De Algemene Verordening Gegevensbescherming (AVG)

Privacy is een fundamenteel recht dat in België en elders in de Europese Unie wordt gewaarborgd door de Wet “bescherming van persoonsgegevens”. Deze wet is vervangen door een nieuwe Europese verordening, de AVG, die vanaf 25 mei 2018 van toepassing werd.

Nieuw daarin is, dat iedereen die gegevens van een andere persoon in haar/zijn bezit heeft, duidelijker zal moeten gaan uitleggen over hoe men met de bekomen persoonlijke gegevens zal omspringen en de privacy van die andere persoon zal gaan beschermen. Van iedereen wordt verwacht dat men daar een onderbouwde verantwoording kan over afleggen.

In een dierenartsenpraktijk heeft men tal van gegevens van de klanten en dit o.a. om de klant te kunnen contacteren indien nodig, haar/hem een factuur te sturen, een herinnering tot vaccineren van…, enz.

Hoe met deze gegevens omgaan, zonder daarbij de privacy van de klanten in gevaar te brengen?

Hierbij een woordje uitleg

1. Wat zijn persoonsgegevens?

Elk gegeven dat betrekking heeft op de identificeerbaarheid van een persoon is een persoonsgegeven. Denk aan een naam, voornaam, adres, identiteitskaart, rijbewijs, foto, e-mailadres, een fiche met daarop gegevens van een natuurlijk persoon die aan haar/hem gelinkt zijn.

2. Valt een dierenartsenpraktijk onder de AVG regeling?

De AVG geldt voor alle dierenartspraktijken die gegevens verwerken van huisdiereigenaren en/of hun personeel. Dit gaat van een klantenbestand met daarin de persoonsgegevens van een diereigenaar tot en met de facturatie aan bv. een nutsdieren houder of paarden manege, enz.

3. Mag men als praktijkdierenarts alle persoonsgegevens van de klanten verwerken die men wil?

U mag alleen die persoonsgegevens opslaan die bijdragen tot het doel waarvoor u de gegevens verwerkt. Om een huisdiereigenaar te factureren en te koppelen aan het patiëntendossier is het vanzelfsprekend dat u de naam en het adres van de eigenaar verwerkt. Doch, de geboortedatum van een klant bv. heeft u daarentegen waarschijnlijk niet nodig. Dus, mag u deze ook niet vragen.

4. Wat moet men zijn klanten van de praktijk laten weten, i.v.m. deze nieuwe regeling?

De AVG schrijft voor dat u de betrokkenen informeert welke gegevens u van hun heeft en hoe u ze verwerkt. Dit moet proactief (Lees: U moet het initiatief nemen en vragen aan de klant of u haar/zijn persoonlijke gegevens nog mag behouden en gebruiken en haar/hem informeren waarvoor u het in uw praktijkadministratie zult nodig hebben.) Nieuwe klanten kunt u bijvoorbeeld informeren via een folder of een berichtje in de wachtzaal. Bestaande klanten zou u, wanneer ze nog eens naar de praktijk komen of u hun bv. een maandelijkse factuur stuurt, laten weten dat u een deel van hun persoonlijke gegevens hebt, wat u daar mee doet en of u die in de toekomst nog op dezelfde manier mag blijven gebruiken.

5. Wat moet u doen als een klant inzage wil in zijn persoonsgegevens?

Een klant heeft altijd recht op inzage in haar/zijn persoonsgegevens die u van haar/hem heeft. Als de klant terecht aangeeft dat de gegevens onjuist zijn, moet u de gegevens aanpassen. En indien uw klant wenst dat u haar/zijn persoonsgegevens (welke die ook moge zijn) niet meer mag bijhouden, dan moet u die uit uw bestanden verwijderen.

6. Wat is van essentieel belang bij de AVG regeling?

  • Welke persoonsgegevens u verzamelt;
  • Met welk doel u dit doet;
  • Wat u allemaal doet met deze persoonsgegevens;
  • Hoe u uw medewerkers informeert en bewust maakt van uw privacybeleid;
  • Welke beveiligingsmaatregelen u genomen heeft om te zorgen dat deze persoonsgegevens niet 'op straat' komen te liggen.

7. Moet men extra beveiligingsmaatregelen nemen?

Uw klanten moeten erop kunnen vertrouwen dat u die maatregelen neemt die passend zijn bij de aard van uw praktijk en de omvang ervan. Van een dierenartsenpraktijk wordt echter niet verwacht dat hij eenzelfde soort beveiliging heeft als bijvoorbeeld een overheidsdienst, maar wel dat u passende maatregelen heeft getroffen.

Dit is dus een goed moment om de afspraken met uw IT leverancier eens door te nemen. Als er persoonsgegevens uit uw systemen terechtkomen bij derden, bijvoorbeeld omdat uw systeem gehackt is of omdat de laptop waarmee u ook thuis inlogt is gestolen, heet dat een datalek.

Een datalek kan ook per ongeluk ontstaan als u bijvoorbeeld een dossier naar de verkeerde persoon stuurt. U bent verplicht dit te registreren en de betrokkenen op de hoogte te stellen

8. Wat als uw klantenbestand en/of personeelsadministratie wordt beheerd door een derde, hoe zit het dan met de AVG?

U blijft (eind)verantwoordelijke en aansprakelijk voor de correcte verwerking van persoonsgegevens. Wel moet u met deze partijen een verwerkersovereenkomst afsluiten. Het kan ook zijn dat de verwerker naar u toekomt met een contract.

9. Hoe lang moet men de gegevens bewaren?

Vanaf nu mag u niet meer oneindig gegevens bewaren. Er is een vernietigingsplicht voor persoonsgegevens die niet meer nodig zijn voor het doel waarvoor ze zijn verkregen.