Je gebruikt een verouwderde browser. Upgrade je browser voor een betere surfervaring op deze website.

De 6 belangrijkste beginselen van GDPR in de zorg

De GDPR schrijft een aantal algemene beginselen voor waaraan de verwerking van persoonsgegevens steeds moet voldoen. De bescherming van persoonsgegevens in de zorgsector ligt natuurlijk extra gevoelig. Dit zijn de 6 belangrijkste beginselen:

  1. Rechtmatigheid, behoorlijkheid en transparantieGDPR in de zorg

Er moet een wettelijke grondslag zijn om op een rechtmatige wijze gegevens te mogen verwerken. Zeker voor gezondheidsgegevens is dit belangrijk, dit zijn namelijk gevoelige gegevens waarvoor een bijzonder regime is ingesteld. Normaal gesproken is de verwerking van dergelijke gevoelige gegevens verboden. Om dit principieel verbod te doorbreken is er altijd een duidelijke wettelijke grondslag nodig en moeten er voor de gezondheidszorg relevante doeleinden zijn.

Het is een misvatting dat er steeds uitdrukkelijke toestemming door de patiënt zou moeten gegeven worden. In vele gevallen zullen de regelmatige uitoefening van de activiteiten van de zorginstelling en het belang van de diagnose en de behandeling een voldoende grondslag vormen.

  1. Doelbinding

Een verwerking moet steeds duidelijke doeleinden hebben. In beginsel mogen de persoonsgegevens enkel worden verwerkt voor het doel waarvoor ze ingezameld werden. De verwerking voor het oorspronkelijke doeleinde wordt doorgaans omschreven als de “primaire verwerking”. Secundair gebruik mag dus eigenlijk niet, maar ook hierop zijn uitzonderingen mogelijk.

  1. Minimale gegevensverwerking

Bij de verwerking van persoonsgegevens moet men zich beperken tot wat noodzakelijk is om het hoofddoeleinde van de verwerking te bereiken.

  1. Juistheid

De GDPR schrijft voor dat persoonsgegevens “juist (moeten) zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.

Dit beginsel hangt samen met het recht op verbetering van de betrokkene. De correcties moeten niet alleen uitgevoerd worden indien de betrokkene dit vraagt. Indien de verwerkingsverantwoordelijke weet dat de bestanden fouten bevatten, moeten hiervoor actieve maatregelen worden genomen. Het is onverzoenbaar met de verantwoordingsplicht dat een louter passieve of afwachtende houding aangenomen wordt.

  1. Opslagbeperking

Het identificeerbaar bewaren van persoonsgegevens is beperkt in de tijd. Die tijd is bepaald door het doel van de verwerking. Voor de organisatie van een eenmalig evenement kan dit dus zeer kort zijn. Voor een langdurige verzorgingsrelatie kan het levenslang zijn. Gelet op het belang van de zorgcontinuïteit en de noodzaak van instellingen en zorgenverstrekkers om zich te kunnen verantwoorden, bestaan er in de gezondheidszorg ook meerdere verplichtingen om patiëntengegevens gedurende lange termijn te bewaren. Zo moet een ziekenhuis het medisch dossier gedurende “minstens” dertig jaar (na het laatste patiëntencontact) bewaren. Dat is een van de redenen waarom op vragen van patiënten om gegevens te wissen doorgaans niet moet (of zelfs niet mag) ingegaan worden.

  1. Integriteit en vertrouwelijkheid

De verwerkingsverantwoordelijke moet alle nodige maatregelen nemen en laten nemen voor een optimale “data security”. Naarmate het aantal medewerkers toeneemt en het permanent contact met het internet intensiever is, zullen er dus meer maatregelen moeten genomen worden. Veiligheidsbeleid veronderstelt ook permante aanpassing en waakzaamheid. Het is mogelijk dat maatregelen die op een bepaald moment afdoende zijn een jaar later niet meer volstaan om preventie te bieden aan nieuwe gevaren.

Benieuwd naar wat de GDPR nog meer betekent voor de zorgsector?

> Ontdek het boek 'Gegevensbescherming in de zorg'.

Ontdek ook

Blijf op de hoogte en schrijf je in op onze nieuwsbrief