ZZP’er in de Zorg heb je te maken met persoonsgegevens. Met deze persoonsgegevens moet je als zorgverlener zorgvuldig om gaan. Op 25 mei 2018 is de Wet bescherming persoonsgegevens vervangen door de Wet AVG.
De Wet AVG is ontstaan doordat Europa meerder privacywetten kende. De Wet AVG is van toepassing door heel Europa en past bij het digitale tijdperk.
De Wet AVG versterkt de rechten van je cliënten. Ze hebben meer inspraak als het gaat om de verwerking van hun eigen gegevens. Je cliënten mogen bijvoorbeeld inzien wat jij met de persoonsgegevens doet.
De Wet AVG is van toepassing op alle bedrijven die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU. Ook kleine bedrijven zoals de MKB en de ZZP’ers vallen onder de Wet AVG.
Je bedrijf moet dus voldoen aan de Wet AVG. De Autoriteit Persoonsgegevens (AP) houdt toezicht op het toepassen van de Wet AVG in Nederland. De AP kan een boete geven als bedrijven zich niet houden aan de Wet AVG. Als een cliënt of opdrachtgever het gevoel heeft dat er niet op juiste wijze wordt omgegaan met zijn/haar persoonsgegevens, dan kan er een klacht ingediend bij de AP.
Het kan voorkomen dat informatie toch op de verkeerde plek beland of openbaar wordt. Vanuit de Wet AVG ben je verplicht deze ‘datalekken’ te melden en te registeren. Het melden van een datalek doe je binnen 72 uur bij de AP.
Bij het starten van je diensten als ZZP’er in de Zorg is het van belang onderstaande punten:
- Zorg dat je voldoende bent geïnformeerd over de privacyregels en hoe je die moet toepassen voor je eigen onderneming.
- Zorg dat je een privacyverklaring hebt waarin wordt vermeld hoe je ondernemer omgaat met:
- Persoonsgegevens
- De verwerking van persoonsgegevens
- Wat je verzamelt aan gegevens
- Hoelang gegevens worden bewaard.
- De rechten waar cliënten of opdrachtgevers recht op hebben.
- Cliënten en/of opdrachtgevers moeten zelf toestemming geven voor het geven van de persoonsgegevens. Je mag dus bijvoorbeeld geen vakje alvast automatisch hebben aangekruist. Men moet hier zelf de keuze in maken. Daarnaast moet je moet kunnen aantonen dat de toestemming op rechtmatige wijze is verleend.
- Houdt een verwerkingsregister bij. In een verwerkingsregister houd je bij welke gegevens er worden opgeslagen, met welk doeleinde en wie er toegang heeft tot de gegevens.
- Als je te maken krijgt met hoog privacyrisico gegevens moet je een Data Protection Impact Analyse (DPIA) afnemen. Je brengt hiermee de risico’s in kaart en bekijkt welke maatregelen je als onderneming kan treffen. Ga voor jezelf na of dit bij jouw onderneming van toepassingen is.
- Vraag alleen gegevens op die je nodig hebt.
- Soms is het ook nodig om een functionaris gegevensbescherming aan te stellen. Dit is een onafhankelijk persoon binnen een organisatie.
- Houd je aan het meldplicht datalekken en leg deze ook vast.
- Zorg voor een verwerkersovereenkomst met elke organisatie die persoonsgegevens voor jouw verwerkt.
- Als je organisatie actief is binnen de EU, dan moet er worden bepaald wie toezichthouder wordt. In Nederland is dat de Autoriteit Persoonsgegevens.