Gratis webinars
Word direct abonnee
Terug naar het overzicht
Inschrijven nieuwsbrief
AVG zzp zorg

Privacy-wet AVG & zzp'er in de zorg: waar moet je op letten?

werken als zzp'er Feb 12, 2022

Sinds 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De privacy-wet AVG heeft betrekking op alle bedrijven en organisaties die persoonsgegevens verwerken, dus ook de zzp'er in de zorg. Naast een paar belangrijke uitgangspunten vereist de AVG ook dat je enkele documenten op orde hebt en deelt. Ik bespreek ze in dit artikel.

Wat is de betekenis van de AVG? En wat zijn persoonsgegevens?

We starten even met wat de Algemene Verordening Gegevensbescherming is. De AVG komt van een Europese wet, de GDPR en de AVG is de Nederlandse invulling daarvan. Het is een wet die als doel heeft de privacy van mensen te beschermen. De AVG is in 2018 in werking getreden om het gebruik en verwerken van persoonsgegevens beter te reguleren en te beperken. Hieronder wat belangrijke kenmerken van de AVG:

  • De AVG richt zich op persoonsgegevens. Dit zijn gegevens die direct over iemand gaan of te herleiden zijn naar een natuurlijk persoon. Gegevens over een organisatie zijn dus geen persoonsgegevens.
  • De AVG onderscheidt twee soorten persoonsgegevens. Reguliere persoonsgegevens en bijzondere persoonsgegevens. Onder bijzondere persoonsgegevens vallen bijvoorbeeld iemands ras, godsdienst, politieke voorkeur of gezondheid. Deze persoonsgegevens zijn extra beschermd onder de AVG en deze mag je alleen met uitzondering verwerken.
  • De AVG gaat over het verwerken van persoonsgegevens. Onder verwerken vallen alle handelingen die je kan uitvoeren met persoonsgegevens zoals opslaan, wijzigen, verwijderen, analyseren, delen of ordenen.
  • De AVG heeft als uitgangspunt dat de privacyinbreuk zo klein mogelijk moet zijn als persoonsgegevens verwerkt worden. Verwerk dus alleen persoonsgegevens die noodzakelijk zijn voor een bepaald doel en verwerk deze niet langer dan noodzakelijk is. Hiermee verklein je ook het risico dat een datalek (persoonsgegevens die ongewenst verspreid worden) veel schade berokkenen.
  • De AVG is een Europese wet. Internationaal staat die bekend als de General Data Protection Regulation (GDPR). In Nederland ziet de Autoriteit Persoonsgegevens toe op de naleving van de AVG.

Lees ook: Privacy en zzp'ers in de zorg. Waar moet je op letten bij de AVG?

Wat betekent de privacy wetgeving AVG voor de zorg?

Zoals hierboven beschreven richt de AVG wetgeving zich op het verwerken van persoonsgegevens. Het verwerken hiervan wordt gereguleerd. Het verwerken van bijzondere persoonsgegevens moet zoveel mogelijk worden beperkt. En dit is waar de wet AVG botst met het verlenen van zorg. Om goede zorg te lenen is het belangrijk te documenteren welke diagnose is gesteld, welke lichamelijke of mentale klachten een client heeft en welke medicatie moet worden toegediend. Deze gegevens gaan over een persoon en vallen onder medische gegevens, waarvan je de verwerking zoveel moet beperken. Hier moeten zorgaanbieders dus een balans vinden tussen het beperken van de verwerking van bijzondere persoonsgegevens en het documenteren om goede zorgverlening te kunnen waarborgen. 

Waarom is de AVG van belang voor de ZZP'er in de zorg?

ZZP'ers in de zorg zijn zorgaanbieders en hebben een eigen bedrijf. De privacy-wet geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken, dit geldt dus ook voor zzp'ers. Zzp'ers in de zorg zijn solistische werkende zorgaanbieders en zij zijn zelf hoofdelijk aansprakelijk op het voldoen aan de AVG. Zoals hierboven vermeldt hebben zzp'ers in de zorg vaak te maken hebben met gegevens die betrekking hebben op iemands gezondheid en verwerken zij dus bijzondere persoonsgegevens. Zoals hierboven beschreven gelden hier extra strenge eisen voor. ZZP'ers in de zorg vallen dus onder de AVG en dienen extra voorzichtig om te gaan met privacy aangezien ze vaak met gevoelige persoonsgegevens werken.

Waar moet je als zzp'er met de privacy wet AVG aan voldoen?

Waar je aan moet voldoen als zzp'er wat betreft de AVG hangt af de rol die je hebt in de verwerking van persoonsgegevens. We onderscheiden 3 verschillende rollen:

  1. Verwerkingsverantwoordelijke van persoonsgegenvs;
  2. Verwerker van persoonsgegevens
  3. Als zzp'er onder intern beheer

We bespreken ze hieronder:

De zzp-er is een verwerkingsverantwoordelijke

Bepaal jij zelf welke persoonsgegevens je verwerkt en waar je deze opslaat? Dan ziet de AVG jou als 'verwerkingsverantwoordelijke'. Als jij zelf een zorgovereenkomst aangaat als solistisch werkende zorgaanbieder, dan ben jij zelf verantwoordelijk voor het goed verwerken van persoonsgegevens. Je dient te voldoen aan de verplichtingen van de AVG.

