GDPR STAPPENPLAN VOOR THERAPEUTEN EN COACHES

Begrippen als ‘GDPR’ en ‘Privacy’ zijn de dag van vandaag ‘all over the place’ in onze samenleving. Ondanks het feit dat GDPR zeker geen nieuw concept is, wordt er alsmaar meer belang aan gehecht. Snelle technologische en digitale veranderingen, maatregelen zoals contact tracing n.a.v. corona, etc. vormen telkens een nieuwe uitdaging voor de bescherming van onze persoonsgegevens. Binnen de gezondheidszorg wordt dagelijks gewerkt met bijzonder privacygevoelige gegevens. Naast de bestaande bijzondere wetgeving en het beroepsgeheim in de gezondheidssector, valt ook hier de GDPR regelgeving niet weg te denken. Benieuwd naar waar jullie als therapeut of coach rekening dienen mee te houden? Toets aan de hand van volgend stappenplan af waar jij als therapeut / coach reeds staat met de implementatie van GDPR:

STAP 1: Breng in kaart welke gegevens je verwerkt

STAP 2: Breng in kaart in welke hoedanigheid je persoonsgegevens verwerkt De vraag die je je hierbij moet stellen is: ben jij de verantwoordelijke voor de verwerking van deze persoonsgegevens of de verwerker? In de meeste situaties zal je als therapeut / coach de verwerkingsverantwoordelijke zijn.

STAP 3: Breng in kaart hoe je die gegevens verwerkt Denk hierbij aan volgende vragen: voor welk doeleinde verwerk je de gegevens? op welke juridische basis verwerk je deze gegevens (contract, toestemming, wettelijke verplichting,…), hoe lang bewaar je deze gegevens? Geef je deze gegevens door aan derde partijen?

STAP 4: Zorg voor voldoende beveiligingsmaatregelen Dit gaat zowel om technische beveiligingsmaatregelen als om maatregelen binnen jouw werkplek. Enkele voorbeelden: installatie van antivirus, beperken van de toegangsrechten binnen de software die je gebruikt, afgesloten dossierkasten, schermvergrendeling van jouw PC,…

STAP 5: Stel een verwerkingsregister Eens je alle gegevensstromen in kaart hebt gebracht, moeten deze worden opgenomen in een verwerkingsregister. Dit register omvat minstens volgende gegevens: a) de naam en de contactgegevens van de verwerkingsverantwoordelijke (en eventuele gezamenlijke verwerkingsverantwoordelijken), en van de DPO (data protection officer); b) de verwerkingsdoeleinden; c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties; e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea GDPR, bedoelde doorgiften, de documenten inzake de passende waarborgen; f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; g) een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen

STAP 6: Informeer de betrokkenen en weet wat hun rechten zijn Alle natuurlijke personen van wie je de persoonsgegevens verwerkt hebben recht op informatie. Het is noodzakelijk om een duidelijk privacy beleid en cookiebeleid uit te werken waarin je op een heel transparante manier weergeeft hoe jij met hun persoonsgegevens omgaat (welke gegevens, doel van de verwerking, eventuele derde partijen aan wie de gegevens zullen worden overgemaakt, bewaartermijn van de gegevens, de rechten van betrokkenen,…) De rechten van betrokkenen zijn onder meer: het recht op informatie, het recht van inzage, recht op verbetering van hun gegevens, recht op bezwaar (bijvoorbeeld tegen direct marketing), het recht om hun persoonsgegevens te laten overdragen aan een andere partij, het recht om een klacht in te dienen,…

STAP 7: Stel verwerkersovereenkomsten op Je zal ongetwijfeld met een aantal externe partijen samenwerken, denk maar aan een IT provider, een sociaal secretariaat, een andere zelfstandige met wie je samenwerkt,.. Wanneer deze externe partij persoonsgegevens ontvangt, dien je met deze partij een verwerkersovereenkomst af te sluiten. Dit is een overeenkomst waarin alle rechten en plichten van jezelf en de externe partij worden uiteengezet, welke beveiligingsmaatregelen deze partij moet nemen, bijstand in het geval van een datalek,…

STAP 8: Neem actie t.a.v. uw personeel (aanpassing arbeidsreglement en overeenkomsten, opleiding,…) GDPR heeft uiteraard niet alleen een impact op jouw cliënten en leveranciers, maar ook op jouw medewerkers, sollicitanten, stagiairs. Daarom is het noodzakelijk om ervoor te zorgen dat de nodige afspraken worden gemaakt via het arbeidsreglement, de arbeidsovereenkomst, dienstverleningsovereenkomst, privacyverklaring voor sollicitanten,… Organiseer op regelmatige tijdstippen een GDPR awareness training!

STAP 9: Verifieer of je een DPO dient aan te stellen In bepaalde gevallen dient een data protection officer (DPO) te worden aangesteld: – een overheidsinstantie of -orgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; – De kerntaken bestaan in verwerkingen die een regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; – De kerntaken bestaan uit grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 (o.a. gezondheidsgegevens) en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten

STAP 10: Voorzie de nodige interne procedures (datalekken, rechten van betrokkenen, bewaartermijnen,…) en opleiding Het is belangrijk om zoveel mogelijk awareness te creëren bij jouw medewerkers door ook interne procedures uit te werken en deze te implementeren. Het gaat bijvoorbeeld om: – Een algemene richtlijn i.v.m. hoe ze dienen om te gaan met persoonsgegevens – Een richtlijn i.v.m. de te ondernemen stappen in geval van een datalek – Een richtlijn i.v.m. de rechten van de betrokkenen – Een richtlijn i.v.m. de bewaartermijnen die worden gehanteerd

***********************************************

Veel succes & Stay tuned voor de volgende blog ‘GDPR en het beroepsgeheim’

Verwante Artikelen

Reacties

Het e-mailadres wordt niet gepubliceerd.