Verwerkingsregister documentatieplicht

Verwerkingsregister voorbeeld voor een fysiotherapeut of zorgpraktijk

Eva de Vries Eva de Vries
· · 10 min leestijd

Stel je voor: je bent lekker aan het werk als fysiotherapeut. Je bent gefocust op die knie van je cliënt, op de juiste oefening en op het verbeteren van de mobiliteit.

Inhoudsopgave
  1. Waarom een verwerkingsregister echt nodig is
  2. Welke persoonsgegevens verwerk je eigenlijk?
  3. Waarom verzamel je deze gegevens? (De doeleinden)
  4. Wie heeft toegang tot de dossiers?
  5. Beveiliging: hoe bescherm je de gegevens?
  6. Externe partijen en verwerkersovereenkomsten
  7. Datalekken: wat nu?
  8. Bewaartermijnen: hoe lang bewaar je wat?
  9. Je privacyverklaring: het gezicht naar de cliënt
  10. Conclusie: aan de slag!
  11. Veelgestelde vragen

Dan komt er een brief op je mat van de Autoriteit Persoonsgegevens. Paniek?

Helemaal niet, als je je zaken op orde hebt. Een verwerkingsregister is misschien niet het spannendste deel van je werk, maar het is wel je schild tegen privacy-ellende. In gewoon Nederlands: het is een lijst waarin je precies bijhoudt welke persoonsgegevens je verzamelt, waarom je dat doet en hoe lang je ze bewaart.

Voor een fysiotherapiepraktijk is dit verplicht, simpelweg omdat je met gevoelige, medische gegevens werkt. Laten we het simpel houden en direct aan de slag gaan met een praktisch voorbeeld.

Waarom een verwerkingsregister echt nodig is

Veel praktijken denken: "Ik heb toch niets te verbergen?" Dat klopt, maar de wet eist dat je kunt aantonen dat je zorgvuldig omgaat met data.

Een verwerkingsregister is je administratieve geheugen. Het laat zien dat je voldoet aan de Algemene Verordening Gegevensbescherming (AVG). Als er ooit een controle komt, of een klacht van een cliënt, is dit register je beste vriend.

Wat hoort erin? De basis

Het zorgt voor rust in je hoofd, zodat jij je kunt richten op wat echt telt: het herstel van je patiënten. Een verwerkingsregister hoeft geen ingewikkeld boekwerk te zijn.

Het is een overzichtelijk document. Denk aan een Excel-sheet of een template in Word.

Het belangrijkste is dat het up-to-date is. Je legt vast wat je doet met persoonsgegevens, wie erbij kunnen en hoe je ze beveiligt. Het is de blauwdruk van hoe jouw praktijk omgaat met privacy.

Welke persoonsgegevens verwerk je eigenlijk?

In een fysiotherapiepraktijk kom je veel verschillende soorten gegevens tegen. Het is handig om deze in categorieën te splitsen.

Cliëntgegevens: de harde kern

Zo houd je overzicht. Hieronder een lijst die je direct kunt gebruiken voor je eigen register.

  • Naam, adres, postcode en woonplaats.
  • Geboortedatum.
  • Telefoonnummer en e-mailadres.
  • Burgerservicenummer (BSN). Let op: gebruik dit alleen als het echt nodig is, bijvoorbeeld voor declaratie via de zorgverzekeraar. Bewaar het niet langer dan strikt noodzakelijk.

Medische gegevens: de kern van je werk

Dit zijn de basisgegevens die je nodig hebt om een cliënt te identificeren en te contacteren. Dit is de meest gevoelige informatie. Je verwerkt dit om een diagnose te stellen en een behandeling uit te voeren.

  • Medische voorgeschiedenis en klachten.
  • Diagnoses en behandelplannen.
  • Resultaten van onderzoeken, zoals röntgenfoto’s of EMG-uitslagen.
  • Medicatiegebruik en allergieën.
  • Aantekeningen over het behandelproces en voortgang.

Verzekerings- en financiële gegevens

Deze gegevens zijn nodig voor de administratie en declaratie. De vuistregel is: verzamel alleen wat je echt nodig hebt. Dit heet het minimale verwerkingsbeginsel. Vraag je bij elk stukje data af: "Heb ik dit echt nodig voor de behandeling of declaratie?" Als het antwoord nee is, bewaar het dan niet.

  • Naam van de zorgverzekeraar.
  • Bankrekeningnummer voor facturering.
  • Gegevens van de opdrachtgever, als je werkt voor een bedrijf of instantie.

