“Welke impact heeft de GDPR-wetgeving op mijn werk als thuisverpleegkundige?”

VRAAG
“Welke impact heeft de
GDPR-wetgeving op mijn werk
als thuisverpleegkundige?”

De GDPR (General Data Protection
Regulation) of AVG (Algemene
verordening gegevensbescherming),
regelt sinds 2018 de verwerking,
het beheer en de beveiliging
van persoonsgegevens. Christine
Van Cante, Kwaliteitsmanager
van Mederi, en Elise Heyvaert,
Coördinator marketing en communicatie
van Mederi, zoomen erop in.
Persoonsgegevens van patiënten
creëren en bijhouden, hoort bij jouw
job als thuisverpleegkundige. Volgens
de GDPR moet je kunnen aantonen
welke gegevens je verzamelt en hoe
je ze beheert.
Patiëntgegevens.
Patiëntgegevens omvatten alle
gegevens over je patiënt: van
persoonsgegevens tot medische en
werkgerelateerde gegevens. Al die
data moet je opnemen in een inventaris:
het ‘verwerkingsregister’. Je moet
ze bijhouden voor zover én zolang ze
nodig zijn voor het verzorgen van de
patiënt. Je mag de gegevens enkel
gebruiken in de context waarin je een
therapeutische relatie hebt met de
patiënt. En je mag ze enkel bijhouden
wanneer er een wettelijke verplichting
is, of als de betrokken persoon daar de
toelating voor gegeven heeft via het
juiste toestemmingsformulier.
Ook gegevens van mantelzorgers,
naasten van de patiënt en andere
zorgverstrekkers vallen onder de
GDPR-regelgeving.
Samenwerking met anderen.
Persoonsgegevens mag je niet zomaar
delen met anderen. Medische informatie
of andere persoonsgegevens,
zoals bv. een telefoonnummer van een
gemeenschappelijke patiënt, mag je
enkel uitwisselen als de patiënt daar
uitdrukkelijk toestemming voor heeft
gegeven.
Soms kunnen, door overmacht,
persoonsgegevens toch uitgewisseld
worden zonder deze toestemming;
bv. wanneer de patiënt dringende
hulp nodig heeft maar buiten bewustzijn
verkeert of geestelijk niet meer in
staat is om zijn/haar toestemming te
verlenen. Noteer dit dan in je dossier.
Relevante gegevens delen binnen verschillende
therapeutische relaties mag
enkel via gehomologeerde software
of op een andere veilige manier, zoals
bv. via de eHealthbox.
Geïnformeerde toestemming
van de patient.
Wil een patiënt geen toestemming
voor gegevensdeling geven? Dan
is het een goed idee om hem te
informeren over de gevolgen van zijn
weigering. Zoals reeds aangehaald,
is het in bepaalde levensbelangrijke
situaties noodzakelijk om gegevens te
delen met andere zorgverstrekkers. Dit
kan dan ook zonder toestemming.
Het bewaren van
persoonsgegevens.
Stopt de therapeutische relatie met
een patiënt of een contactpersoon,
dan moet je alle informatie die geen
betrekking heeft op de patiënt (bv.
de coördinaten van de kinderen
waarmee je contact had) verwijderen.
Patiëntengegevens zoals het patiëntendossier
moet je echter tot minstens
30 jaar na het laatste contact bewaren.
Alle nieuwe informatie sinds 2022
moet digitaal bewaard worden.
Je kan de gegevens langer bewaren
in twee gevallen: als er een risico
bestaat dat je ze als bewijsmateriaal
zal moeten gebruiken, of om elke
andere reden waarmee de betrokken
persoon akkoord gaat.
Beveiliging van de gegevens.
Sensibilisering, een uitgestippeld
veiligheidsbeleid en enkele technische
maatregelen zouden een gegevenslek
moeten kunnen voorkomen. Worden
bepaalde data toch verspreid (bv.
door IT-hacking of verlies of diefstal
van papieren), moet je enkele stappen
ondernemen.
Datalekken waarbij de kans groot is dat
het lek schade zal berokkenen aan de
persoon in kwestie, moet je binnen
de 72 uur verplicht melden aan de
Gegevensbeschermingsautoriteit. Zo
niet, kan je een boete krijgen voor het
datalek. Ook de betrokkene moet bij
hoog risico verwittigd worden. Van
elk datalek moet je bovendien een
verslag opmaken, en je moet het ook
registreren in een apart register. Er zijn
organisaties waar er een specifieke
medewerker is aangeduid om dit op
te volgen.
Mag ik een mailing doen naar al mijn
patiënten?
Je mag een e-mailing doen naar je
actieve patiënten als hij verband houdt
met de organisatie of praktijk, bv. de
vakantieplanning. De mail moet verstuurd
worden vanuit de organisatie of
praktijk, en de patiënt moet hiervoor
zijn uitdrukkelijke toestemming
hebben gegeven. Zet alle bestemmelingen
steeds in BCC zodat ze elkaars
mailadres niet kunnen zien.
Ook een nieuwjaarskaartje sturen
mag, maar ook hier: enkel vanuit de
organisatie of praktijk én indien de
patiënt hiervoor zijn uitdrukkelijke
toestemming heeft gegeven.
Zie ook www.gegevensbeschermingsautoriteit.
be.
Heb je een vraag over je werk als thuisverpleegkundige, het NPTV, iets dat leeft binnen de sector, …?
Mail ze naar redactie@nptv.be. In deze rubriek geven we je klaar en duidelijk antwoord.