Modeldocumenten voor de AVG nu beschikbaar
Op 25 mei dient u te voldoen aan de bepalingen van de AVG, de (Europese) Algemene Verordening Gegevensbescherming. Op 1 maart hebben we een stappenplan voor de invoering van de AVG in uw lab op onze website gezet en kort daarna ook in de nieuwsbrief. Vanaf nu zijn er ook voorbeelddocumenten beschikbaar, die u kunt aanpassen voor eigen gebruik, om aan de AVG te kunnen voldoen.
De VLHT moet natuurlijk ook aan de AVG voldoen en heeft zelf een plan van aanpak opgesteld, alsmede een vijftal andere documenten, die voortvloeien uit de verplichtingen van de wet. Het betreft nog concepten, die nog op volledigheid en juistheid gecontroleerd moeten worden. Toch kunt u als labhouder deze documenten al als voorbeeld gebruiken en voor eigen gebruik aanpassen. Het gaat om de volgende modeldocumenten:
1. Privacyreglement (stap 7 van het stappenplan)
Hierin legt u neer welke verwerkingen u uitvoert. U schat de risico’s in, geeft aan wie verantwoordelijk is en welke technische en organisatorische maatregelen nodig zijn om ervoor te zorgen dat die verwerkingen goed beveiligd zijn. Vergeet niet uw dagelijkse routines goed door te lichten, zodat voorkomen wordt dat vertrouwelijks informatie ‘weglekt’ naar onbevoegden.
2. Verwerkingsregister (stap 6 van het stappenplan)
Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat de organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.
In het register documenteert u welke persoonsgegevens u verwerkt, met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.
Vooraf heeft u onderzocht of u de gegevens die u verwerkt wel echt nodig heeft. Andere gegevens heeft u gewist.
3. Register voor datalekken (stap 7 van het stappenplan)
De AVG stelt nieuwe, strengere eisen aan de eigen registratie van de datalekken die zich in de organisatie hebben voorgedaan. U moet voortaan alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.
Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.
4. Verwerkersovereenkomst (stap 8 van het stappenplan)
Hier zouden uw tandartsen eigenlijk met een voorstel moeten komen. Het zijn hun patiënten die ze moeten beschermen en de beroepsorganisaties KNMT en ANT hebben hiervoor modellen ontwikkeld. Als uw tandartsen niet met voorstellen komen, dan kunt u ons model gebruiken. We hebben dat overigens niet zelf ontwikkeld; het is opgesteld door brancheorganisaties in de zorgsector.
Andere sectoren, zoals administratieconsulenten en partijen die uw website hosten, hebben eigen brancheovereenkomsten. Vraag hen daarnaar.
5. Privacyverklaring (stap 9 van het stappenplan)
De AVG verplicht ons om degenen van wie u persoonsgegevens gaat verwerken, via de website op een begrijpelijke manier te informeren over de gegevens die u verzamelt en verwerkt en met welke grondslag (reden). Dit legt u neer in een privacyverklaring, waarmee deze relaties akkoord moeten gaan.
Als u mensen rechtsreeks helpt, dus zonder tussenkomst van de tandarts, en persoonsgegevens van hen opslaat, is het aan te raden hen bij bezoek aan uw lab de privacyverklaringverklaring, of een verkorte versie ervan te laten ondertekenen, voordat u hun gegevens gaat opslaan.
Zo weet uw doelgroep dus precies wat er met hun gegevens gebeurt.
Tot besluit
U vindt de modeldocumenten op onze website in de map AVG onder downloads.
Als u nog vragen heeft, dan kunt u hiermee bij het secretariaat terecht. Houdt u er wel rekening mee dat het secretariaat van 10 tot 20 mei gesloten is wegens vakantie.