In de zorg worden dagelijks persoonsgegevens verwerkt. Denk aan patiëntgegevens, medische dossiers en administratieve gegevens. Veel zorgaanbieders vragen zich daarom af of een verwerkingsregister verplicht is, vooral wanneer de organisatie klein is. In de praktijk blijkt dat vrijwel iedere zorgpraktijk een verwerkingsregister moet bijhouden.
Deze blog legt uit wanneer een verwerkingsregister verplicht is, wat erin moet staan en waarom de rol van een Privacy Officer daarbij zo belangrijk is.
Gezondheidsgegevens vragen om extra bescherming
Gezondheidsgegevens behoren volgens de Algemene verordening gegevensbescherming (AVG) tot de bijzondere categorieën van persoonsgegevens. Dat betekent dat deze gegevens extra bescherming verdienen. Zorgverleners verwerken deze gegevens bovendien structureel, bijvoorbeeld bij het bijhouden van patiëntendossiers of bij declaraties richting zorgverzekeraars.
Omdat deze gegevens zo gevoelig zijn, stelt de AVG strengere eisen aan organisaties die ermee werken. Eén van die eisen is dat organisaties inzicht moeten hebben in hun gegevensverwerkingen. Het verwerkingsregister speelt daarbij een centrale rol.
Ook kleine zorgpraktijken moeten meestal een verwerkingsregister hebben
Soms wordt gedacht dat een verwerkingsregister alleen verplicht is voor grote organisaties met meer dan 250 medewerkers. Dat klopt niet helemaal. Ook kleinere organisaties moeten een register bijhouden wanneer zij persoonsgegevens verwerken die niet incidenteel zijn, wanneer de verwerking risico’s kan opleveren voor betrokkenen of wanneer bijzondere persoonsgegevens worden verwerkt.
Voor zorgpraktijken zijn deze situaties vrijwel altijd van toepassing. Patiëntgegevens worden dagelijks verwerkt en medische gegevens vallen onder de bijzondere categorieën van persoonsgegevens. Daardoor geldt in de praktijk dat ook kleine zorgaanbieders vrijwel altijd een verwerkingsregister moeten opstellen en onderhouden.
Wat staat er in een verwerkingsregister?
Een verwerkingsregister geeft inzicht in welke persoonsgegevens een organisatie verwerkt en waarom. Het beschrijft bijvoorbeeld welke gegevens van patiënten of medewerkers worden vastgelegd, met welk doel dat gebeurt en hoe lang deze gegevens worden bewaard.
Daarnaast wordt vastgelegd met welke partijen gegevens worden gedeeld, zoals ICT-leveranciers, laboratoria of zorgverzekeraars. Ook moet duidelijk zijn welke beveiligingsmaatregelen zijn genomen om persoonsgegevens te beschermen.
Het verwerkingsregister helpt organisaties om overzicht te houden over hun gegevensstromen. Daarmee vormt het een belangrijk onderdeel van de verantwoordingsplicht uit de AVG. Organisaties moeten immers kunnen aantonen dat zij zorgvuldig omgaan met persoonsgegevens.
Het verwerkingsregister als basis voor het privacybeleid
Een goed verwerkingsregister is meer dan een administratieve verplichting. Het helpt organisaties om inzicht te krijgen in hun processen en risico’s. Pas wanneer duidelijk is welke gegevens worden verwerkt en waar deze zich bevinden, kan worden bepaald welke beveiligingsmaatregelen nodig zijn.
Het register speelt ook een rol bij het toepassen van belangrijke privacyprincipes zoals privacy by design en privacy by default. Privacy by design betekent dat privacy al wordt meegenomen bij het ontwerpen van systemen en processen. Privacy by default houdt in dat standaard alleen de persoonsgegevens worden verwerkt die echt noodzakelijk zijn.
Door deze principes toe te passen wordt privacy structureel onderdeel van de organisatie.
De belangrijke rol van de Privacy Officer
Het opstellen en onderhouden van een verwerkingsregister vraagt om overzicht en kennis van privacywetgeving. Binnen veel organisaties speelt de Privacy Officer hierbij een belangrijke rol. Deze professional helpt om alle gegevensverwerkingen in kaart te brengen en zorgt ervoor dat het register actueel blijft.
Daarnaast adviseert de Privacy Officer over risico’s, bewaartermijnen en passende beveiligingsmaatregelen. Ook kan deze rol helpen bij het beoordelen van nieuwe projecten of systemen waarin persoonsgegevens worden verwerkt. Zo wordt voorkomen dat privacy pas achteraf wordt meegenomen.
Een goed onderhouden verwerkingsregister is dus vaak het resultaat van structureel privacybeheer binnen de organisatie.
Goede kennis is erg belangrijk voor Privacy Officers
De rol van Privacy Officer vraagt om actuele kennis van privacywetgeving en praktijkervaring met gegevensbescherming. Zonder voldoende kennis wordt het lastig om complexe gegevensverwerkingen goed te beoordelen of organisaties adequaat te adviseren.
Daarom is een goede opleiding belangrijk. De Opleiding Privacy Officer van AVG-trainingen biedt professionals de kennis en praktische vaardigheden die nodig zijn om deze rol effectief uit te voeren. Daarbij wordt onder andere aandacht besteed aan het opstellen van een verwerkingsregister, privacyrisico’s, governance en de toepassing van de AVG in organisaties.
Met de juiste kennis kan een Privacy Officer organisaties helpen om privacy structureel te organiseren en risico’s te beperken.
