Handleiding
terug naar overzicht

Inhoudsopgave

1. Rollen

1.1 Verwerker en verwerkingsverantwoordelijke

SpotOnMedics = verwerker → ondersteunt technisch, voert niets zelfstandig uit.
Praktijk = verwerkingsverantwoordelijke → beslist wat er gebeurt.

2. Privacybeleid

2.1 Beleid privacyrechten

Als praktijk moet u beleid hebben waarin staat hoe patiënten hun privacyrechten kunnen uitoefenen. Een onderdeel daarvan is de manier waarop iemand zich identificeert bij een verzoek privacyrechten.

3. Verzoeken

3.1 Inleiding

Patiënten hebben recht op inzage in de persoonsgegevens die de praktijk van hen verwerken. Patiënten kunnen hiermee controleren of hun persoonsgegevens kloppen. Ook kunnen zij hiermee controleren of de praktijk zich aan de regels houdt bij het verwerken van hun gegevens.

3.2 Omgaan met verzoeken

Om goed voorbereid te zijn op de verzoeken die u kunt krijgen, moet u ervoor zorgen dat u:

  • Weet welke privacyrechten er gelden. En wanneer u wel of niet gehoor hoeft te geven aan een verzoek.
  • Weet hoe u aan de verzoeken gaat voldoen. Bijvoorbeeld: op welke manier u mensen inzage gaat geven, hun gegevens gaat verwijderen of hun gegevens gaat overdragen. Mogelijk moet u daarvoor technische en organisatorische maatregelen nemen.
  • Weet hoe u de identiteit gaat vaststellen van mensen die een verzoek doen.
  • Mensen wijst op de privacyrechten die zij hebben. Bijvoorbeeld via uw privacyverklaring.
  • Mensen duidelijk informeert over hoe zij een verzoek bij u kunnen indienen.
  • Het voor mensen makkelijk maakt om een verzoek bij u te doen. Let op: wanneer iemand elektronisch (bijvoorbeeld per e-mail) een verzoek doet, moet u de gevraagde informatie ook elektronisch geven.
Bron: https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/voor-organisaties-privacyrechten-in-de-praktijk

3.3 Verzoeken afhandelen

Krijgt u een verzoek van een patiënt op basis van een van de privacyrechten? Neem dan de volgende stappen:

  1. controleer de identiteit van de aanvrager;
  2. reageer binnen 1 maand, liefst per e-mail;
  3. eventueel: weiger het verzoek (deels);
  4. reken geen kosten;
  5. informeer andere organisaties als dat nodig is.

3.3.1 Verzoek van identiteit

Doet iemand een verzoek bij u op basis van de privacyrechten uit de AVG? Zoals een inzageverzoek? Dan moet u checken of die persoon is wie diegene zegt te zijn. Daarmee voorkomt u dat u iemand toegang geeft tot de persoonsgegevens van een ander. U mag daarbij niet meer gegevens opvragen dan nodig is.

Geen kopie ID

U mag voor dit doel nooit een volledige kopie van het identiteitsbewijs vragen. Dat is een kopie waarop alle persoonsgegevens zichtbaar zijn. U mag alleen een volledige kopie ID vragen als u daartoe wettelijk verplicht bent.

Anders mag u hooguit vragen om een kopie ID waarbij bepaalde gegevens zijn afgeschermd. Maar dit mag alleen als het echt niet anders kan. In de meeste gevallen zijn er namelijk minder ingrijpende manieren om iemands identiteit vast te stellen. U moet altijd zoveel mogelijk proberen iemands identiteit vast te stellen met de gegevens die u al heeft van deze persoon.

Voorbeelden identiteit vaststellen

Ter inspiratie vindt u hierna een aantal manieren waarop u iemands identiteit kunt vaststellen. Het is aan u om te bepalen welke manier het meest passend is gelet op de situatie.

  • Langskomen en ID tonen: u kunt patiënten vragen om langs te komen en hun ID-bewijs aan u te tonen zonder een kopie te maken. Let op: u mag hiermee geen drempel opwerpen om inzage te geven. Bijvoorbeeld wanneer iemand niet in de buurt woont. Bied dit daarom alleen als alternatief aan.

Twijfel over identiteit

Heeft u iemands identiteit proberen vast te stellen op uw standaardmanier? Maar heeft u redenen om alsnog te twijfelen of iemand wel is wie diegene zegt te zijn? Dan mag u om aanvullende informatie vragen. Ook hier geldt dat u niet om meer gegevens mag vragen dan nodig is. U mag hooguit om een kopie ID vragen waarbij bepaalde gegevens zijn afgeschermd. Maar dit mag alleen als het echt niet anders kan.