Waarom verzamel je deze gegevens? (De doeleinden)

Je mag persoonsgegevens alleen verwerken voor een specifiek doel. In je register moet je deze doelen helder omschrijven.

  • Behandeling: Het stellen van een diagnose, het opstellen van een behandelplan en het uitvoeren van de therapie.
  • Facturering: Het declareren van behandelingen bij de zorgverzekeraar of de cliënt zelf.
  • Administratie: Het bijhouden van afspraken, het voldoen aan wettelijke verplichtingen en het archiveren van dossiers.
  • Communicatie: Contact met de cliënt, de huisarts of andere zorgverleners.
  • Kwaliteitsverbetering: Anonieme data-analyse om je behandelingen te verbeteren.

Voor een fysiotherapiepraktijk zijn de belangrijkste doelen: Je moet deze doelen duidelijk communiceren aan je cliënt, bijvoorbeeld in je privacyverklaring op je website.

Wie heeft toegang tot de dossiers?

Je kunt niet iedereen toegang geven tot de gevoelige dossiers van je cliënten. De toegang moet beperkt zijn tot mensen die het echt nodig hebben voor hun werk.

Medewerkers binnen de praktijk

  • Fysiotherapeuten: Zij hebben volledige toegang tot de dossiers van hun eigen cliënten.
  • Administratief medewerker: Heeft toegang tot contactgegevens en facturatiegegevens, maar niet tot medische details.
  • ICT-beheerder: Heeft technische toegang tot systemen, maar mag geen medische gegevens inzien.

In een kleine praktijk is dit overzichtelijk. Elke medewerker moet een geheimhoudingsplicht ondertekenen.

Dit is onderdeel van je beroepscode. Ook intervisie of supervisie mag alleen plaatsvinden met volledig anonieme casuïstiek.

Beveiliging: hoe bescherm je de gegevens?

Goede beveiliging is geen optie, het is een must. Je bent verantwoordelijk voor de veiligheid van de dossiers, zowel digitaal als op papier.

Fysieke beveiliging

Hieronder een checklist voor je register. Papieren dossiers liggen nooit los op een bureau.

Digitale beveiliging

Ze worden bewaard in een afgesloten kast. De praktijkruimte zelf is ook afgesloten als er geen personeel aanwezig is. Gebruik je een digitaal patiëntensysteem? Let dan op:

  • Gebruik sterke wachtwoorden en tweestapsverificatie.
  • De computer of server moet beveiligd zijn met up-to-date antivirussoftware.
  • Back-ups van gegevens worden regelmatig gemaakt en op een veilige plek bewaard.
  • Gegevens die je verstuurt (bijvoorbeeld per e-mail) worden versleuteld.

Een bekend systeem in de fysiotherapie is bijvoorbeeld Medical Taping, maar denk ook aan praktijksoftware zoals FysioVision of PhysioMetrics. Zorg dat je met deze partijen een verwerkersovereenkomst hebt afgesloten.

Externe partijen en verwerkersovereenkomsten

Soms geef je persoonsgegevens door aan andere partijen. Dit mag alleen als je een contract hebt, een zogenaamde verwerkersovereenkomst (VvO).

  • Softwareleveranciers: De partij die je praktijksoftware levert.
  • Boekhouder of accountant: Voor de financiële administratie.
  • Zorgverzekeraars: Voor declaraties.

Voorbeelden van partijen waarmee je te maken hebt: In zo’n overeenkomst staat dat de externe partij net zo zorgvuldig met gegevens omgaat als jij. Ze mogen de gegevens niet gebruiken voor hun eigen doeleinden.

Datalekken: wat nu?

Een datalek is een ongelukje dat iedereen kan overkomen. Denk aan een verloren laptop, een gestolen telefoon of een hack.

Als er persoonsgegevens op straat liggen, is dat een datalek. Je moet dit melden aan de Autoriteit Persoonsgegevens, meestal binnen 72 uur.

  1. Wat is er gebeurd?
  2. Welke gegevens zijn betrokken?
  3. Wat is de oorzaak?
  4. Welke maatregelen neem je om de schade te beperken?
  5. Wie informeer je?

In je register beschrijf je hoe je omgaat met een datalek: Door een stappenplan klaar te hebben, handel je snel en rustig als het misgaat.

Bewaartermijnen: hoe lang bewaar je wat?

Je mag gegevens niet eeuwig bewaren. Er zijn wettelijke termijnen die je moet aanhouden.

