AVG: De 7 meest gemaakte privacyfouten

Op 25 mei moet uw praktijk of zorgonderneming kunnen aantonen dat u voldoet aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Jan de Jager, riskmanager bij VvAA, heeft vanuit de invalshoek ’beveiliging van persoonsgegevens’ zijn top-7 van privacyfouten voor u op een rij gezet.

Goed om over na te denken als u uw praktijk AVG-proof gaat maken:

1. Niet goed weten wat een datalek is

Voor de AVG is een datalek niet alleen het op straat komen te liggen van patiëntendossiers. De AVG ziet ook het onrechtmatig verwerken of wissen van gegevens als een datalek. Een aantal concrete voorbeelden van datalekken:

  • verlies van een USB-stick;
  • diefstal van een mobiele telefoon of laptop;
  • een hack van uw netwerk of PC;
  • het delen van persoonsgegevens met een partij waarmee u geen verwerkingsovereenkomst hebt gesloten;
  • persoonsgegevens blijken via de mappenstructuur ook toegankelijk voor niet-geautoriseerde personen;
  • verlies van de gegevens door ransomware;
  • het versturen van vertrouwelijke gegevens naar een verkeerd post- of mailadres;
  • patiënt- of personeelsgegevens, bij het oud papier in een niet-beveiligde papierbak;
  • per ongeluk verkeerde mensen in de CC van een mail zetten;
  • en bestand dat zonder de juiste voorzorgsmaatregelen en versleuteling digitaal is verstuurd.
U moet alle datalekken in uw praktijk documenteren. Een ernstig datalek, moet u melden bij de Autoriteit Persoonsgegevens. In de meest ernstige gevallen zult u ook de betrokken patiënten of personeelsleden moeten inlichten.

2. Niet goed weten wat gevoelige informatie is.

Als arts gaat u uiteraard secuur om met patiënt- en behandelgegevens. Uw personeel doet dat waarschijnlijk ook. Maar het is belangrijk voor u en uw personeel om te weten dat de AVG het begrip ‘persoonsgegevens’ breed interpreteert. Bij de AVG gaat het om “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”:

  • Het gaat daarbij uiteraard om alle gegevens die direct herleidbaar zijn tot een persoon (naam en adres zitten erbij).
  • Maar het gaat ook om alle gegevens die indirect herleidbaar zijn tot een persoon (als het bijvoorbeeld gaat over de enige mannelijke praktijkassistent).
  • Het gaat bovendien niet alleen over patiëntgegevens, maar ook over personeelsgegevens die u verwerkt.
  • Het gaat dus over alle gegevens die u van uw personen vastlegt, van contactgegevens en BSN tot de afspraken in uw agenda.
 

3. Niet weten waar al uw gegevens opgeslagen zijn

‘Het staat in het systeem’. Maar waar slaat dat systeem uw data op? Staat het op uw laptop, dan is het verstandig om encryptie te gebruiken. Staan ze in de 'cloud'? Dan is het vanuit privacy-oogpunt relevant dat die clouddienst de gegevens binnen de EU opslaat. Bij Google, Amazon, Dropbox is dat bijvoorbeeld niet altijd het geval. Meestal is het verstandig om voor de zakelijke variant van internetdiensten te kiezen. Daarin wordt vaak al rekening gehouden met het aspect van locatie van de opgeslagen data.

4. Niet weten wie er allemaal bij de gegevens kunnen

Hebt u alles zo georganiseerd dat de data binnen uw praktijk alleen toegankelijk is voor degenen die er vanuit hun rol mee moeten werken? Niet iedereen op het netwerk hoeft erbij te kunnen, niet waar? Een administratief medewerker die voor u factureert hoeft niet alle cliëntgegevens in te zien. U kunt de gegevens eenvoudig beschermen met een heldere toegangsrechten-structuur.

5. Niet weten met wie de gegevens worden gedeeld

Heeft u een volledig in beeld van welke gegevens waar en door wie worden verwerkt? Gegevens kunnen immers gebruikt of verwerkt worden door mensen die niet bij u in dienst zijn. Denk aan uw boekhouder of een ict’er die uw gegevens omzet naar een ander systeem. Daarom bent u vanuit de AVG verplicht om een zogenaamde verwerkersovereenkomst of een geheimhoudingsverklaring met hen te sluiten. Deze overeenkomst moet borgen dat de verwerkers ook zorgvuldig omgaan met persoonsgegevens waarvoor u verantwoordelijk bent.

