Hoe maak ik mijn huisartsenpraktijk GDPR-proof?

Als huisarts beschik je over heel wat patiënteninformatie. Je patiënten vertellen je hun persoonlijke verhalen, maar je hebt ook toegang tot laboresultaten en andere gezondheidsgegevens. Al die informatie maakt deel uit van de persoonsgegevens van je patiënt. Wat je daarmee kan en mag doen? Dat is sinds 2018 vastgelegd in de GDPR of Algemene Verordening Gegevensbescherming (AVG).

GDPR (kort voor General Data Protection Regulation) werd met veel bombarie en dreigementen aangekondigd, maar is eigenlijk bedoeld als een bescherming van iedereen. Ook jouw gegevens zijn veilig dankzij GDPR. Ze kunnen niet zomaar gedeeld en bewaard worden zonder je toestemming. Hoe zit dat?

Wat beschermt GDPR precies?

Persoonsgegevens, what’s in a name? Het gaat om alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. “Identificeerbaar” betekent dat je direct of indirect kan worden geïdentificeerd aan de hand van:

• een identificator zoals een naam, een identificatienummer, locatiegegevens of een online identificator,
• één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Klinkt complex, maar het komt erop neer dat GDPR ervoor zorgt dat alles wat geweten is over een mens van vlees en bloed met een naam niet zomaar bewaard en gedeeld kan worden, zonder de toestemming van die persoon. Kan je gegevens herleiden tot een bepaalde persoon? Dan zijn het persoonsgegevens, ook al werk je bijvoorbeeld met een patiëntennummer in plaats van een naam.

Er zijn een aantal basisprincipes die je als huisarts - of verwerker van gegevens in het algemeen - in acht moet nemen. De belangrijkste: rechtmatigheid, behoorlijkheid en transparantie. 

• Persoonsgegevens worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen uitsluitend worden verwerkt met het oog op die doeleinden.
• Persoonsgegevens moeten ter zake dienen en beperkt blijven tot het noodzakelijke. Als huisarts kan je dus niet zomaar vragen wat het lievelingskleur van je patiënt is en die informatie digitaal bewaren.
• Persoonsgegevens moeten correct en geactualiseerd zijn. Onjuiste gegevens moeten bovendien verwijderd of gecorrigeerd worden.
• Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Hiervoor bestaan wettelijke termijnen.
• Persoonsgegevens moeten op een beveiligde manier worden verwerkt. Bewaar je ze op je computer, dan moet je bijvoorbeeld een wachtwoordbeveiliging hebben.

Wat als je de GDPR-regels niet naleeft? Dan worden je correctiemaatregelen opgelegd en kan je ook een geldboete krijgen. Maar de belangrijkste reden om GDPR na te leven, is natuurlijk het beschermen van persoonsgegevens.  

Zo maak je jouw praktijk GDPR-proof

Je kan de kast met je patiëntendossiers in niet zomaar meer op slot doen. De coronapandemie heeft de digitalisering van de huisartspraktijk versneld en daarmee ook het belang van de (online) bescherming van gegevens verscherpt.

 Hier lees je hoe je je CareConnect-software helemaal in lijn brengt met GDPR.

Er zijn enkele eenvoudige dingen die je kan doen om persoonsgegevens beter te beschermen, en ook enkele stappen die wat meer voeten in de aarde hebben. Met deze 10 tips ben je al een pak dichter bij een GDPR-proof praktijk: 

1. Stel een data protection officer aan die de regels en het nieuws rond GDPR opvolgt en toepast.
2. Hang je privacyverklaring uit in de wachtzaal en zet ze op je website.
3. Vraag je patiënt toestemming om persoons- en gezondheidsgegevens te verwerken.
4. Beveilig je computer met een wachtwoord (of ga all the way en stel 2-factor-authentication in).
5. Zorg voor een beveiliging van je praktijk, door je dossiers achter slot en grendel te bewaren, een alarmsysteem te installeren en je kantoor op slot te doen.
6. Gebruik schermbeveiliging op je computer, zodat niemand je scherm ziet die geen toestemming heeft om bepaald informatie te verkrijgen.
7. Houd een register bij van verwerkingsactiviteiten.
8. Ook als je patiëntengegevens afdrukt of exporteert uit je systeem blijf je er verantwoordelijk voor. Vermijd patiëntengegevens in de overzichten die je aan je boekhouder bezorgt en bewaar ze op een plek waar ze enkel toegankelijk zijn voor de personen die hier noodzakelijk toegang toe nodig hebben.
9. Besteed je de opslag of verwerking van je gegevens uit? Controleer dan of je dienstverlener voldoet aan de eisen van de GDPR op het vlak van beveiliging en vertrouwelijkheid van de gegevens en voldoende garanties biedt tegen verlies, vernietiging, wijziging of ongeautoriseerde toegang en verspreiding van die gegevens.
10. Beveilig de elektronische gegevensuitwisseling, met bijvoorbeeld het labo of de mutualiteit, en verstuur medische gegevens nooit via e-mail, maar wel via bijvoorbeeld Helena.

Helena, wie?
Om vandaag veilig te communiceren en digitaal documenten te delen met patiënten, ontwikkelden we het platform Helena. Daarmee bezorg je patiënten onder andere een bewijs van een elektronisch voorschrift, medicatieschema’s en verslagen van labo’s. Via Helena kan je patiënt zijn voorgeschreven medicatie ook in 1 klik bij zijn apotheek bestellen.

Geen idee hoe je hier allemaal aan begint? Medische software zoals CareConnect General Practitioner houdt de vinger aan de pols in alle zaken GDPR. Je kan er dus op aan dat de persoonsgegevens van jouw patiënten correct behandeld worden, als je ze beheert in CareConnect. Daarbij wordt gebruik gemaakt van encryptie en cyberbeveiliging.

Wij zorgen voor de bescherming van persoonsgegevens, zodat jij als dokter kan zorgen voor de persoon in kwestie. Zo gaan veiligheid en gezondheid hand in hand.