James' Blog

Goed voorbereid op de AVG in de zorgpraktijk

3 april 2018


Inleiding
De Europese privacyverordening ‘algemene verordening gegevensbescherming’ (AVG) gaat over de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens van Europese staatsburgers. De AVG wordt 25 mei 2018 van kracht.

Iedere partij die persoonsgegevens verwerkt moet voldoen aan de AVG. Veel zorgpraktijken zijn nog niet “AVG-proof” en weten niet precies hoe ze het moeten aanpakken. Nu de deadline van 25 mei steeds dichterbij komt zwelt de communicatie over het onderwerp aan in de 1e lijn gezondheidszorg. De artikelen behelzen vaak niet meer dan een opsomming van de hoofdlijnen van de AVG en bieden weinig houvast voor een praktische aanpak.

Om u te helpen heeft het team van James zich vanuit het perspectief van uw praktijkvoering verdiept in de materie. Allereerst willen wij u geruststellen. AVG-proof worden is grotendeels een eenmalige exercitie. Wij hebben de belangrijkste zaken voor u uitgezocht en op een rijtje gezet.

In het eerste deel van dit artikel wordt de AVG nader toegelicht: recht op verwerking persoonsgegevens, rechten van betrokkenen, rol Functionaris Gegevensverwerking en risicobeoordeling. Vervolgens wordt aangegeven hoe uw praktijk kan voldoen aan de AVG en tot slot wordt een aantal extra maatregelen belicht die u in dit kader kan nemen.


Mag u persoonsgegevens verwerken?
De AVG onderscheidt 3 soorten persoonsgegevens: gewone, bijzondere en strafrechtelijke. Gezondheidsgegevens vallen in de categorie bijzondere persoonsgegevens.

U mag niet zomaar persoonsgegevens verwerken. U moet daarvoor een wettelijke grondslag hebben. De AVG kent 6 grondslagen. Kunt u de gegevensverwerking niet baseren op minimaal één van deze grondslagen, dan heeft u niet het recht om de persoonsgegevens te verwerken.

Welke AVG-grondslagen zijn er?

  1. Toestemming van de betrokken persoon.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een wettelijke uitzondering en op één van de AVG-grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

De wettelijke grondslag (en verplichting) voor het verwerken van persoonsgegevens van patiënten vloeit voort uit de Wet op de geneeskundige behandelingsovereenkomst (Wgbo). Zodra een patiënt een zorgverlener benadert voor het leveren van zorg is er sprake van een behandelingsovereenkomst (AVG-grondslag 2). De Wgbo schrijft voor dat er een medisch dossier wordt bijgehouden (AVG-grondslag 3) en dat deze voor 15 jaar wordt bewaard. Het begrip zorgverlener wordt zeer ruim uitgelegd door de wetgever. Niet alleen BIG geregistreerde beroepen vallen hieronder maar ook bijvoorbeeld alternatieve zorgverleners. In de concept Uitvoeringswet Algemene Verordening Gegevensbescherming wordt ook aangegeven dat zorgverleners bijzondere persoonsgegevens (lees gezondheidsgegevens) mogen verwerken op basis van een uitzonderingsgrond onder de voorwaarde van geheimhouding. Geheimhouding is een plicht uit hoofde van de Wgbo.

Een andere wettelijke grondslag waar een zorgverlener zich voor de verwerking van persoonsgegevens op kan beroepen is het gerechtvaardigd belang (AVG grondslag 6). Zonder verwerking van persoons- en gezondheidsgegevens van patiënten kan een zorgverlener geen goede zorg verlenen en ontbreken er allerlei gegevens voor de bedrijfsvoering, bijvoorbeeld het aanbieden van declaraties aan zorgverzekeraars is dan niet mogelijk.

Veel zorgverleners denken dat ze onder de AVG expliciet toestemming moeten vragen aan de patiënt voor de verwerking van gewone- en gezondheidsgegevens. Dit is beslist niet het geval. U hoeft alleen toestemming te vragen aan uw patiënt als u persoonsgegevens wilt delen met derden. Echter dat is nu ook al een vereiste in de Wgbo.