Bron: https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/voor-organisaties-privacyrechten-in-de-praktijk

3.3.2 Reageer binnen 1 maand

U heeft 1 maand de tijd om het verzoek af te handelen. Binnen deze maand geeft u een reactie per e-mail of brief. Hierin laat u weten of u aan het verzoek voldoet. Zo ja, dan voert u het verzoek ook binnen 1 maand uit.

In uitzonderlijke gevallen mag u binnen 3 maanden reageren op een verzoek. Bijvoorbeeld wanneer een verzoek heel complex is. Of wanneer het aantal ontvangen verzoeken van dezelfde persoon heel hoog is. Maar ook dan geldt dat u wel binnen 1 maand moet reageren om te laten weten dat u meer tijd nodig heeft. Leg ook uit waarom dat zo is.

3.3.3 Eventueel: weiger het verzoek

U mag een verzoek weigeren in de volgende gevallen:

  • Het verzoek is niet in overeenstemming met de regels voor het betreffende privacyrecht. Bijvoorbeeld: de aanvrager vraagt u bepaalde persoonsgegevens te verwijderen. Maar u kunt deze gegevens (nog) niet verwijderen, want u bent wettelijk verplicht deze een bepaalde periode te bewaren.
  • U ontvangt heel veel verzoeken van dezelfde persoon. U kunt er dan ook voor kiezen om een redelijke administratieve vergoeding te vragen in plaats van het verzoek te weigeren.
  • Er geldt in uw situatie een van de algemene uitzonderingen op de privacyrechten die in artikel 23 van de AVG staan. Bijvoorbeeld: het verzoek weigeren is noodzakelijk voor de openbare veiligheid, om strafbare feiten te voorkomen dan wel op te sporen of om de rechten en vrijheden van anderen te beschermen. U moet dan een afweging maken waaruit blijkt dat het belang van uw praktijk zwaarder weegt, of de rechten en vrijheden van anderen zwaarder wegen, dan iemands privacyrecht. Voor meer informatie, zie: Guidelines over de beperkingen krachtens artikel 23 AVG.

Heeft u besloten het verzoek te weigeren? Of maar deels aan het verzoek te doen? Leg dan uit waarom. En wijs de aanvrager op de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens of:

  • een verzoekschriftprocedure te starten bij de rechter (als u een bedrijf bent);
  • bezwaar te maken tegen het besluit (als u een overheidsorganisatie bent).

3.3.4 Reken geen kosten

U mag in principe geen kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is? Bijvoorbeeld omdat iemand extreem veel verzoeken bij u indient? Dan mag u een redelijke administratieve vergoeding vragen. Dit mag ook als iemand extra kopieën wil bij het recht op inzage.

Let op: De totale hoeveelheid verzoeken die u krijgt (van verschillende patiënten) en de totale kosten die u maakt om deze verzoeken te beantwoorden, mag u niet laten meewegen bij uw beslissing of een verzoek ‘excessief’ is. De kosten zijn voor uw rekening en mag u niet verhalen op de patiënten van wie u gegevens verwerkt. Of gebruiken als argument om een verzoek af te wijzen.

3.3.5 Informeer andere organisaties als dat nodig is

Heeft u de betreffende persoonsgegevens aan andere organisaties verstrekt? Dan moet u soms ook aan deze organisaties laten weten dat u een verzoek heeft uitgevoerd. En deze organisaties vragen hetzelfde te doen.

Dit geldt bij:

  • Het recht op rectificatie: heeft u bepaalde gegevens gerectificeerd? Dan moet u aan de andere organisaties doorgeven dat zij deze gegevens ook moeten aanpassen of aanvullen.
  • Het recht op gegevens verwijderen: heeft u bepaalde gegevens verwijderd? Dan moet u aan de andere organisaties doorgeven dat zij de gegevens ook moeten verwijderen.
  • Het recht op beperking van de verwerking: heeft u de verwerking van bepaalde gegevens beperkt? Dan moet u aan de andere organisaties doorgeven dat zij de verwerking van deze gegevens ook moeten beperken.
  • Het recht van bezwaar: bent u gestopt met het verwerken van bepaalde gegevens omdat iemand bezwaar heeft gemaakt? Dan moet u aan de andere organisaties doorgeven dat zij ook moeten stoppen met het verwerken van deze gegevens.

