De nieuwe privacywet (AVG) en uw praktijkwebsite, wat te doen?

Er is al veel over gezegd en geschreven; de nieuwe privacywet. Ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd. Vanaf 25 mei 2018 is de AVG van toepassing.

Ook als praktijk krijgt u dan meer verplichtingen. Maar wat zijn nu precies de gevolgen van deze AVG wet op uw praktijkwebsite?
Om u op weg te helpen geven wij in deze blog praktische tips met maatregelen voor uw website.

Let wel: De AVG reikt veel verder dan alleen uw website. Voor een volledig overzicht van AVG adviseren wij de website van Autoriteit Persoonsbescherming (AP) te raadplegen.


1. Sluit een verwerkersovereenkomst af met uw website leverancier

Met elke externe partij die persoonsgegevens verwerkt van uw patiënten, is het vanaf 25 mei wettelijk verplicht om een zogeheten verwerkersovereenkomst af te sluiten. Uw website leverancier slaat bijvoorbeeld de gegevens op die uw patiënt (via een online formulier) invult op uw site. Vraag uw leverancier daarom om een verwerkersovereenkomst.

voorbeeld verwerkersovereenkomst privacywet avg praktijk zorg website

2. Houdt een verwerkingsregister bij van zaken die u via uw praktijk website opvraagt

Om de nieuwe privacywet na te leven moet u kunnen aantonen hoe de gegevens van patiënten worden verwerkt. Dit kan met behulp van een verwerkingsregister. Heeft u op uw website b.v. een online tip- of klachtenformulier, dan kan een verwerkingsregister er als volgt uitzien:

Voorbeeld verwerkingsregister van een online tip of klachtenformulier

Verwerkingsregister van:      Tip of klachtenformulier
Doel Mogelijk om tip of klacht in te dienen op website
Beheerd door Praktijkmanager
Betrokkenen Website bezoekers
Persoonsgegevens E-mailadres, Naam, Geslacht, Telefoon, Adres, Aard van de klacht, Inhoud tip of klacht
Bewaartermijn Na ontvangst gegevens; 4 dagen op website, 3 maanden op email
Betrokken systemen (tools) Tool:
Online webformulier
voorbeeld formulier klik hier
Betrokken partners/verwerkers Partners / verwerkers:
Website leverancier – [Vul in naam]
Partij voor email hosting – [Vul in naam]
(Toelichting: De gegevens uit het formulier worden naar uw email adres verstuurd)

Let op: U moet voor alle online formulieren die u aanbiedt op de website een verwerkingsregister aanmaken. Denk daarbij ook aan een contact-, afspraak- of inschrijfformulier.

 

3. Publiceer een Privacy verklaring op uw praktijkwebsite

U bent wettelijk verplicht patiënten en bezoekers te informeren over het verzamelen van privacygevoelige gegevens en met welk doel u deze gegevens verzamelt. Dit moet worden opgenomen in een privacy statement op uw website

Een privacy statement bevat in ieder geval:

  • De identiteit van de organisatie
  • Met welk doel gegevens worden verwerkt
  • Of uw website cookies gebruikt
  • Informatie over nieuwsbrieven. De ontvanger moet voor een mailing van te voren toestemming hebben gegeven (opt-in). Ook moet er een duidelijke afmeldmogelijkheid zijn. Als de ontvanger een patiënt is van de organisatie dan is er geen toestemming nodig.
  • De bewaartermijn van data, voor elk van de typen data die u verzamelt
  • Profilering als die plaatsvindt
  • Vermelding van de (rechts)personen waarmee data wordt gedeeld (‘verwerkers’)
  • Recht tot inzage, wijziging, verwijdering of overdracht van gegevens
  • Mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens
  • Naast bedrijfsgegevens ook de naam en contactgegevens van de persoon die namens de organisatie verantwoordelijk is voor privacy en gegevensverwerking
  • Een toelichting op welke technische en organisatorische maatregelen er zijn genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Belangrijk is dat het statement eenvoudig taalgebruik bevat en een volledige beschrijving geeft van de gegevensverwerking. Op de site van Verdonck, Klooster & Associates vindt u een goed voorbeeld van een privacy statement.

voorbeeld privacystatement voor privacywet avg praktijk zorg website

4. Maak online formulieren op uw website AVG ready

Vraag niet meer dan nodig is
Vraag bij een online formulier alleen informatie die u nodig heeft. U moet namelijk kunnen aantonen waarvoor u deze informatie nodig heeft.

Bij bijvoorbeeld een klachtenformulier heeft u alleen de contactgegevens en de aard van de klacht nodig om contact op te nemen met de inzender. Leeftijd of godsdienst zijn dan niet relevant en mogen daarom niet uitgevraagd worden.

Toestemming
Plaats op het online formulier een selectievakje waarin u toestemming vraagt voor het verwerken (en eventueel opslaan) van de ingevulde gegevens. Het selectievakje moet standaard uitgevinkt zijn.

Voorbeeldtekst expliciete toestemming:

Bij het versturen van dit formulier geef ik toestemming dat deze gegevens mogen worden gebruikt ten behoeve van [VUL IN DOEL FORMULIER].
Uw gegevens zullen niet worden gebruikt voor andere doeleinden en niet worden verstrekt aan derden. Uw gegevens kunnen te allen tijde weer worden verwijderd.

Voor volledige informatie over het verwerken van uw gegevens zie onze privacy statement. [LINK NAAR UW PRIVACYSTATEMENT-PAGINA]

voorbeeld expliciete toestemming verwerken persoonsgegevens privacywet avg praktijk zorg website

5. Zorg voor goede beveiliging van persoonsgegevens op uw praktijkwebsite

In de AVG staat dat u persoonsgegevens goed moet beveiligen. U kunt de volgende maatregelen nemen om de digitale gegevensverwerking (via formulieren en mail) veiliger te maken:

  • Een beveiligde websiteverbinding via HTTPS
  • Automatisch wissen van gegevens uit de database van uw website
  • Het gebruik van een sterk en uniek wachtwoord voor uw website en email-account
  • Houdt de software van uw praktijkwebsite altijd up-to-date
  • Vraag bij uw leverancier welke maatregelen deze neemt omtrent de veiligheid van uw website
  • Maak gebruik van beveiligde email (secure mail)

Lees de blog: “6 aanbevelingen voor een veilige zorgwebsite” voor meer informatie

maatregelen om praktijk of zorgwebsite veiliger te maken privacywet avg

6. Cookies op uw website, wat te doen?

Hoe zat het ook alweer?

Cookies zijn kleine tekstbestandjes die worden aangemaakt bij het bezoek aan uw website. In deze bestandjes worden persoonlijke gegevens opgeslagen die bij een volgend bezoek weer kunnen worden opgeroepen.

Mede door het gebruik van cookies en andere tracking technologieën zijn meer dan 50% van alle websites zijn verantwoordelijk voor het delen van privacy gevoelige informatie. De bestaande cookiewet, Wet bescherming persoonsgegevens (Wbp) en de Telecommunicatiewet (Tw) zal per 25 mei dan ook worden vervangen door de nieuwe AVG wet.

Lees de blog: “De nieuwe privacywet (AVG) en het cookiebeleid op uw praktijkwebsite” voor meer informatie

nieuwe cookiewet avg privacywet gevolgen voor privacywet avg praktijk zorg website