Rechten van betrokkenen
Onder de AVG krijgen mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Hun bestaande privacyrechten worden uitgebreid.

De AVG-privacyrechten

  • Het recht op dataportabiliteit: dit is het recht om persoonsgegevens over te dragen (NIEUW).
  • Het recht op vergetelheid: dit is het recht om ‘vergeten’ te worden (NIEUW).
  • Recht op inzage: dit is het recht van mensen om de persoonsgegevens die u van hen verwerkt in te zien.
  • Recht op rectificatie en aanvulling: dit is het recht van mensen om de persoonsgegevens die u verwerkt te wijzigen.
  • Het recht op beperking van de verwerking: dit is het recht om minder gegevens te laten verwerken.
  • Het recht met betrekking tot geautomatiseerde besluitvorming en profilering: dit is het recht op een menselijke blik bij besluiten.
  • Het recht om bezwaar te maken tegen de gegevensverwerking.
  • Ten slotte hebben mensen recht op duidelijke informatie over wat u met hun persoonsgegevens doet.

Geldt het recht op dataportibiliteit ook voor medische dossiers?
Het recht op dataportabiliteit is een nieuw recht onder de AVG. Het is het recht van mensen om persoonsgegevens mee te nemen en over te dragen aan een andere zorgaanbieder. Het recht geldt voor een deel van de gegevens in medische dossiers.

Welke gegevens wel
De persoonsgegevens die uw patiënt zelf actief en bewust heeft verstrekt, vallen onder het recht op dataportabiliteit. Dat geldt ook voor de gegevens die de patiënt indirect heeft verstrekt door het gebruik van een dienst of een apparaat. Bijvoorbeeld de gegevens die een pacemaker of een bloeddrukmeter genereert.

Welke gegevens niet
De gegevens in het medisch dossier die niet direct of indirect door het gebruik van een dienst of een apparaat door de patiënt zijn verstrekt, vallen niet onder het recht op dataportabiliteit. Het recht op dataportabiliteit geldt bijvoorbeeld niet voor de conclusies, diagnoses, vermoedens of behandelplannen die u als zorgverlener op basis van de door de patiënt verstrekte gegevens vaststelt .

Geldt het recht op vergetelheid ook voor medische dossiers?
Het recht om vergeten te worden geldt in principe niet voor medische dossiers. De AVG  biedt wel ruimte aan nationale wetgeving. Onder meer om uitzonderingen op het recht op vergetelheid te regelen. Patiënten mogen u wel vragen om gegevens uit hun medisch dossier te verwijderen.

Regels Wgbo
In Nederland zijn de regels voor het bewaren van medische dossiers opgenomen in de Wgbo. Hierin is bepaald dat u medische dossiers 15 jaar moet bewaren.

Deze wet regelt dat mensen het recht hebben om hun zorgverlener te vragen om de gegevens eerder te vernietigen. U moet daar gehoor aan geven, tenzij een bepaald voorschrift of specifieke wet bepaalt dat u de gegevens moet bewaren. Bijvoorbeeld vanwege het belang van iemand anders. Of omdat de gegevens nodig zijn voor het leveren van zorg.

Reageren op een verzoek
Heeft een patiënt u gevraagd om vernietiging van zijn of haar medisch dossier? Dan moet u als zorgverlener binnen 3 maanden aan dit verzoek voldoen. Wanneer u het verzoek afwijst, dan moet u de patiënt laten weten waarom. Het liefst schriftelijk.

Verwijdert u alleen een onderdeel uit het medisch dossier? Dan kunt u in het dossier vermelden dat een deel van de gegevens op verzoek van de patiënt is verwijderd.


De Functionaris Gegevensbescherming (FG)
In de AVG staat dat bij ‘grootschalige gegevensverwerking’ van bijzondere persoonsgegevens zoals gezondheidsgegevens het aanstellen van de Functionaris Gegevensbescherming verplicht is. Een FG controleert binnen een organisatie of de privacywetgeving wordt nagekomen, geeft advies, maakt inventarisaties van de gegevensverwerkingen en houdt deze bij. Daarnaast is de FG contactpersoon voor de Autoriteit Persoonsgegevens en voor patiënten. De FG brengt verslag uit aan de hoogste leidinggevende binnen de organisatie. In de paramedische praktijk zal dit over het algemeen de praktijkhouder zijn.