Vraagt de aanvrager welke organisaties u op deze manier heeft geïnformeerd? Dan moet u dit aan deze persoon laten weten.

4. Rechten van patiënten

4.1 Recht op inzage (art. 15 AVG)

Voorbeeldverzoek patiënt: “Ik wil weten welke gegevens er van mij verwerkt worden” of “Mag ik een kopie van mijn dossier?”

Praktijk moet doen:

  • Identiteit patiënt verifiëren (bij twijfel: legitimatie vragen).
  • Overzicht verstrekken van persoonsgegevens en/of kopie van het medisch dossier.
  • Controleren of er geen gegevens van derden worden meegestuurd.
  • Binnen 1 maand (max. 3) antwoord geven.

SpotOnMedics rol: Praktijk kan export/kopie via SpotOnMedics-software opvragen. Maak hiervoor een ticket aan via ons ticketsysteem.

Daarnaast zijn er in de volgende situaties wat punten om op te letten bij het recht op inzage.

4.1.1 Grote hoeveelheid persoonsgegevens

Vraagt een patiënt om inzage, maar heeft u heel veel informatie over deze patiënt? Dan kunt u contact opnemen met deze patiënt om te vragen of diegene deze gegevens echt allemaal wil ontvangen. Misschien is er iets waarin diegene specifiek inzage wil en zijn alle persoonsgegevens niet nodig.

Let wel op dat u dit niet kunt afdwingen. Patiënten hebben in principe recht op inzage in al hun persoonsgegevens.

Bevestig altijd schriftelijk wat u heeft besproken. Zo voorkomt u misverstanden.

4.1.2 Een kopie van persoonsgegevens geven

Geef een kopie van de persoonsgegevens waarin iemand inzage wil. Kopieën van hele documenten zijn meestal niet nodig. Het is vaak genoeg als u een overzicht maakt van de persoonsgegevens.

Met dit overzicht kan de aanvrager controleren welke persoonsgegevens u van deze persoon verwerkt, of die persoonsgegevens kloppen en of u de persoonsgegevens op de goede manier (volgens de regels) verwerkt.

Overzicht van persoonsgegevens

In het overzicht kopieert u alle persoonsgegevens die u van de aanvrager verwerkt, tenzij anders met diegene afgesproken. U kopieert de persoonsgegevens uit de documenten waarin deze gegevens staan. Vervolgens zet u alle persoonsgegevens bij elkaar en stuurt u dit overzicht naar de aanvrager. Wilt u weten hoe zo’n overzicht eruitziet? Bekijk dan het Voorbeeldoverzicht inzage persoonsgegevens.  Via de website van de autoriteit persoonsgegevens.

Het moet een compleet overzicht zijn. Daarom kunnen bepaalde persoonsgegevens vaker voorkomen. Bijvoorbeeld wanneer u iemands naam of adres op meerdere plekken heeft staan.

Misschien moet u ook informatie geven over het soort document waarin de persoonsgegevens staan. Bijvoorbeeld door te laten weten dat het persoonsgegeven in een e-mail staat, of door een bestandsnaam te noemen. Het gaat erom dat de persoon die het verzoek doet, goed kan begrijpen hoe u de persoonsgegevens verwerkt.

Uitzondering: kopieën van hele documenten

Soms moet u kopieën van hele documenten sturen in plaats van een overzicht met gekopieerde persoonsgegevens. Maar dat is een uitzondering.

Deze uitzondering geldt bijvoorbeeld wanneer degene die de aanvraag doet de hele documenten nodig heeft om privacyrechten uit de AVG te kunnen gebruiken. Zoals het recht op rectificatie of verwijdering.

Ook moet u hele documenten sturen wanneer degene die de aanvraag doet deze documenten nodig heeft om de context te begrijpen waarin uw praktijk de persoonsgegevens verwerkt.

Let op: Als u kopieën van hele documenten stuurt, moet u rekening houden met de privacy van andere mensen. Staan er in het document persoonsgegevens van andere mensen dan degene die de aanvraag doet? Dan moet u deze persoonsgegevens verwijderen of onleesbaar maken.

