Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) – Algemene Verordening Gegevensbescherming (AVG) in het Nederlands – in werking. Dit is de nieuwe Europese richtlijn omtrent het beheer en de beveiliging van persoonlijke gegevens.  Als organisatie moet u vanaf mei kunnen aantonen welke persoonsgegevens u verzamelt, waarvoor u deze data gebruikt en hoe u ze beveiligt. Als uw softwareleverancier zijn wij graag uw helpende hand bij het behalen van GDPR-conformiteit. 

Rechten van de betrokkene

Met de komst van de GDPR krijgen mensen van wie persoonsgegevens worden verwerkt meer rechten. We hebben de belangrijkste rechten van de betrokkenen nog even op een rijtje gezet. 

Recht op inzage

De betrokken persoon heeft het recht om de persoonsgegevens die u van hem bijhoudt in te zien. U moet duidelijk maken waarom gegevens worden verwerkt, om welke soorten persoonsgegevens het gaat en aan welke organisaties de gegevens eventueel worden doorgegeven. Ook moet duidelijk zijn voor welke termijn de persoonsgegevens worden bewaard. De Code van Geneeskundige Plichtenleer verplicht artsen om de medische dossiers gedurende dertig jaar te bewaren, te rekenen vanaf het laatste contact met de patiënt (art. 46).

Recht op rectificatie en aanvulling

Een betrokkene heeft het recht om onjuiste persoonsgegevens die u verwerkt te laten wijzigen. Persoonsgegevens moeten door de betrokkene ook kunnen worden aangevuld.

Recht op vergetelheid

Persoonsgegevens dienen gewist te worden wanneer deze niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld. U bent echter verplicht om medische dossiers gedurende dertig jaar na het laatste contact met de patiënt te bewaren. Om aan beide voorwaarden te kunnen voldoen, biedt Daktari vanaf versie 1.6 de mogelijkheid om een patiëntendossier te markeren voor verwijdering. Het gemarkeerde dossier zal dan gedurende 30 jaar op inactief gezet worden, waarna het pas definitief ontoegankelijk wordt.

Het recht op vergetelheid geldt ook voor back-up-bestanden.

Recht op dataportabiliteit

Een betrokkene kan via dit recht zijn persoonsgegevens van de verwerkingsverantwoordelijke verkrijgen, en dat in een gestructureerde, gangbare en machineleesbare vorm. De patiënt moet dus een export-bestand kunnen ontvangen waarmee zijn gegevens overgedragen kunnen naar een andere arts. Dit kan u doen door het dossier naar een PMF-bestand - het uitwisselingsformaat voor patiëntendossiers in België - te exporteren. De patient kan u ook vragen dit export-bestand rechtstreeks naar de andere arts door te sturen. 

Informatieplicht

U dient de betrokkene te informeren over de verwerking van zijn persoonsgegevens, zodat deze weet wat er met zijn persoonsgegevens zal gebeuren en hoe die worden verwerkt. Om u hierbij te helpen, hebben we een informatieblad voorbereid dat u in de wachtkamer kan ophangen:

• Informatieblad wachtkamer
• Document salle d'attente

Documentatieplicht

Elk bedrijf moet een register van verwerkingsactiviteiten aanmaken. Hierin documenteert u welke persoonlijke data u bijhoudt, op welke basis (toestemming, contractueel, wettelijke verplichting, vitaal belang,...), met welk doel en hoe lang u deze data bijhoudt.

• Tip 1: Een patiënt geeft impliciet zijn toestemming voor de verwerking van zijn persoonlijke gegevens wanneer hij de praktijk binnenstapt en vraagt om medische zorg. U hoeft dus niet nogmaals expliciet zijn goedkeuring te vragen. De basis voor het verwerken van patiëntgegevens is dan ook: toestemming.
• Tip 2: Let erop dat u meer dan alleen patiëntengegevens verzamelt. Ook persoonlijke gegevens over collega zorgverstrekkers, assistenten, leveranciers, labo's,... dienen opgenomen te worden in het register.

U kan onderstaand dataregister als voorbeeld gebruiken om de verwerkingsactiviteiten binnen Daktari te beschrijven:

• Register van verwerkingsactiviteiten

Gegevensbescherming

Als verwerker van persoonsgegevens bent u verantwoordelijk om effectieve maatregelen te treffen om deze gegevens te beschermen.  

Encryptie

Daktari maakt reeds gebruik van beveiligde verbindingen om gegevens met de cloud uit te wisselen. Het datacenter waarmee we samenwerken voldoet aan strenge normen om te verzekeren dat uw gegevens veilig zijn.

Vanaf versie 1.6 wordt het ook mogelijk om de gegevens in de databank zelf te vercijferen. Zit zorgt er enerzijds voor dat de gegevens zelfs vanop op het datacenter niet meer uitgelezen kunnen worden. Anderzijds biedt het ook bescherming tegen potentiële datalekken vanaf uw eigen computer: Een onbevoegd persoon die op een of andere manier toch toegang zou krijgen tot uw databank, zal de gegevens niet zomaar kunnen uitlezen.

Toegangsbeveiliging

Stel een veilig wachtwoord in! U kan Daktari ook automatisch laten vergrendelen na een (instelbare) periode van inactiviteit. Deze optie vindt u ook terug bij Beheer → Instellingen.

Bovendien is het in Daktari ook mogelijk om per gebruiker de toegangsrechten in te stellen. Zo kan u bijvoorbeeld bepaalde delen van het medische dossier uitschakelen voor administratief personeel. Via Beheer → Instellingen → Beveiliging kan u de toegangsrechten instellen per gebruikersgroep. Via de zorgverlenersfiches kunnen de gebruikers vervolgens aan één of meerdere gebruikersgroepen toegekend worden.

Verwerkingsovereenkomst

U dient een verwerkersovereenkomst af te sluiten met partners en leveranciers die in aanraking komen met persoonlijke data die u verzamelt. Zo weet u dat zij de door u verzamelde data correct zullen behandelen. Ook van ons kreeg u reeds een e-mail met onze verwerkersovereenkomst en de vraag deze digitaal te ondertekenen. Deed u dit nog niet? Doe het dan snel. Zo bent u ingedekt en weet u dat uw data veilig is in onze handen!