  • Medische dossiers: 10 jaar na afloop van de behandeling. Dit is de wettelijke bewaarplicht voor medische gegevens.
  • Facturen en financiële administratie: 7 jaar na het boekjaar. Dit is de fiscale bewaarplicht.
  • Overeenkomsten en contactlijsten: Zolang de cliënt bij je in behandeling is, plus de wettelijke termijn daarna.

Voor een fysiotherapiepraktijk gelden de volgende richtlijnen: Stel een beleid op: na afloop van de 10 jaar worden de dossiers vernietigd. Bij papieren dossiers betekent dit versnipperen. Bij digitale dossiers betekent het veilig verwijderen uit het systeem en de back-ups.

Je privacyverklaring: het gezicht naar de cliënt

Het verwerkingsregister is intern; bekijk bijvoorbeeld een handig verwerkingsregister voorbeeld voor een kapper of andere ondernemer. Je privacyverklaring is wat je cliënt ziet, meestal op je website.

Hierin leg je in heldere taal uit wat je doet met gegevens. Gebruik geen jargon, maar schrijf zoals je praat. Leg uit dat je gegevens verzamelt voor de behandeling, dat ze veilig zijn en dat de cliënt rechten heeft, zoals het recht op inzage of verwijdering.

Combineer je privacyverklaring met je verwerkingsregister, bijvoorbeeld als je gezondheidsgegevens in je verwerkingsregister opneemt. Ze vullen elkaar aan.

Het register is de achterkant, de verklaring is de voorkant.

Conclusie: aan de slag!

Een verwerkingsregister is geen last, maar een hulpmiddel. Vraag je je af of je als ZZP'er zonder personeel een verwerkingsregister moet bijhouden? Het zorgt voor structuur en veiligheid in je praktijk.

Begin klein: pak een vel papier of een Excel-sheet en vul de bovenstaande punten in. Pas het aan op jouw specifieke situatie. Vergeet niet om het jaarlijks te controleren en bij te werken. Zo blijf je niet alleen AVG-proof, maar geef je ook je cliënten het vertrouwen dat ze bij jou in goede handen zijn.

Veelgestelde vragen

Wat is precies een verwerkingsregister en waarom is het belangrijk voor een fysiotherapiepraktijk?

Een verwerkingsregister is een overzicht van welke persoonlijke gegevens je verzamelt, waarom je die gegevens gebruikt en hoe lang je ze bewaart. Het is essentieel voor fysiotherapeuten omdat de wet (AVG) vereist dat je kunt aantonen dat je op een verantwoorde manier omgaat met patiëntgegevens, en dit register biedt die bewijsvoering.

Welke soorten informatie moet ik in mijn verwerkingsregister vastleggen?

Je register moet minimaal de soorten persoonsgegevens beschrijven die je verwerkt, zoals namen, adressen en BSN’s (alleen als nodig). Ook moet je aangeven wie toegang heeft tot de gegevens, hoe je ze beschermt en hoe lang je ze bewaart. Het is dus een overzicht van je privacypraktijken.

Wat gebeurt er als de Autoriteit Persoonsgegevens mijn verwerkingsregister controleert?

Als de Autoriteit Persoonsgegevens je register controleert, wil je zeker weten dat alles correct en up-to-date is. Een goed opgesteld register is je beste vriend, omdat het aantoont dat je voldoet aan de AVG en zorgvuldig omgaat met de privacy van je patiënten.

Waarom is het zo belangrijk om medische gegevens veilig te bewaren in mijn verwerkingsregister?

Medische gegevens zijn uiterst gevoelig en vereisen extra bescherming. In je register moet je duidelijk aangeven hoe je deze gegevens beveiligd, bijvoorbeeld door ze te coderen, te versleutelen of door middel van toegangscontrole. Het is cruciaal om de privacy van je patiënten te waarborgen.

Kan ik een simpel sjabloon gebruiken voor mijn verwerkingsregister, of moet ik er zelf één maken?

Je kunt zeker een simpel sjabloon gebruiken, zoals een Excel-sheet of een Word-template. Het belangrijkste is dat het overzichtelijk is en alle relevante informatie bevat. Denk er aan dat het register up-to-date moet blijven en je privacypraktijken duidelijk beschrijft.

Lees ook
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden? Hoe maak je stap voor stap een verwerkingsregister als ZZP'er in 2026? Welke gegevens horen er precies in een verwerkingsregister thuis? Verwerkingsregister voorbeeld voor een kleine webshop in Nederland Verwerkingsregister voorbeeld voor een freelance marketeer of tekstschrijver Verwerkingsregister voorbeeld voor een kapper of schoonheidssalon
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkingsregister documentatieplicht

Bekijk alle 38 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden?
Lees verder →