4.1.3 Logbestanden

Patiënten hebben ook het recht om te weten wie binnen de praktijk toegang heeft gehad tot hun persoonsgegevens. Vraagt iemand die een inzageverzoek bij u doet hiernaar? Dan verstrekt u een overzicht van (categorieën van) medewerkers die toegang hebben gehad. U kunt via de patiëntenkaart naar het tabje ‘log’ gaan. Hier krijgt u een overzicht van zowel de agenda als de algemene loggegevens. Deze kunt u delen met de patiënt.

4.2 Recht op rectificatie (art. 16 AVG)

Voorbeeldverzoek patiënt: “Mijn adres klopt niet” of “Mijn geboortedatum staat verkeerd in het systeem.”

Praktijk moet doen:

  • Fouten corrigeren in het systeem.
  • Bij medische gegevens: feitelijke fouten corrigeren, maar diagnoses/behandelnotities niet aanpassen. Wel kan een aanvullende notitie worden toegevoegd.

SpotOnMedics rol: Software ondersteunt wijzigen van gegevens.

4.3 Recht op wissing / vergetelheid (art. 17 AVG)

Voorbeeldverzoek patiënt: “Ik wil dat mijn dossier verwijderd wordt” of “Verwijder mijn account.”

Praktijk moet doen:

  • Toetsen aan de WGBO-bewaarplicht (minimaal 20 jaar bewaren vanaf laatste behandeling).
  • Gegevens mogen dus meestal niet volledig verwijderd worden.
  • Wel: account inactief maken, overbodige gegevens wissen (bv. oude contactgegevens).
  • Bij overlijden: dossier valt ook onder bewaarplicht, tenzij uitzonderlijke omstandigheden.

SpotOnMedics rol: Kan technisch account afsluiten of markeren, maar beslissing ligt bij u als praktijk. Maak hiervoor een ticket aan via ons ticketsysteem.

4.4 Recht op beperking van verwerking (art. 18 AVG)

Voorbeeldverzoek patiënt: “Ik wil dat mijn gegevens tijdelijk niet gebruikt worden.”

Praktijk moet doen:

  • Tijdelijk gebruik stoppen (alleen bewaren).
  • Redenen: geschil over juistheid, bezwaar ingediend, of verwerking onrechtmatig maar patiënt wil geen wissing.

4.5 Recht op dataportabiliteit (art. 20 AVG)

Voorbeeldverzoek patiënt: “Ik wil mijn gegevens digitaal ontvangen om mee te nemen naar een andere praktijk.”

Praktijk moet doen:

  • Gegevens verstrekken in gestructureerde, gangbare, machineleesbare vorm (bijv. XML, CSV of PDF).
  • Verstrekken aan patiënt zelf, of direct aan nieuwe zorgverlener als patiënt dat expliciet vraagt.

SpotOnMedics rol: Op verzoek kan export worden gemaakt. Maak hiervoor een ticket aan via ons ticketsysteem.

4.6 Recht van bezwaar (art. 21 AVG)

Voorbeeldverzoek patiënt: “Ik wil niet dat mijn gegevens gebruikt worden voor kwaliteitsonderzoek/marketing.”

Praktijk moet doen:

  • Beoordelen of bezwaar terecht is.
  • Voor marketing: altijd respecteren.
  • Voor wettelijke taken (bv. dossiervoering): bezwaar kan niet gehonoreerd worden.

SpotOnMedics rol: Kan verwerking technisch beperken als praktijk dit besluit.

4.7 Recht tegen geautomatiseerde besluitvorming (art. 22 AVG)

Voorbeeldverzoek patiënt: “Ik wil niet dat een computer zonder menselijk oordeel over mij beslist.”

Praktijk moet doen:

  • Nagaan of dit speelt (in de fysiopraktijk meestal niet).
  • Indien wel: patiënt recht geven op menselijke tussenkomst.

Handleiding voor patiëntverzoeken (AVG + WGBO)

Laatst gewijzigd door: Lindsey Steenman-Tol op 11-09-2025 - 12:46:54
  • AVG
  • Kwaliteit
  • SpotOnMedics FysioOne

Introductie

Deze handleiding beschrijft hoe u als praktijk moet omgaan met verzoeken van patiënten over hun persoonsgegevens. Op grond van de Algemene Verordening Gegevensbescherming (AVG) en de Wet op de geneeskundige behandelovereenkomst (WGBO) hebben patiënten specifieke rechten, zoals het recht op inzage, correctie of overdraagbaarheid van hun gegevens.

