Overslaan en naar de inhoud gaan

Invoering Algemene Verordening Gegevensbescherming

20 maart 2018

Per 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Dit heeft consequenties voor de pedicure en medisch pedicure.

De nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie. Pedicures en medisch pedicures registreren meer gegevens van hun patiënten, ook op het gebied van hun gezondheid. Gegevens over de gezondheid behoren tot de gevoeligste persoonsgegevens die er zijn. Deze gegevens zijn dan ook niet voor niets wettelijk extra beschermd via de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) Wgbo. De Wgbo wordt in de toekomst ook veranderd, hoe en wanneer is op dit moment niet duidelijk.

Verantwoordingsplicht
Je hebt een verantwoordingsplicht. Dit houdt in dat je moet kunnen aantonen dat je praktijk in overeenstemming met de AVG handelt. Dat kan door de volgende punten te registeren:

  • welke persoonsgegevens je vastlegt
  • met welk doel
  • waar deze gegevens vandaan komen
  • en met wie je ze deelt.

Je kunt dit overzicht ook nodig hebben als patiënten hun privacyrechten uitoefenen. Als cliënten namelijk vragen hun gegevens te corrigeren of verwijderen, dan moet je dit doorgeven aan de organisaties waarmee je de gegevens van de patiënten hebt gedeeld.

Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. Alle datalekken moeten gedocumenteerd worden. Met deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of je aan de meldplicht hebt voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.

Verwerkersovereenkomst
Als je jouw gegevensverwerking uitbesteedt aan een bewerker, dan dien je ervoor te zorgen dat de verwerking met voldoende veiligheidswaarborgen is omkleed.

Toestemming
De AVG stelt strengere eisen aan toestemming voor gegevensverwerking. Het is daarom noodzakelijk dat je de manier evalueert waarop je toestemming vraagt, krijgt en registreert. Nieuw is dat je moet kunnen aantonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

Functionaris gegevensbescherming
Vanaf dit moment kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht. We zijn van mening dat geen van de drie genoemde situaties van toepassing is op de pedicure/medisch pedicure.