EZO
MELDKAMER
← Terug naar kennisbank
Privacy5 min leestijd

AVG-compliant als evenementenzorg-organisatie: een praktische checklist

Evenementenzorg verwerkt gezondheidsgegevens — de zwaarst beschermde categorie persoonsgegevens onder de AVG. Dit zijn de verplichtingen en de praktische stappen om aan de wet te voldoen.

Gezondheidsgegevens zijn bijzondere persoonsgegevens

De AVG (art. 9) verbiedt in principe de verwerking van bijzondere persoonsgegevens, waaronder gezondheidsgegevens. Er zijn uitzonderingen — onder andere voor zorgverlening — maar die vereisen dat je de verwerking goed onderbouwt en beveiligt.

1. Weet welke gegevens je verwerkt

Maak een verwerkingsregister (art. 30 AVG). Daarin leg je vast welke persoonsgegevens je verwerkt, met welk doel, op welke grondslag, hoe lang je ze bewaart en wie er toegang toe heeft. Voor een EZO gaat het onder andere om:

  • Patiëntgegevens (naam, geboortedatum, BSN bij overdracht)
  • Medische gegevens (diagnose, behandeling, medicatie)
  • Medewerkergegevens (NAW, certificaten, bekwaamheidsverklaringen)
  • Contactgegevens van organisatoren en vrijwilligers

2. Stel bewaartermijnen in en handhaaf ze

Gegevens mogen niet langer worden bewaard dan noodzakelijk (AVG art. 5 lid 1e). Voor medische dossiers geldt in Nederland een wettelijke bewaartermijn van 15 jaar (WGBO). Andere gegevens hebben kortere termijnen.

In de praktijk betekent dit: automatische of geplande verwijdering na het verstrijken van de termijn, met een aantoonbaar proces. Bewaar ook bij wie de vernietiging is geautoriseerd en wanneer die heeft plaatsgevonden.

3. Sluit verwerkersovereenkomsten

Gebruik je externe software voor het verwerken van patiëntgegevens? Dan ben jij de verwerkingsverantwoordelijke en de softwareleverancier de verwerker. De AVG verplicht een schriftelijke verwerkersovereenkomst (art. 28).

Controleer ook of de software aantoonbaar in de EU wordt gehost. Doorgifte naar derde landen buiten de EER is aan strikte voorwaarden gebonden.

4. Zorg voor een datalek-procedure

Een datalek moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens (art. 33 AVG) — als het datalek een risico oplevert voor de rechten van betrokkenen. Bij een ernstig datalek moet ook de betrokkene worden geïnformeerd (art. 34).

Stel een interne procedure op: wie detecteert het lek, wie beslist of het gemeld moet worden, wie doet de melding bij de AP? Oefen dit jaarlijks.

5. Voer een DPIA uit

Voor de verwerking van bijzondere persoonsgegevens op grote schaal is een Data Protection Impact Assessment (DPIA) verplicht (art. 35 AVG). Evenementenzorg met grote aantallen patiënten valt hier al snel onder.

Een DPIA beschrijft de risico's van de verwerking en de maatregelen die je neemt om die te beperken. Het document hoeft niet openbaar te zijn, maar moet beschikbaar zijn voor de AP bij een controle.

AVG-checklist voor EZO's

  • Verwerkingsregister bijhouden (art. 30)
  • Bewaartermijnen vastgesteld en geïmplementeerd
  • Verwerkersovereenkomst met softwareleveranciers
  • EU-hosting geverifieerd
  • Datalek-procedure aanwezig en geoefend
  • DPIA uitgevoerd voor grootschalige verwerking
  • Privacyverklaring vindbaar voor betrokkenen
  • Toegangsbeheer: alleen bevoegde medewerkers zien patiëntdata

AVG ingebakken in het systeem

EZO Meldkamer is ontworpen met privacy by design: EU-hosting, automatische bewaartermijnen, een DPIA-template, verwerkersovereenkomst, datalek-meldroute en rolgebaseerde toegangscontrole. De verwerkersovereenkomst is direct beschikbaar bij aanmelding.

Bekijk privacy & security features →