De zzp-er valt onder intern beheer

Dit geval geldt als jij als onderaannemer voor een andere zorgorganisatie werkt. Jij valt dan onder het interne beheer van die organisatie. De zorgorganisatie heeft in dit geval zelf de zorgovereenkomst afgesloten met een cliënt. Op het moment dat de zorgorganisatie bepaalt wat het doel is van het verwerken van gegevens en dit zelf beheert, heb je te voldoen aan de AVG richtlijnen van de organisatie.

De zzp-er is een verwerker van persoonsgegevens

Dit is een onwaarschijnlijke scenario, maar we bespreken hem toch. Als je verwerker bent van persoonsgegevens dan registreer jij privacy gevoelige persoonsgegevens in opdracht van een andere partij. Het doel van het verwerken van gegevens is niet jouw doel, maar die van een andere organisatie. Een voorbeeld is dat jij een database beheert die door een andere organisatie vult met persoonsgegevens. Zij leveren persoonsgegevens aan en jij 'verwerkt' dat voor hen. Zoals gezegd is dit voor een zzp-er in de zorg onwaarschijnlijk.

Welke AVG documenten moet een ZZP'er in de zorg op orde hebben?

De AVG eist enkele documenten voor verscheidene redenen. Zo is het onder andere belangrijk dat de personen wiens persoonsgegevens verwerkt worden geïnformeerd zijn over de verwerking van hun gegevens. Ook vraagt de AVG dat bedrijven een overzicht hebben van welke persoonsgegevens ze verwerken en waarom. Hieronder zet ik uiteen welke documentatie nodig is. Daaronder beschrijf ik wat de AVG met ieder document bedoelt en wat er in moet staan:

  1. Privacyverklaring;
  2. Privacybeleid;
  3. Verwerkingsregister;
  4. Verwerkersovereenkomst;
  5. Datalekregister

Privacy verklaring - voldoen aan de informatieplicht

Als bedrijf of organisatie dat persoonsgegevens verwerkt heb je een informatieplicht richting betrokkenen, dus ook als zzp in de zorg. Je bent dus verplicht om cliënten en anderen van wie je persoonsgegevens verwerkt te informeren over de verwerking van hun persoonsgegevens. Om hen te informeren kan je een privacyverklaring opstellen. In deze privacyverklaring benoem je de volgende zaken:

  • Het doel van het verwerken van de persoonsgegevens;
  • Welke rechten betrokkenen hebben;
  • Hoelang je de persoonsgegevens bewaard;
  • Dat betrokkenen een klacht kunnen indienen bij de Autoriteit Persoonsgegevens;
  • Hoe ze je kunnen bereiken indien ze vragen en/of klachten hebben. 

Deze privacyverklaring kan je op je website plaatsen en bijvoorbeeld uitprinten en verstrekken aan cliënten en andere betrokkenen bij aanvang van een opdracht. 

Privacy beleid - laat zien dat je aan de AVG voldoet

Jouw privacybeleid is een intern schriftelijk document waarin je beschrijft hoe je voldoet aan de AVG. Hiermee voldoe je aan de verantwoordingsplicht waar zorgaanbieders zich aan dienen te houden. Aangezien zorgaanbieders vaak bijzondere persoonsgegevens verwerken is het belangrijk goed op te schrijven welke persoonsgegevens je verwerkt en hoelang je deze bewaart. 

Wat je zoal moet beschrijven in het privacybeleid is het volgende:

  • Welke persoonsgegevens worden verwerkt;
  • Met welk doel en op basis van welke rechtsgrond gebeurt dit;
  • Welke rechten hebben betrokkenen;
  • Hoelang persoonsgegevens bewaard worden (bewaartermijnen);
  • Hoe zorg je ervoor dat de persoonsgegevens veilig worden opgeslagen. 

Verwerkingsregister - registreer wat je verwerkt

Het verwerkingsregister is, zoals de naam al voorspelt, een register van je verwerkingen. Normaal hoeven alleen bedrijven met meer dan 250 werknemers dit op te stellen, maar als je structureel bijzondere persoonsgegevens, zoals medische gegevens, verwerkt is dit ook belangrijk. In het register benoem je welke categorieën persoonsgegevens je verwerkt, hoelang je deze bewaart, of en met wie je deze gegevens deelt en waarom je deze bewaart. 

Voorbeelden van categorieën zijn:

  • NAW gegevens
  • Geboortedatum
  • Geboorteplaats
  • Geslacht
  • Contactgegevens
  • Medische gegevens

Verwerkersovereenkomst - maak afspraken als je persoonsgegevens deelt

Als je persoonsgegevens die jij beheert deelt met andere partijen, bijvoorbeeld een boekhouder, dien je afspraken te maken over hoe zij met deze persoonsgegevens omgaan. Die doe je in een verwerkersovereenkomst. De partij die de persoonsgegevens ontvangt en deze vervolgens ook verwerkt wordt hierin gezien als 'verwerker'. 