Een FG is dus verplicht als er op grote schaal bijzondere gegevens verwerkt worden. Er is echter (op dit moment – 2018) geen duidelijke definitie van wat ‘grootschalig’ inhoudt. Of er sprake is van grootschalige verwerking is afhankelijk van de concrete omstandigheden, zoals het aantal betrokkenen, de hoeveelheid persoonsgegevens, de duur van de gegevensverwerking en de geografische reikwijdte van de verwerking.

De Autoriteit Persoonsgegevens geeft als voorbeeld van grootschalig de verwerking van persoonsgegevens in een ziekenhuis. Op dit moment kunnen we alleen met zekerheid stellen dat een FG niet verplicht is voor een eenmanspraktijk. De zekerheid of de verplichting er is voor ‘grotere’ praktijken (met meer dan één zorgverlener in dienst) hebben we (nog) niet. Ergens tussen deze twee uitersten ligt het kantelpunt van wel of niet ‘op grote schaal’ verwerken van persoonsgegevens, maar tot op heden kan niemand (ook de Autoriteit Persoonsgegevens niet) aangeven waar dit kantelpunt precies ligt.


Data Protection Impact Assessment (DPIA)
Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat u maatregelen kunt nemen om de risico’s te verkleinen.

Sommige gegevensverwerkingen leveren een hoog privacyrisico op voor de betrokken personen. Dit betreft onder andere de verwerking van gezondheidsgegevens. Onder de AVG bent u in zo’n geval verplicht om een DPIA uit te voeren.

De verplichting om een DPIA uit voeren geldt niet:

  • Voor individuele zorgverleners.
  • Voor verwerkingen welke al plaatsvonden voor 25 mei 2018.


Hoe voldoet uw praktijk aan de AVG?
In de AVG staat een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht (accountability) voldoet. U voldoet aan de verantwoordingsplicht door een aantal documenten op te stellen en up-to-date te houden. Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.

Verplichte documentatie

  1. Het bijhouden van een register van verwerkingsactiviteiten.
  2. Het uitvoeren van een DPIA voor gegevensverwerkingen met een hoog privacyrisico.
  3. Het bijhouden van een register van datalekken die zijn opgetreden.
  4. Het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer u voor een verwerking toestemming nodig heeft.
  5. Wanneer onduidelijk is of u verplicht bent om een FG aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om al dan niet een FG aan te stellen.
  6. De verwerkingsverantwoordelijke (de praktijk) is verplicht om een verwerkersovereenkomst met een verwerker te sluiten.

Ad 1. Register van verwerkingsactiviteiten
De verplichting voor het opstellen en bijhouden van een register van verwerkingsactiviteiten geldt voor verantwoordelijken dus ook voor zorgpraktijken.

Het register van verwerkingsactiviteiten moet de volgende informatie bevatten

  • De naam en contactgegevens van de praktijk en van de FG indien van toepassing
  • De doelen waarvoor u persoonsgegevens verwerkt. Het doel is het verlenen van zorg.
  • Een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Dit zijn patiënten (of desgewenst cliënten)
  • Een beschrijving van de categorieën van persoonsgegevens. Een praktijk verwerkt gewone en bijzondere persoonsgegevens. De gewone zijn: NAW, geboortedatum, BSN, e-mail, etc. De bijzondere persoonsgegevens betreffen gezondheidsgegevens. U kunt hier ook vermelden dat u streeft naar dataminimalisatie, dat wil zeggen dat u geen informatie verwerkt die niet bijdraagt aan het doel waarvoor u persoonsgegevens verwerkt.
  • De datum waarop u gegevens moet wissen. Conform de Wgbo moeten patiëntengegevens 15 jaar worden bewaard. De fiscale bewaartermijn voor declaraties en facturen is 7 jaar.
  • De categorieën van ontvangers aan wie u persoonsgegevens verstrekt. Voorbeelden: huisarts/verwijzers, overige zorgverleners buiten uw praktijk, zorgverzekeraars, een landelijke database van uw beroepsgroep.
  • Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen. Verwijs hier naar een apart document ICT-beveiligingsbeleid. Hieronder zullen wij u een raamwerk verstrekken.