Als praktijk bent u de verwerkingsverantwoordelijke. Dat betekent dat u beslist wat er met patiëntgegevens gebeurt en dat u verplicht bent om zorgvuldig, transparant en tijdig te reageren op ieder verzoek. SpotOnMedics ondersteunt u hierbij als verwerker door de technische mogelijkheden te bieden, maar voert zelf geen verzoeken uit zonder uw opdracht.

Deze handleiding geeft per recht een overzicht van:

  • Wat de patiënt kan vragen;
  • Wat u als praktijk moet doen;
  • Hoe SpotOnMedics u hierbij kan ondersteunen.

Het doel van deze handleiding is om alle verzoeken van patiënten op een juridisch correcte, uniforme en patiëntvriendelijke manier af te handelen, met respect voor hun rechten en voor uw wettelijke verplichtingen (zoals de bewaarplicht voor medische dossiers).

Inhoudsopgave

1. Rollen

1.1 Verwerker en verwerkingsverantwoordelijke

SpotOnMedics = verwerker → ondersteunt technisch, voert niets zelfstandig uit.
Praktijk = verwerkingsverantwoordelijke → beslist wat er gebeurt.

2. Privacybeleid

2.1 Beleid privacyrechten

Als praktijk moet u beleid hebben waarin staat hoe patiënten hun privacyrechten kunnen uitoefenen. Een onderdeel daarvan is de manier waarop iemand zich identificeert bij een verzoek privacyrechten.

3. Verzoeken

3.1 Inleiding

Patiënten hebben recht op inzage in de persoonsgegevens die de praktijk van hen verwerken. Patiënten kunnen hiermee controleren of hun persoonsgegevens kloppen. Ook kunnen zij hiermee controleren of de praktijk zich aan de regels houdt bij het verwerken van hun gegevens.

3.2 Omgaan met verzoeken

Om goed voorbereid te zijn op de verzoeken die u kunt krijgen, moet u ervoor zorgen dat u:

  • Weet welke privacyrechten er gelden. En wanneer u wel of niet gehoor hoeft te geven aan een verzoek.
  • Weet hoe u aan de verzoeken gaat voldoen. Bijvoorbeeld: op welke manier u mensen inzage gaat geven, hun gegevens gaat verwijderen of hun gegevens gaat overdragen. Mogelijk moet u daarvoor technische en organisatorische maatregelen nemen.
  • Weet hoe u de identiteit gaat vaststellen van mensen die een verzoek doen.
  • Mensen wijst op de privacyrechten die zij hebben. Bijvoorbeeld via uw privacyverklaring.
  • Mensen duidelijk informeert over hoe zij een verzoek bij u kunnen indienen.
  • Het voor mensen makkelijk maakt om een verzoek bij u te doen. Let op: wanneer iemand elektronisch (bijvoorbeeld per e-mail) een verzoek doet, moet u de gevraagde informatie ook elektronisch geven.
Bron: https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/voor-organisaties-privacyrechten-in-de-praktijk

3.3 Verzoeken afhandelen

Krijgt u een verzoek van een patiënt op basis van een van de privacyrechten? Neem dan de volgende stappen:

  1. controleer de identiteit van de aanvrager;
  2. reageer binnen 1 maand, liefst per e-mail;
  3. eventueel: weiger het verzoek (deels);
  4. reken geen kosten;
  5. informeer andere organisaties als dat nodig is.

3.3.1 Verzoek van identiteit

Doet iemand een verzoek bij u op basis van de privacyrechten uit de AVG? Zoals een inzageverzoek? Dan moet u checken of die persoon is wie diegene zegt te zijn. Daarmee voorkomt u dat u iemand toegang geeft tot de persoonsgegevens van een ander. U mag daarbij niet meer gegevens opvragen dan nodig is.

Geen kopie ID

U mag voor dit doel nooit een volledige kopie van het identiteitsbewijs vragen. Dat is een kopie waarop alle persoonsgegevens zichtbaar zijn. U mag alleen een volledige kopie ID vragen als u daartoe wettelijk verplicht bent.

Anders mag u hooguit vragen om een kopie ID waarbij bepaalde gegevens zijn afgeschermd. Maar dit mag alleen als het echt niet anders kan. In de meeste gevallen zijn er namelijk minder ingrijpende manieren om iemands identiteit vast te stellen. U moet altijd zoveel mogelijk proberen iemands identiteit vast te stellen met de gegevens die u al heeft van deze persoon.