Voorbeelden van wat je in deze overeenkomst kan beschrijven zijn:

  • welke persoonsgegevens worden gedeeld;
  • waarom worden deze persoonsgegevens gedeeld;
  • Wie is aansprakelijk;
  • Wat gebeurt er met de persoonsgegevens als de verwerkersovereenkomst eindigt;
  • Hoe zorgt de 'verwerker' ervoor dat er veilig wordt omgegaan met de persoonsgegevens.

Hierin is het dus belangrijk dat je verantwoordelijkheid neemt door goede afspraken te maken als jij de persoonsgegevens van iemand deelt. Stel dus zo'n overeenkomst op met alle partijen die persoonsgegevens van jou ontvangen.

Datalekregister - registreer datalekken en informeer betrokken indien nodig

Zoals inmiddels bekend verwerk je onder de privacy wet AVG zo min mogelijk persoonsgegevens en als je deze verwerkt, doe je dat veilig. Mocht er onverhoopt toch wat fout gaan kan er een datalek ontstaan. Het betreft een datalek als er persoonsgegevens toegankelijk zijn voor anderen die daar geen toegang tot zouden moeten hebben. Dit kan zowel digitaal ontstaan, bijvoorbeeld door een gehackt of verloren wachtwoord of ook gewoon analoog, door bijvoorbeeld een dossier in de trein te laten liggen. Het is belangrijk mocht er een datalek plaatsvinden om te registreren wanneer dat is gebeurd, welke informatie onbedoeld gedeeld is en om de betrokken hiervan op de hoogte te brengen. Het registreren hiervan doe je in je eigen datalekregister.

Welke informatie moet je beschrijven in het datalekregister?

  • Of het datalek gemeld is bij de Autoriteit Persoonsgegevens of bij de betrokken;
  • Wat de aard is van het incident
  • Hoeveel betrokkenen er zijn
  • Welke informatie het betreft

Naast het registreren is het dus belangrijk om te bepalen of het datalek gemeld moet worden bij de Autoriteit Persoonsgegevens. Op de website van de Autoriteit Persoonsgegevens is een voorbeeldlijst gepubliceerd. Een datalek moet gemeld worden, tenzij er geen risico's zijn voor de rechten en vrijheden van de betrokkenen. Meldingen dienen binnen 72 uur te gebeuren.

AVG Documenten verwerk je in je kwaliteitssysteem

Om te voldoen aan de privacy wet AVG dien je een goed overzicht te hebben van hoe je werkt en welke persoonsgegevens je daarbij verwerkt. Dit dien je goed te documenteren. De hierboven documenten kan je verzamelen in je kwaliteitssysteem, aangezien je hier beschrijft wat jouw werkwijze is en hoe je dit stapsgewijs blijft verbeteren.

Wat gebeurt er met een schending van de privacy wet AVG?

Handhaving van de privacy-wet AVG is een taak van de Autoriteit Persoonsgegevens. Naast dat zij zelf controle's uitvoeren komen zij ook vaak in actie naar aanleiding van klachten over het onrechtmatig verwerken van persoonsgegevens of een datalek. De Autoriteit Persoonsgegevens stelt vervolgens een onderzoek in. 

Boetes en sancties

De Autoriteit Persoonsgegevens mag sancties opleggen als blijkt dat een organisatie de privacywetgeving overtreedt. Dit kan bijvoorbeeld een boete zijn, maar ook een last onder dwangsom, een verwerkingsverbod, een berisping of een waarschuwing. Boetes kunnen oplopen tot maximaal €20 miljoen of 4% van de wereldwijde jaaromzet. Meer informatie over boetes kan je hier vinden. Boetes worden geind dor het Centraal Justitieel Incassobureau (CJIB). Het geld komt dus uiteindelijk terecht bij de overheid.

Hoe start je als zzp'er in de zorg met de AVG?

Ik kan me voorstellen dat dit als veel informatie overkomt. Dat klopt ook. Voordat de AVG bestond was er een zwakke privacywet. De AVG is daarentegen veel zwaarder en geldt als de zwaarste privacywetgeving ter wereld. De AVG heeft dus veel invloed in hoe bedrijven en organisaties met persoonsgegevens kunnen omgaan. Maar hoe start je met de AVG als zzp'er in de zorg? Volg de stappen hieronder!

  1. Maak een overzicht van welke persoonsgegevens jij verwerkt, van wie deze persoonsgegevens zijn en waarom je deze verzamelt;
  2. Dit overzicht dient als goede basis om de hierboven beschreven documenten op te stellen. Zolang er niks verandert hoef je deze meeste documenten maar eenmalig op te stellen;
  3. Deel de privacyverklaring met personen wiens persoonsgegevens je verwerkt;
  4. Maak afspraken en stel een overeenkomst op als je persoonsgegevens deelt met andere partijen;
  5. Controleer regelmatig of de documenten nog up-to-date zijn.

Dit is een artikel van ZZP-erindezorg.nl

Ken jij hét service abonnement voor zzp-ers in de zorg al? Klik hieronder!
Wtza abonnement voor zzp-ers in de zorg