben we voor waarnemers een vereenvoudigde versie van ons model-verwerkingsregister gemaakt.

  4. Sluit een verwerkersovereenkomst met partijen die voor u gegevens verwerken, als u daar gebruik van maakt. Bijvoorbeeld als u een ander de facturatie voor u laat doen en hen daarom gegevens van uw opdrachtgevers verstrekt.

Meer informatie

Bekijk ons dossier Privacywet AVG, daar vindt u meer informatie, producten die u kunt gebruiken en de contactgegevens van de AVG-helpdesk.

LHV © 2018