De privacywet (AVG) en uw praktijkwebsite, wat te doen?
Er is al veel over gezegd en geschreven; de AVG privacywet, ook wel de Algemene Verordening Gegevensbescherming genoemd. Deze wet is alweer vanaf 25 mei 2018 van kracht.
Als praktijk heeft u hierdoor meer verplichtingen gekregen. Maar wat waren nu ook al weer de gevolgen van deze wet op uw praktijkwebsite?
Om u op weg te helpen of om u geheugen weer even op te frissen, geven wij in deze blog praktische tips met maatregelen voor uw website.
Let wel: De AVG reikt veel verder dan alleen uw website. Voor een volledig overzicht van AVG adviseren wij de website van Autoriteit Persoonsbescherming (AP) te raadplegen.
1. Sluit een verwerkersovereenkomst af met uw website leverancier
Met elke externe partij die persoonsgegevens verwerkt van uw patiënten, is het vanaf 25 mei wettelijk verplicht om een zogeheten verwerkersovereenkomst af te sluiten. Uw website leverancier slaat bijvoorbeeld de gegevens op die uw patiënt (via een online formulier) invult op uw site. Vraag uw leverancier daarom om een verwerkersovereenkomst.
2. Houdt een verwerkingsregister bij van zaken die u via uw praktijk website opvraagt
Om de nieuwe privacywet na te leven moet u kunnen aantonen hoe de gegevens van patiënten worden verwerkt. Dit kan met behulp van een verwerkingsregister. Heeft u op uw website b.v. een online tip- of klachtenformulier, dan kan een verwerkingsregister er als volgt uitzien:
Voorbeeld verwerkingsregister van een online tip of klachtenformulier
| Verwerkingsregister van: | Tip of klachtenformulier |
| Doel | Mogelijk om tip of klacht in te dienen op website |
| Beheerd door | Praktijkmanager |
| Betrokkenen | Website bezoekers |
| Persoonsgegevens | E-mailadres, Naam, Geslacht, Telefoon, Adres, Aard van de klacht, Inhoud tip of klacht |
| Bewaartermijn | Na ontvangst gegevens; 4 dagen op website, 3 maanden op email |
| Betrokken systemen (tools) | Tool: Online webformulier voorbeeld formulier klik hier |
| Betrokken partners/verwerkers | Partners / verwerkers: Website leverancier – [Vul in naam] Partij voor email hosting – [Vul in naam] (Toelichting: De gegevens uit het formulier worden naar uw email adres verstuurd) |
Let op: U moet voor alle online formulieren die u aanbiedt op de website een verwerkingsregister aanmaken. Denk daarbij ook aan een contact-, afspraak- of inschrijfformulier.
3. Publiceer een Privacy verklaring op uw praktijkwebsite
U bent wettelijk verplicht patiënten en bezoekers te informeren over het verzamelen van privacygevoelige gegevens en met welk doel u deze gegevens verzamelt. Dit moet worden opgenomen in een privacy statement op uw website
Een privacy statement bevat in ieder geval:
- De identiteit van de organisatie
- Met welk doel gegevens worden verwerkt
- Of uw website cookies gebruikt
- Informatie over nieuwsbrieven. De ontvanger moet voor een mailing van te voren toestemming hebben gegeven (opt-in). Ook moet er een duidelijke afmeldmogelijkheid zijn. Als de ontvanger een patiënt is van de organisatie dan is er geen toestemming nodig.
- De bewaartermijn van data, voor elk van de typen data die u verzamelt
- Profilering als die plaatsvindt
- Vermelding van de (rechts)personen waarmee data wordt gedeeld (‘verwerkers’)
- Recht tot inzage, wijziging, verwijdering of overdracht van gegevens
- Mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens
- Naast bedrijfsgegevens ook de naam en contactgegevens van de persoon die namens de organisatie verantwoordelijk is voor privacy en gegevensverwerking
- Een toelichting op welke technische en organisatorische maatregelen er zijn genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
Belangrijk is dat het statement eenvoudig taalgebruik bevat en een volledige beschrijving geeft van de gegevensverwerking. Op de site van Verdonck, Klooster & Associates vindt u een goed voorbeeld van een privacy statement.
4. Maak online formulieren op uw website AVG ready
Vraag niet meer dan nodig is
Vraag bij een online formulier alleen informatie die u nodig heeft. U moet namelijk kunnen aantonen waarvoor u deze informatie nodig heeft.
Bij bijvoorbeeld een klachtenformulier heeft u alleen de contactgegevens en de aard van de klacht nodig om contact op te nemen met de inzender. Leeftijd of godsdienst zijn dan niet relevant en mogen daarom niet uitgevraagd worden.
Toestemming
Plaats op het online formulier een selectievakje waarin u toestemming vraagt voor het verwerken (en eventueel opslaan) van de ingevulde gegevens. Het selectievakje moet standaard uitgevinkt zijn.
Voorbeeldtekst expliciete toestemming:
Bij het versturen van dit formulier geef ik toestemming dat deze gegevens mogen worden gebruikt ten behoeve van [VUL IN DOEL FORMULIER].
Uw gegevens zullen niet worden gebruikt voor andere doeleinden en niet worden verstrekt aan derden. Uw gegevens kunnen te allen tijde weer worden verwijderd.
Voor volledige informatie over het verwerken van uw gegevens zie onze privacy statement. [LINK NAAR UW PRIVACYSTATEMENT-PAGINA]
5. Zorg voor goede beveiliging van persoonsgegevens op uw praktijkwebsite
In de AVG staat dat u persoonsgegevens goed moet beveiligen. U kunt de volgende maatregelen nemen om de digitale gegevensverwerking (via formulieren en mail) veiliger te maken:
- Een beveiligde websiteverbinding via HTTPS
- Automatisch wissen van gegevens uit de database van uw website
- Het gebruik van een sterk en uniek wachtwoord voor uw website en email-account
- Houdt de software van uw praktijkwebsite altijd up-to-date
- Vraag bij uw leverancier welke maatregelen deze neemt omtrent de veiligheid van uw website
- Maak gebruik van beveiligde email (secure mail)
6. Cookies op uw website, wat te doen?
Hoe zat het ook alweer?
Cookies zijn kleine tekstbestandjes die worden aangemaakt bij het bezoek aan uw website. In deze bestandjes worden persoonlijke gegevens opgeslagen die bij een volgend bezoek weer kunnen worden opgeroepen.
Mede door het gebruik van cookies en andere tracking technologieën zijn meer dan 50% van alle websites zijn verantwoordelijk voor het delen van privacy gevoelige informatie. De bestaande cookiewet, Wet bescherming persoonsgegevens (Wbp) en de Telecommunicatiewet (Tw) zal per 25 mei dan ook worden vervangen door de nieuwe AVG wet.
Lees de blog: “De privacywet (AVG) en het cookiebeleid op uw praktijkwebsite” voor meer informatie
