GDPR … hu?

GDPR: Nationaal project loodst apothekersnetwerk doorheen nieuwe gegevenswetgeving

Waarschijnlijk hoorde u al van de GDPR (General Data Protection Regulation) of de AVG (Algemene Verordening Gegevensbescherming). Beide begrippen wijzen op een Europese verordening, die een betere bescherming van de persoonsgegevens van Europese burgers nastreeft. APB en OPHACO hebben samen met de lokale beroepsverenigingen, tariferingsdiensten en softwarehuizen, een project opgestart waarin ze hun leden gaan begeleiden bij de implementatie van deze nieuwe richtlijn. 

De GDPR speelt in op evoluties zoals de cloud, sociale media en de enorme hoeveelheden datastromen. De verschillende nationale wetten smelten samen tot één overkoepelende regelgeving binnen de EU. Er ligt een sterke nadruk op de rechten van het burgers – ze  krijgen meer rechten en macht over de verwerking van hun persoonlijke gegevens.

Bedrijven en organisaties die persoonsgegevens verwerken – dus zeker ook apothekers, overheden en alle andere actoren in de gezondheidszorg - krijgen in de komende maanden de kans om zich aan te passen aan de nieuwe regelgeving. We zorgen ervoor dat de bijkomende reglementering praktisch haalbaar is voor elke apotheek.

Brede aanpak

Een deel van de GDPR komt overeen met wat er nu al terug te vinden is in de Belgische privacywetgeving. Toch duiken – ook voor apothekers – enkele bijkomende vereisten op. Zo zijn er bijkomende verplichtingen op juridisch en contractueel vlak, moet er bijkomende aandacht zijn voor organisatorische maatregelen en uiteraard zijn er richtlijnen op technisch vlak. Al deze aspecten moeten geëvalueerd en bijgestuurd worden om te voldoen aan de nieuwe wetgeving. Dit is – zeker in een al zeer sterk gereglementeerde sector – een kluwen dat ontward moet worden. Vandaar dat we al deze aspecten meenemen in een sector-breed project.

Wat moet ik doen om in orde te zijn?

Alle apotheken – de sector in zijn geheel en eigenlijk alle organisaties die persoonsgegevens verwerken – staan voor een uitdaging. Om alle partijen binnen het apothekersnetwerk wegwijs te maken in de nieuwe vereisten, is een nationaal project opgestart in samenwerking met SpotIT, een consultancybedrijf dat een uitgebreide ervaring heeft in GDPR trajecten en informatieveiligheid.

We willen elke apotheek de nodige input geven om aan de verplichtingen te voldoen. Uitgangspunt blijft dat u gewoon uw échte werk kunt doen, zonder (opnieuw) te moeten verdrinken in extra werklast, overmatige kosten en administratie, maar tegelijk toch zo compliant mogelijk te zijn.

Op dit moment is SpotIT gestart met het in kaart brengen van de verschillende verwerkingen van persoonsgegevens voor apotheken, alsook de uitwisselingen van persoonsgegevens met andere partijen. Dit gebeurt via interviews met de betrokken partijen. Bedoeling is om zicht te krijgen op waar de huidige situatie tekort schiet ten opzichte van de nieuwe vereisten.

De belangrijkste risico’s en aandachtspunten worden geëvalueerd en hiervoor zullen aanbevelingen volgen. Het is de bedoeling om tot richtlijnen te komen, templates te voorzien die elke apotheek als ‘handvat’ kan gebruiken – mits eventuele specifieke aanpassingen op maat van uw apotheek.

Code of conduct en – last but not least – Awareness

We hebben er tevens voor gekozen om op basis van de bevindingen uit de interviews en overleg met de verschillende partijen een code of conduct op te stellen voor de apotheeksector. Dit is een gedragscode die overkoepelend voor het hele apothekersnetwerk de minimumstandaarden vastlegt, in lijn met de GDPR-vereisten, doch haalbaar moet zijn voor elke apotheek.

En uiteraard is ook ‘bewustheid’ rond een correcte omgang met persoonsgegevens cruciaal voor u en uw medewerkers én alle betrokken partijen. Hiertoe zal u op regelmatige basis concrete en praktische informatie zien verschijnen via de verschillende communicatiekanalen.

Ook zullen er infosessies georganiseerd worden vanaf de tweede helft van april, waarin we de verschillende aandachtspunten zo concreet mogelijk overbrengen. Daarover kortelings meer.

Toch nog vragen?

Denis Hanjoul
Bedrijfsjurist APB
E-mail: gdpr@kava.be