Ad 2. Document Data Protection Impact Assessment
Organisaties hoeven, zodra de AVG geldt, niet voor elk persoonsgegeven een DPIA uit te voeren. Een DPIA is alleen verplicht als de verwerking een hoog privacyrisico oplevert voor de betrokkenen. Dit is geval zodra de organisatie:

  • Systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling.
  • Op grote schaal bijzondere persoonsgegevens verwerkt.
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico. De Europese privacytoezichthouders hebben criteria opgesteld om het risico te bepalen. Daarnaast publiceert de Autoriteit Persoonsgegevens op termijn een lijst van verwerkingen waarvoor een DPIA verplicht is.

De verplichting om een DPIA uit voeren geldt niet:

  • Voor individuele zorgverleners.
  • Voor verwerkingen welke al plaatsvonden voor 25 mei 2018

Hoogstwaarschijnlijk is een van de uitzonderingen van toepassing op uw praktijk en hoeft u geen DPIA uit te voeren. U moet dit in het document uiteraard wel benoemen.

Ad 3. Register van datalekken
Een datalek is iedere inbreuk op de beveiliging waarbij persoonsgegevens verloren zijn gegaan, of ongeoorloofd zijn gewijzigd, verstrekt of ingezien. Bijvoorbeeld bij diefstal van een laptop met daarop een patiëntenbestand, een hack waarbij persoonsgegevens zijn buitgemaakt, of het verzenden van gegevens naar een foutief e-mailadres.

U moet de volgende informatie bijhouden van ieder datalek:

  • Een korte omschrijving van het lek.
  • Wanneer het plaatsvond.
  • Wat er met de gegevens is gebeurd (zijn ze verloren gegaan, of door een onbevoegde ingezien, gekopieerd of gewijzigd??
  • Van welke groep(en) personen er gegevens gelekt zijn, en om hoeveel personen het gaat.
  • Om welke soorten gegevens het gaat.
  • De (mogelijke) gevolgen van de inbreuk (bijvoorbeeld een risico op identiteitsfraude of reputatieschade).
  • De maatregelen die zijn genomen naar aanleiding van het lek. Welke actie is ondernomen om schade te voorkomen of zo veel mogelijk te beperken (bijvoorbeeld het op afstand wissen van gegevens, of het wijzigen van wachtwoorden)? Maar ook: wat heeft u gedaan om te zorgen dat het niet nog een keer kan gebeuren?

Het doel van het registreren is om ervan te leren en zodoende datalekken in de toekomst zoveel mogelijk te beperken. Tevens kan hiermee bij de Autoriteit Persoonsgegevens worden aangetoond dat de datalekken daadwerkelijk worden gemonitord en opgevolgd.

Moet ik elke inbreuk die ik registreer, ook melden?
Nee, dat hoeft niet altijd. Een inbreuk in verband met persoonsgegevens moet worden gemeld aan de toezichthouder, tenzij het lek geen risico oplevert (niet leidt tot negatieve gevolgen als identiteitsfraude of reputatieschade). In bepaalde gevallen moet u degenen over wie de gegevens gaan (de betrokkenen) op de hoogte stellen. Wij adviseren u om binnen 72 uur contact op te nemen met de autoriteit persoonsgegevens voor verdere instructie in het geval van een datalek.

Ad 4. Register toestemming verwerking persoonsgegevens
De wettelijke grondslag voor de verwerking van gewone en gezondheidsgegevens van patiënten wordt gevonden in de Wgbo of in het gerechtvaardigd belang. U hoeft dus geen specifieke toestemming te vragen aan uw patiënt.

