De AVG ziet op alle persoonsgegevens en is daardoor vrij algemeen van aard. De AVG kent een zekere overlap met de WGBO waar het veel specifieker gaat om de patiënt en diens hulpverlener. In Nederland bestaat daarbovenop de ‘Uitvoeringswet AVG’ (UAVG). Hierin wordt op sommige
punten verdere invulling gegeven aan de AVG, met name over medische gegevens en het gebruik van het BSN. Tevens zijn enkele wetten, waaronder de WGBO, in overeenstemming gebracht met de AVG via een ‘Aanpassingswet AVG’. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van deze wetgeving.

Uitgangspunten van de AVG
De AVG richt zich op de verwerking van persoonsgegevens. Onder die verwerking valt onder meer het verkrijgen, verzamelen, opvragen, raadplegen en wijzigen van gegevens. Een zorgaanbieder verwerkt veel persoonsgegevens onder andere in het dossier en valt zo onder de AVG. Bij het totale proces van gegevensverwerking, dus ook bij het verkrijgen en verzamelen van persoonsgegevens, moet de fysiotherapeut dan ook rekening houden met bepaalde regels.

Volgens de belangrijkste regels (zie art. 5, AVG) moeten persoonsgegevens:

• ‘worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (“rechtmatigheid, behoorlijkheid en transparantie”);
• ‘persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld’ (“doelbinding”);
• ‘toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden
• waarvoor zij worden verwerkt (“minimale gegevensverwerking”).

In een aantal wetsartikelen wordt geregeld dat persoonsgegevens niet zonder meer geregistreerd mogen worden, dat de verzamelde gegevens veilig bewaard dienen te worden en dat persoonsgegevens alleen onder bepaalde voorwaarden verstrekt mogen worden aan derden. Diegene die verantwoordelijk is voor de verwerking van de persoonsgegevens neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (zie art. 32, AVG).

Bovendien moet de fysiotherapeut kunnen aantonen dat hij veilig omgaat met gegevens. Om dit te kunnen aantonen, is een aantal documenten nodig, waaronder een privacyverklaring, verwerkingsregister, datalekregister en verwerkersovereenkomsten.

Verwerking van patiëntgegevens (bijzondere persoonsgegevens)
De verwerking van bijzondere persoonsgegevens, zoals gegevens betreffende iemands religieuze of levensbeschouwelijke overtuigingen, etniciteit, politieke opvattingen, gezondheid en dergelijke, is in de AVG in een apart artikel geregeld (zie art. 9, AVG). Persoonsgegevens betreffende iemands gezondheid mogen alleen worden verwerkt door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke  dienstverlening, voor zover dit noodzakelijk is voor een goede behandeling of verzorging. Patiëntgegevens mogen alleen worden verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst, tot geheimhouding zijn verplicht (zie art. 30, AVG).

Rechten van de patiënt
De betrokkene van wie persoonsgegevens worden verzameld, in de gezondheidszorg meestal de patiënt, wordt op de hoogte gebracht van het soort gegevens dat wordt verwerkt en ook van de doeleinden van verwerking (zie art. 13 en 14, AVG). Dit hoeft niet persoonlijk en kan ook via bijvoorbeeld een privacyverklaring op de website. Ook kan de patiënt verzoeken de verwerkte persoonsgegevens te verbeteren, aan te vullen, te verwijderen, te beperken of af te schermen, indien deze feitelijk onjuist zijn, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt (zie art. 12 tot 22, AVG). Tevens mag een patiënt zijn gegevens inzien en kan hij om een kopie van de gegevens vragen. Overigens zijn veel van deze rechten nader uitgewerkt in de WGBO.