Voorbeelden identiteit vaststellen

Ter inspiratie vindt u hierna een aantal manieren waarop u iemands identiteit kunt vaststellen. Het is aan u om te bepalen welke manier het meest passend is gelet op de situatie.

  • Langskomen en ID tonen: u kunt patiënten vragen om langs te komen en hun ID-bewijs aan u te tonen zonder een kopie te maken. Let op: u mag hiermee geen drempel opwerpen om inzage te geven. Bijvoorbeeld wanneer iemand niet in de buurt woont. Bied dit daarom alleen als alternatief aan.

Twijfel over identiteit

Heeft u iemands identiteit proberen vast te stellen op uw standaardmanier? Maar heeft u redenen om alsnog te twijfelen of iemand wel is wie diegene zegt te zijn? Dan mag u om aanvullende informatie vragen. Ook hier geldt dat u niet om meer gegevens mag vragen dan nodig is. U mag hooguit om een kopie ID vragen waarbij bepaalde gegevens zijn afgeschermd. Maar dit mag alleen als het echt niet anders kan.

Bron: https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/voor-organisaties-privacyrechten-in-de-praktijk

3.3.2 Reageer binnen 1 maand

U heeft 1 maand de tijd om het verzoek af te handelen. Binnen deze maand geeft u een reactie per e-mail of brief. Hierin laat u weten of u aan het verzoek voldoet. Zo ja, dan voert u het verzoek ook binnen 1 maand uit.

In uitzonderlijke gevallen mag u binnen 3 maanden reageren op een verzoek. Bijvoorbeeld wanneer een verzoek heel complex is. Of wanneer het aantal ontvangen verzoeken van dezelfde persoon heel hoog is. Maar ook dan geldt dat u wel binnen 1 maand moet reageren om te laten weten dat u meer tijd nodig heeft. Leg ook uit waarom dat zo is.

3.3.3 Eventueel: weiger het verzoek

U mag een verzoek weigeren in de volgende gevallen:

  • Het verzoek is niet in overeenstemming met de regels voor het betreffende privacyrecht. Bijvoorbeeld: de aanvrager vraagt u bepaalde persoonsgegevens te verwijderen. Maar u kunt deze gegevens (nog) niet verwijderen, want u bent wettelijk verplicht deze een bepaalde periode te bewaren.
  • U ontvangt heel veel verzoeken van dezelfde persoon. U kunt er dan ook voor kiezen om een redelijke administratieve vergoeding te vragen in plaats van het verzoek te weigeren.
  • Er geldt in uw situatie een van de algemene uitzonderingen op de privacyrechten die in artikel 23 van de AVG staan. Bijvoorbeeld: het verzoek weigeren is noodzakelijk voor de openbare veiligheid, om strafbare feiten te voorkomen dan wel op te sporen of om de rechten en vrijheden van anderen te beschermen. U moet dan een afweging maken waaruit blijkt dat het belang van uw praktijk zwaarder weegt, of de rechten en vrijheden van anderen zwaarder wegen, dan iemands privacyrecht. Voor meer informatie, zie: Guidelines over de beperkingen krachtens artikel 23 AVG.

Heeft u besloten het verzoek te weigeren? Of maar deels aan het verzoek te doen? Leg dan uit waarom. En wijs de aanvrager op de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens of:

  • een verzoekschriftprocedure te starten bij de rechter (als u een bedrijf bent);
  • bezwaar te maken tegen het besluit (als u een overheidsorganisatie bent).

3.3.4 Reken geen kosten

U mag in principe geen kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is? Bijvoorbeeld omdat iemand extreem veel verzoeken bij u indient? Dan mag u een redelijke administratieve vergoeding vragen. Dit mag ook als iemand extra kopieën wil bij het recht op inzage.

Let op: De totale hoeveelheid verzoeken die u krijgt (van verschillende patiënten) en de totale kosten die u maakt om deze verzoeken te beantwoorden, mag u niet laten meewegen bij uw beslissing of een verzoek ‘excessief’ is. De kosten zijn voor uw rekening en mag u niet verhalen op de patiënten van wie u gegevens verwerkt. Of gebruiken als argument om een verzoek af te wijzen.

3.3.5 Informeer andere organisaties als dat nodig is

Heeft u de betreffende persoonsgegevens aan andere organisaties verstrekt? Dan moet u soms ook aan deze organisaties laten weten dat u een verzoek heeft uitgevoerd. En deze organisaties vragen hetzelfde te doen.