Voor de doorgifte van persoonsgegevens aan derden kan dit wel het geval zijn. Voor het verstrekken van persoonsgegevens aan zorgverzekeraars heeft u geen toestemming nodig van de patiënt. Dit is wel het geval voor het verstrekken van persoonsgegevens aan huisarts/verwijzers en overige zorgverleners buiten uw praktijk. De wijze waarop toestemming wordt verkregen is vormvrij volgens de Wgbo en kan dus mondeling. De toestemming dient u wel vast te leggen in het dossier (een vinkje ‘toestemming’ in het dossier). Voor de afdracht van data aan een landelijke database van de beroepsvereniging heeft u geen toestemming nodig indien de gegevens geanonimiseerd worden. Dit is bijvoorbeeld het geval bij de landelijke database fysiotherapie.

Ad 5. Document Functionaris Gegevensbescherming
Op dit moment kunnen we alleen met zekerheid stellen dat een FG niet verplicht is voor een eenmanspraktijk. De zekerheid of de verplichting er is voor ‘grotere’ praktijken (met in ieder geval meer dan één zorgverlener in dienst) hebben we (nog) niet. Ergens tussen deze twee uitersten ligt het kantelpunt van wel of niet ‘op grote schaal’ verwerken van persoonsgegevens, maar tot op heden kan niemand (ook de Autoriteit Persoonsgegevens niet) aangeven waar dit kantelpunt precies ligt.

Wij adviseren u de beslissing om wel of geen FG aan te stellen op te schorten totdat er een eenduidige definitie van grootschalige verwerking is. U motiveert dit in het document.

Ad 6. Verwerkersovereenkomst met verwerker
Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken, moet u met deze organisaties een verwerkersovereenkomst afsluiten. Met een verwerkersovereenkomst sluit u uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken. Voorbeelden van verwerkers zijn: James Software, Exact Online en Twinfield, cloud software leveranciers van bijvoorbeeld salarissoftware, uw accountant of boekhouder, uw afsprakenbureau. Let erop dat uw externe afsprakenbureau geen gezondheidsgegevens kan inzien in uw praktijksoftware. In James is hierin voorzien.

U mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Als u de gegevensverwerking door een verwerker laat uitvoeren bent u nog steeds verantwoordelijk voor de naleving van de AVG.

In de verwerkersovereenkomst moeten de volgende onderwerpen worden vastgelegd:

  • Algemene beschrijving: een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).
  • Instructies verwerking: de verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
  • Geheimhoudingsplicht: personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
  • Beveiliging: de verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
  • Subverwerkers: u maakt afspraken onder welke voorwaarden de verwerker subverwerkers mag inschakelen. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.
  • Privacyrechten: de verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
  • Andere verplichtingen: de verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken en het uitvoeren van een DPIA.
  • Gegevens verwijderen: na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
  • Audits: de verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen.


Extra maatregelen
Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen waarmee u aantoont dat u voldoet aan de eisen van de AVG. Bijvoorbeeld:

  1. Het hanteren van een specifiek informatiebeveiligingsbeleid.
  2. Het publiceren van een privacyverklaring op de website van uw praktijk.

Hoewel deze maatregelen niet verplicht zijn volgens de AVG, helpen zij u wel om aan de toezichthouder te laten zien dat u voldoet aan de eisen van de AVG. Daarom moedigen wij deze vrijwillige maatregelen aan.

Ad 1. Informatiebeveiligingsbeleid
Informatiebeveiliging in de gezondheidszorg is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van patiënteninformatie:

  • Beschikbaarheid: de informatie moet op de gewenste momenten beschikbaar zijn.
  • Integriteit: de informatie moet juist en volledig zijn en de informatiesystemen moeten juiste en volledige informatie opslaan en verwerken.
  • Vertrouwelijkheid: de informatie moet alleen toegankelijk zijn voor degene die hiervoor bevoegd is.

Informatiebeveiliging heeft tot doel het optreden van bedreigingen die bovenstaande aspecten van de informatievoorziening kunnen schaden, te voorkomen en/of te beperken. Bedreigingen zijn er in vele vormen. Deze kunnen fysiek van aard zijn, zoals brand en wateroverlast of technisch, bijvoorbeeld in de vorm van storingen in programmatuur, apparatuur of de stroomvoorziening. Ook de mens vormt een bedreiging door onopzettelijk fouten en vergissingen te maken die de informatievoorziening verstoren of door opzettelijke kwaadaardige daden, zoals hacking, phishing, computervirussen, computerfraude, etc. De ervaring leert dat bedreigingen op dit terrein steeds vaker voorkomen en ook steeds geraffineerder van aard worden.