6. Niet weten hoelang u de gegevens mag of moet bewaren

Volgens de AVG bent u vrij in de keuze van de bewaartermijn van persoonsgegevens. Maar daar moet u wel een goede, sluitende argumentatie bij hebben. Er zijn ook wettelijke bewaartermijnen, zoals de belastingwetgeving en de Wet op de geneeskundige behandelingsovereenkomst (Wgbo). Voor de Wgbo is de wettelijke bewaartermijn vijftien jaar "of zoveel langer als uit de zorg van een goed hulpverlener voortvloeit".

Hou bij het opslaan van data al rekening met het wissen van de data. Data die u niet meer nodig hebt, moet u vernietigen. Daarom kan het handig zijn om de gegevens zo op te slaan dat u ze groepsgewijs, bijvoorbeeld op jaar, kunt wissen.

7. Te weinig oog hebben voor de risico’s die u loopt met software en IT-systemen

Preventieve maatregelen bij het borgen van privacy zijn enorm belangrijk:

  • Niet meer doen: een post-it met inloggegevens op het scherm plakken.
  • Gebruik altijd de laatste versie van de software die uw praktijk gebruikt. Download dus alle updates en patches zodra deze beschikbaar komen. Zo blijft uw software het meest veilig.
  • Stel regels op waaraan iedereen zich aan houdt als ze omgaan met uw cliëntgegevens. Ga bijvoorbeeld werken volgens de norm NEN 7510. En zorg ervoor dat iedereen die regels kent.
  • Denk bij uitwisseling van gegevens goed na of de persoonsgegevens wel nodig zijn.  Anonimiseer gegevens als dat mogelijk is, zodat ze niet meer tot een persoon te herleiden zijn.
  • Gebruik encryptie van gegevens bij het elektronisch uitwisselen (e-mail, DropBox, iCloud) en bij gebruik van losse gegevensdragers (USB-stick, externe harddisk).
  • Gebruik sterke wachtwoorden. Deel uw wachtwoord met niemand. Vervang 'default' wachtwoorden altijd.
  • Maak regelmatig backups van de belangrijke gegevens, zoals persoonsgegevens. En bewaar die backups apart, dus niet op het netwerk of de PC zelf. Dit in verband met ransomware.
  • Zorg dat alle apparatuur en software up-to-date is met alle actuele beveiligings-patches.
  • Zorg dat persoonsgegevens niet ongemerkt automatisch worden gesynchroniseerd naar cloud-opslag (iCloud en OneDrive).
  • Overweeg een cyber- en datariskverzekering. Er zijn verzekeringen waarmee u, los van het dekken van de eventuele financiële schade, ook hulp krijgt als u zelf niet in staat bent om het probleem op te lossen.

Meer weten over de AVG?

avg stethoscoop met patiënt gegevens privacy

Wat kunt u van VvAA verwachten?

VvAA informeert u de komende tijd regelmatig over wat de AVG betekent voor uw praktijk. In aanvulling hierop kunt u bij VvAA terecht voor advies en begeleiding voor maatwerk, bijvoorbeeld voor de aanpassing van werkprocessen en documenten en de voorlichting aan personeel. Daarnaast biedt VvAA als vangnet een cyberverzekering

Wat doet VvAA zelf?

De AVG heeft grote impact op financiële dienstverleners zoals VvAA. Wij kunnen ons bedrijf niet uitvoeren zonder bepaalde persoonsgegevens te verwerken. Onze visie op privacy vindt u in ons privacybeleid

Implementatie AVG op koers

Om ons tijdig op de eisen van deze privacywet voor te bereiden heeft VvAA een multidisciplinair AVG-projectteam opgericht, waar ook onze Functionaris Gegevensbescherming (privacy officer) deel van uitmaakt. Met deze multidisciplinaire aanpak verloopt onze dienstverlening per 25 mei 2018 conform de AVG. 

Uw privacy goed geregeld

De bescherming van de privacy van onze leden, klanten en bezoekers van onze website is voor ons van essentieel belang. Voor vragen of opmerkingen over ons privacybeleid kunt u mailen met onze privacy officer via privacy@vvaa.nl