De vragen omtrent de AVG (Algemene Verordening Gegevensbescherming) blijven binnenstromen. Moet ik als zzp’er in de zorg voldoen aan de AVG? Hoe voldoe ik als zzp’er in de zorg aan de AVG? Hoe ga ik om met de privacyverklaring? Om je antwoord te geven op deze vragen besteden we nog eens extra aandacht aan dit onderwerp. Eerder dit jaar beschreven we een en ander over de AVG en waarom dit een belangrijk onderwerp is. 

Stap 1: geldt de AVG voor mij?

Vanaf 25 mei 2018 treedt de nieuwe Europese privacywet in werking en uiteraard is de vraag of dit voor jou ook van toepassing is als zzp’er in de zorg. Op het moment dat jij als ondernemer werkt met persoonsgegevens, is de AVG van toepassing op jou. Zzp’ers in algemene zin hebben dus absoluut te maken met de AVG, ze schrijven immers facturen uit. In de zorg verdient dit onderwerp nog eens extra jouw aandacht, omdat jij naast de naam en adres van jouw cliënt op een factuur, ook heel privacy gevoelige informatie opschrijft in bijvoorbeeld het zorgdossier. Ja, de AVG geldt dus ook voor zzp’ers in de zorg.

Stap 2: mág ik gegevens opslaan?

Niet iedereen mag zomaar gevoelige gegevens opslaan. Er moet een wettelijke grondslag zijn om dit te mogen doen. De Autoriteit Persoonsgegevens heeft een handig overzicht gemaakt van de 6 grondslagen die een reden vormen om persoonsgegevens te mogen verwerken; als je toestemming krijgt, als je vitale belangen dient, omdat je het wettelijk verplicht bent, omdat je een overeenkomst sluit, omdat het een algemeen belang dient of omdat je jouw belang kunt rechtvaardigen. Een zzp’er in de zorg heeft bijvoorbeeld vanuit de beroepsinhoud en kwaliteitswetgeving Wkkgz zowel ‘vitale belangen’ als ‘wettelijke verplichtingen’ om gegevens op te slaan. Ja, je mag dus gegevens opslaan.


Stap 3: mijn cliënt informeren

Je bent verplicht om aan jouw opdrachtgevers en cliënten kenbaar te maken dat jij gegevens opslaat. Het informeren van jouw klanten doe je via een privacyverklaring. Door de privacyverklaring te overleggen, geef je bij jouw klanten aan hoe en om welke redenen zij gevoelige informatie opslaat. Het is verstandig om klanten te laten tekenen voor het ontvangen van jouw verklaring. Zij bevestigen daarmee dat zij het belang van het opslaan van hun gevoelige informatie ondersteunen. Verplicht is het ondertekenen niet, de privacyverklaring dient ter informatie.

Stap 4: maak een verwerkingsregister aan

Binnen de AVG wordt van je verlangd dat je beschrijft welke persoonsgegevens je verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie je ze deelt. Deze informatie moet worden opgeslagen in een zogenaamd ‘verwerkingsregister’. Letterlijk; een register die beschrijft hoe jij jouw gegevens verwerkt. In dit register moet dus staan waarom je gevoelige gegevens opslaat en waar het vandaan komt. Waar je deze gegevens en dit register opslaat dien je ook te vermelden. Zodat jij kunt bewijzen dat je nagedacht hebt over wat je met persoonsgegevens doet. Je mag voor zo’n verwerkingsregister een eigen format gebruiken. De wijze waarop je toestemming vraagt aan klanten (bijvoorbeeld bij de intake, of via jouw website) moet ook in dit register beschreven worden.

Stap 5: sluit verwerkersovereenkomsten

Als jij een andere partij gebruikt om gevoelige gegevens bij op te slaan, dan dien je als zzp’er een ‘verwerkersovereenkomst’ af te sluiten met die leverancier. De leverancier ‘verwerkt’ in opdracht van jou gevoelige informatie. Denk hierbij bijvoorbeeld aan de leverancier van een Electronisch Clientendossier (ECD), een beveiligde app op jouw telefoon, of zoek online naar andere mogelijkheden waar jij bijvoorbeeld de beveiligde online omgeving gebruikt om jouw incidenten en klachten bij te registreren.

Stap 6: rapporteer datalekken

Een datalek moeten rapporteren is geen nieuwe eis, maar was al van toepassing. Met het registreren van een datalek kun jij aantonen hoe jij omgegaan bent met het verliezen van gevoelige informatie en dat je hier oog voor hebt gehad. Uiteraard is het de bedoeling dat je tot verbeteracties komt om herhaling te voorkomen.


Heb ik per se een verwerkingsregister nodig?

Een veelgestelde vraag is of jij als zzp’er een verwerkingsregister nodig hebt. Een verwerkingsregister biedt inzage in waar je allemaal gegevens hebt opgeslagen en wie daar toegang tot hebben. Is het nou noodzakelijk dat ook jij een verwerkingsregister nodig hebt? Het is een onderwerp waar veel verschil van mening over is maar waar later in dit jaar meer duidelijkheid over is gekomen.  Het is zo dat zzp’ers in de zorg met risicovolle gegevens werken en dus in de meeste gevallen verplicht zijn om een register van verwerkingsactiviteiten op te stellen.