NEN7510 op hoofdlijnen
Hoewel de NEN7510 niet letterlijk in de AVG genoemd staat, blijven beveiligingsstandaarden belangrijk. Net zoals dat onder de huidige regels het geval is. Op dit moment geldt bijvoorbeeld dat u aan de NEN 7510 moet voldoen als u in de zorg het burgerservicenummer (BSN) verwerkt. Daarnaast staat in de huidige beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens dat verantwoordelijken beveiligingsstandaarden moeten volgen. Als voorbeeld van zo’n standaard noemt de Autoriteit Persoonsgegevens de NEN7510.

Iedere praktijk moet dus voldoen aan de norm voor informatiebeveiliging in de gezondheidszorg, de NEN7510. Om te beginnen moet een praktijk haar eigen informatiebeveiligingsbeleid formuleren. In het beleidsdocument worden onder andere de doelstellingen beschreven, het gehanteerde managementsysteem (Plan Do Check Act), de organisatie van de informatiebeveiliging en de gekozen risicomanagement methode.

Vervolgens voert u een risico-analyse uit en bepaald u per aandachtsgebied de risico’s. Per risico bepaald u de impact (hoog, midden, laag) en formuleert u passende maatregelen om ervoor te zorgen dat de risico’s zoveel mogelijk worden beperkt of uitgesloten. De risico-analyse en het formuleren van beheersmaatregelen past u toe op onder andere de volgende categorieën: Personeel (o.a. screening, bewustzijn informatiebeveiliging), Fysieke beveiliging (o.a. afgesloten serverruimte), Toegangsbeveiliging (o.a. wachtwoordbeheer, anti-virus software, pc gebruik), Beheer van uw praktijksoftware en de EPD’s van patiënten (o.a. maatregelen tegen hacking), Beheer van informatiebeveiligingsincidenten, Bedrijfscontinuïteitsbeheer (o.a. back-up procedure en controle op goede werking).

Het voldoen aan NEN7510 is zeker geen gemakkelijke taak. Als u helemaal wilt voldoen aan de norm zult u al snel 10 tot 15 documenten moeten opstellen en moet u kunnen aantonen dat u feitelijk met de norm werkt. Gezien vele verplichtingen waar een praktijk al aan moet voldoen lijkt dit praktisch onuitvoerbaar.

NEN7510 praktisch implementeren
De uitdaging voor een praktijk is hoe u aan de norm voor informatiebeveiliging in de gezondheidszorg kunt voldoen zonder bergen met werk te verzetten. Een aantal suggesties:

  • Zorg dat u zo min mogelijk patiëntgegevens opslaat binnen de muren van uw praktijk. Werk met webbased praktijksoftware die wordt aangeboden door een NEN7510 gecertificeerde leverancier. Het NEN7510 certificaat van James Software vindt u hier.
  • Creëer bewustwording binnen de praktijk ten aanzien van informatiebeveiliging. Het eigen personeel mag niet over het hoofd worden gezien. Een foutje zit in een klein hoekje. We noemen er een aantal: patiëntgegevens versturen via onbeveiligde mail of via websites voor bestandsuitwisseling zoals WeTransfer waarbij data buiten Europa opgeslagen kunnen worden; een briefje met inloggegevens op het beeldscherm, weglopen bij de computer zonder uitloggen; een computer bij het grofvuil zetten zonder de harde schijf (‘military grade’) te formatteren (is wissen); geen virusscanner actief; een laptop onderweg kwijtraken terwijl hij aan staat of als de harde schijf niet versleuteld is; etc. Maak afspraken over de omgang met patiëntgegevens, computers en smartphones. Zorg bijvoorbeeld dat medewerkers phishing mails leren herkennen en verbiedt het gebruik van USB-sticks. Leg de afspraken met uw personeel vast en notuleer het werkoverleg waarin informatiebeveiliging op de agenda staat.
  • Schaf de NHG-praktijkwijzer “Informatiebeveiliging in de huisartsenpraktijk” aan. Het Nederlands Huisartsengenootschap heeft de volstrekt ontoegankelijke teksten van de NEN7510 vertaald naar een praktische handleiding.
  • Technische maatregelen, wij bevelen de volgende aan:
    • Maak gebruik van 2 factor authenticatie in James.
    • Update het besturingssysteem van uw computer zodra deze beschikbaar komt.
    • Versleutel (encryptie) de harde schijf van laptops en desktops.
    • Gebruik een e-mail programma die het grootste deel van de phishing mails al onderschept. Wij bevelen Microsoft Office365 e-mail accounts en Gmail aan.
    • Gebruik een wachtwoordmanager zoals bijvoorbeeld Lastpass.
    • Gebruik naast een standaard virusscanner die virussen onderschept op basis van een database met bekende virussen ook een virusscanner zoals Malwarebytes die naar ‘gedrag’ kijkt en daarmee ook nieuwe virussen (‘zero days’) onderschept.
    • Verwijder het programma Abode Flash van uw computer.
    • Installeer een advertentieblocker (‘adblocker’).
    • Zet automatische updates aan voor het besturingssysteem (Windows en OSX), virusscanner en browsers (bijvoorbeeld Firefox en Chrome).
    • Gebruik alleen beveiligde WIFI-netwerken (lees netwerken waar u alleen op kan komen met een wachtwoord).
    • Als er geen beveiligde WIFI-verbinding beschikbaar is, maar bijvoorbeeld een publieke hotspot, maak dan een verbinding met VPN software (‘virtual private network’), hiermee zet u een beveiligde tunnel op.
    • Beveilig de website van uw praktijk met een SSL-certificaat (het ‘slotje’ in de browser). Indien patiënten persoonsgegevens op uw website achterlaten is dit echt een must.

Het periodiek controleren op naleving van organisatorische en technische maatregelen is een belangrijk onderdeel van het beveiligingsbeleid. Een checklist per medewerker in Excel is hierbij een handig hulpmiddel. Wij adviseren om de check tenminste iedere 6 maanden uit te voeren.

AD 2. Privacyverklaring
Wat moet er in een privacyverklaring staan?

  • Identiteit: de bedrijfsnaam zoals ingeschreven bij de KvK en contactgegevens
  • Rechtsgronden voor de verwerking: De rechtsgrond voor verwerking is de Wgbo. Beschrijf welke gegevens worden verwerkt en met welk doel.
  • Duur van de opslag: de persoonsgegevens mogen niet langer bewaard worden dan nodig. Leg uit hoe lang gegevens bewaard worden (15 jaar) of welke criteria de termijn bepalen (Wgbo).
  • Recht op inzage, rectificatie of wissen van de persoonsgegevens: vermeld zowel dat de betrokkene dit recht heeft als hoe ze het kunnen inroepen, bijvoorbeeld door naar een speciaal e-mailadres te mailen.
  • Klachtrecht: de betrokkene moet geïnformeerd worden dat en hoe er een klacht ingediend kan worden bij de Autoriteit Persoonsgegevens.

Op het internet zijn ondertussen vele voorbeelden van privacyverklaringen van zorgpraktijken te vinden.


Overige
U heeft in veel gevallen ook personeel in dienst. Ook de verwerking van personeelsgegevens valt onder de AVG. Om het makkelijk te maken hebben we een paar handige informatiebronnen voor u op een rijtje gezet:


Tenslotte
Al met al is deze handleiding toch een lijvig stuk geworden maar we gaan er vanuit dat we u hiermee toch van dienst zijn geweest. De implementatie van de AVG binnen uw praktijk is hiermee een stap dichterbij gekomen. Indien u naar aanleiding van bovenstaande vragen heeft kunt u deze mailen aan maarten@james-software.nl

Delen:
Sanne HeemskerkGoed voorbereid op de AVG in de zorgpraktijk