Dit geldt bij:

  • Het recht op rectificatie: heeft u bepaalde gegevens gerectificeerd? Dan moet u aan de andere organisaties doorgeven dat zij deze gegevens ook moeten aanpassen of aanvullen.
  • Het recht op gegevens verwijderen: heeft u bepaalde gegevens verwijderd? Dan moet u aan de andere organisaties doorgeven dat zij de gegevens ook moeten verwijderen.
  • Het recht op beperking van de verwerking: heeft u de verwerking van bepaalde gegevens beperkt? Dan moet u aan de andere organisaties doorgeven dat zij de verwerking van deze gegevens ook moeten beperken.
  • Het recht van bezwaar: bent u gestopt met het verwerken van bepaalde gegevens omdat iemand bezwaar heeft gemaakt? Dan moet u aan de andere organisaties doorgeven dat zij ook moeten stoppen met het verwerken van deze gegevens.

Vraagt de aanvrager welke organisaties u op deze manier heeft geïnformeerd? Dan moet u dit aan deze persoon laten weten.

4. Rechten van patiënten

4.1 Recht op inzage (art. 15 AVG)

Voorbeeldverzoek patiënt: “Ik wil weten welke gegevens er van mij verwerkt worden” of “Mag ik een kopie van mijn dossier?”

Praktijk moet doen:

  • Identiteit patiënt verifiëren (bij twijfel: legitimatie vragen).
  • Overzicht verstrekken van persoonsgegevens en/of kopie van het medisch dossier.
  • Controleren of er geen gegevens van derden worden meegestuurd.
  • Binnen 1 maand (max. 3) antwoord geven.

SpotOnMedics rol: Praktijk kan export/kopie via SpotOnMedics-software opvragen. Maak hiervoor een ticket aan via ons ticketsysteem.

Daarnaast zijn er in de volgende situaties wat punten om op te letten bij het recht op inzage.

4.1.1 Grote hoeveelheid persoonsgegevens

Vraagt een patiënt om inzage, maar heeft u heel veel informatie over deze patiënt? Dan kunt u contact opnemen met deze patiënt om te vragen of diegene deze gegevens echt allemaal wil ontvangen. Misschien is er iets waarin diegene specifiek inzage wil en zijn alle persoonsgegevens niet nodig.

Let wel op dat u dit niet kunt afdwingen. Patiënten hebben in principe recht op inzage in al hun persoonsgegevens.

Bevestig altijd schriftelijk wat u heeft besproken. Zo voorkomt u misverstanden.

4.1.2 Een kopie van persoonsgegevens geven

Geef een kopie van de persoonsgegevens waarin iemand inzage wil. Kopieën van hele documenten zijn meestal niet nodig. Het is vaak genoeg als u een overzicht maakt van de persoonsgegevens.

Met dit overzicht kan de aanvrager controleren welke persoonsgegevens u van deze persoon verwerkt, of die persoonsgegevens kloppen en of u de persoonsgegevens op de goede manier (volgens de regels) verwerkt.

Overzicht van persoonsgegevens

In het overzicht kopieert u alle persoonsgegevens die u van de aanvrager verwerkt, tenzij anders met diegene afgesproken. U kopieert de persoonsgegevens uit de documenten waarin deze gegevens staan. Vervolgens zet u alle persoonsgegevens bij elkaar en stuurt u dit overzicht naar de aanvrager. Wilt u weten hoe zo’n overzicht eruitziet? Bekijk dan het Voorbeeldoverzicht inzage persoonsgegevens.  Via de website van de autoriteit persoonsgegevens.

Het moet een compleet overzicht zijn. Daarom kunnen bepaalde persoonsgegevens vaker voorkomen. Bijvoorbeeld wanneer u iemands naam of adres op meerdere plekken heeft staan.

Misschien moet u ook informatie geven over het soort document waarin de persoonsgegevens staan. Bijvoorbeeld door te laten weten dat het persoonsgegeven in een e-mail staat, of door een bestandsnaam te noemen. Het gaat erom dat de persoon die het verzoek doet, goed kan begrijpen hoe u de persoonsgegevens verwerkt.

Uitzondering: kopieën van hele documenten

Soms moet u kopieën van hele documenten sturen in plaats van een overzicht met gekopieerde persoonsgegevens. Maar dat is een uitzondering.

Deze uitzondering geldt bijvoorbeeld wanneer degene die de aanvraag doet de hele documenten nodig heeft om privacyrechten uit de AVG te kunnen gebruiken. Zoals het recht op rectificatie of verwijdering.

Ook moet u hele documenten sturen wanneer degene die de aanvraag doet deze documenten nodig heeft om de context te begrijpen waarin uw praktijk de persoonsgegevens verwerkt.

Let op: Als u kopieën van hele documenten stuurt, moet u rekening houden met de privacy van andere mensen. Staan er in het document persoonsgegevens van andere mensen dan degene die de aanvraag doet? Dan moet u deze persoonsgegevens verwijderen of onleesbaar maken.

4.1.3 Logbestanden

Patiënten hebben ook het recht om te weten wie binnen de praktijk toegang heeft gehad tot hun persoonsgegevens. Vraagt iemand die een inzageverzoek bij u doet hiernaar? Dan verstrekt u een overzicht van (categorieën van) medewerkers die toegang hebben gehad. U kunt via de patiëntenkaart naar het tabje ‘log’ gaan. Hier krijgt u een overzicht van zowel de agenda als de algemene loggegevens. Deze kunt u delen met de patiënt.

4.2 Recht op rectificatie (art. 16 AVG)

Voorbeeldverzoek patiënt: “Mijn adres klopt niet” of “Mijn geboortedatum staat verkeerd in het systeem.”

Praktijk moet doen:

  • Fouten corrigeren in het systeem.
  • Bij medische gegevens: feitelijke fouten corrigeren, maar diagnoses/behandelnotities niet aanpassen. Wel kan een aanvullende notitie worden toegevoegd.

SpotOnMedics rol: Software ondersteunt wijzigen van gegevens.

4.3 Recht op wissing / vergetelheid (art. 17 AVG)

Voorbeeldverzoek patiënt: “Ik wil dat mijn dossier verwijderd wordt” of “Verwijder mijn account.”

Praktijk moet doen:

  • Toetsen aan de WGBO-bewaarplicht (minimaal 20 jaar bewaren vanaf laatste behandeling).
  • Gegevens mogen dus meestal niet volledig verwijderd worden.
  • Wel: account inactief maken, overbodige gegevens wissen (bv. oude contactgegevens).
  • Bij overlijden: dossier valt ook onder bewaarplicht, tenzij uitzonderlijke omstandigheden.

SpotOnMedics rol: Kan technisch account afsluiten of markeren, maar beslissing ligt bij u als praktijk. Maak hiervoor een ticket aan via ons ticketsysteem.

4.4 Recht op beperking van verwerking (art. 18 AVG)

Voorbeeldverzoek patiënt: “Ik wil dat mijn gegevens tijdelijk niet gebruikt worden.”

Praktijk moet doen:

  • Tijdelijk gebruik stoppen (alleen bewaren).
  • Redenen: geschil over juistheid, bezwaar ingediend, of verwerking onrechtmatig maar patiënt wil geen wissing.

4.5 Recht op dataportabiliteit (art. 20 AVG)

Voorbeeldverzoek patiënt: “Ik wil mijn gegevens digitaal ontvangen om mee te nemen naar een andere praktijk.”

Praktijk moet doen:

  • Gegevens verstrekken in gestructureerde, gangbare, machineleesbare vorm (bijv. XML, CSV of PDF).
  • Verstrekken aan patiënt zelf, of direct aan nieuwe zorgverlener als patiënt dat expliciet vraagt.

SpotOnMedics rol: Op verzoek kan export worden gemaakt. Maak hiervoor een ticket aan via ons ticketsysteem.

4.6 Recht van bezwaar (art. 21 AVG)

Voorbeeldverzoek patiënt: “Ik wil niet dat mijn gegevens gebruikt worden voor kwaliteitsonderzoek/marketing.”

Praktijk moet doen:

  • Beoordelen of bezwaar terecht is.
  • Voor marketing: altijd respecteren.
  • Voor wettelijke taken (bv. dossiervoering): bezwaar kan niet gehonoreerd worden.

SpotOnMedics rol: Kan verwerking technisch beperken als praktijk dit besluit.

4.7 Recht tegen geautomatiseerde besluitvorming (art. 22 AVG)

Voorbeeldverzoek patiënt: “Ik wil niet dat een computer zonder menselijk oordeel over mij beslist.”

Praktijk moet doen:

  • Nagaan of dit speelt (in de fysiopraktijk meestal niet).
  • Indien wel: patiënt recht geven op menselijke tussenkomst.