Inloggen

28 januari: Europese Dag van de Privacy

Hoe veilig zijn uw patiëntendata?

28 januari 2019 - Op 28 januari staan we in heel Europa even extra stil bij onze privacy. De Europese ‘Dag van de Privacy’ vraagt zo aandacht van burgers, consumenten en patiënten om na te denken over hun rechten. Tegelijkertijd worden we als zorgsector ook uitgenodigd om weer even na te denken over hoe wij de bescherming van patiëntengegevens kunnen verbeteren. Want de ontwikkelingen staan niet stil.

Waar kunt u als zorgverlener over nadenken deze dag?

Hoewel privacy in de medische wereld door het beroepsgeheim van oudsher hoog op de agenda staat, blijft uw aandacht ervoor nodig. Bij VvAA zien we twee belangrijke aandachtspunten:

  • Check de cyberveiligheid van uw organisatie
  • Hebt u de implementatie van de AVG op orde?

Check of de cyberveiligheid van uw organisatie beter kan

Nu de banken en verzekeraars flink werk hebben gemaakt van hun cyberbeveiliging is de zorg interessant geworden voor cybercriminelen. De grote hoeveelheid privacygevoelige gegevens blijkt ideaal chantage- en afpersingsmateriaal voor cybercriminelen. Grofweg hebben criminelen twee strategieën: ‘geef ons geld, anders gooien we alle gevoelige informatie die we hebben gestolen op straat’ of ‘Pas als u ons geld geeft, kunt u weer bij uw opgeslagen data.’ 

Het artikel gaat verder onder het kader


Zo brengt u uw digitale beveiliging op orde:

Cybercriminelen zoeken de weg van de minste weerstand. Als zorgonderneming kunt u zich dus effectief wapenen door uw beveiliging goed op orde te hebben:

  1. Zorg voor een goede firewall en beveilig uw data met antivirussoftware.
  2. Maak een dagelijkse back-up van uw data. Dan kunt u altijd bij uw gegevens.
  3. Houd alle software actueel door updates meteen door te voeren.
  4. Train uw personeel om mailtjes van criminelen te herkennen, zodat zij niet op linkjes klikken.
  5. Houd medewerkers geregeld op de hoogte van de cyberrisico’s die uw organisatie loopt en over wat zij ter preventie kunnen doen.
  6. Stel regels op voor medewerkers over wachtwoorden: deel wachtwoorden met niemand, ook niet met collega’s en gebruik alleen moeilijke wachtwoorden en wijzig deze regelmatig.
  7. Gaat personeel uit dienst? Vergeet dan niet hun toegangsrechten te vergrendelen.
  8. Steek geen onbekende usb-sticks in uw computer.
  9. Zorg voor een noodplan. Soms gaat het toch mis. Wees daarop voorbereid.
  10. Sluit een goede Cyber en Data Riskverzekering af. U wilt niet alleen een schade-uitkering als uw onderneming slachtoffer wordt, maar ook direct hulp van cyberexperts die u kunnen bijstaan.
  11. Werk volgens de norm NEN 7510. Uw zorgonderneming wisselt hoogstwaarschijnlijk ook elektronisch patiëntgegevens uit met andere partijen. Dat betekent dat u verplicht moet werken op basis van de Nederlandse norm voor dataveiligheid in de zorg, de NEN 7510. Daarmee voert u alle maatregelen door die u als zorgonderneming moet hebben om de dataveiligheid van uw patiënten te waarborgen.



Hoe gaat het met de AVG? Tips & trucs

Sinds vorig jaar mei moet uw zorgonderneming zich aan precies dezelfde privacyregels houden als alle overheden, bedrijven en andere organisaties in de EU. De AVG wil dat u nadenkt over beleid, procedures en registraties. Daarnaast eist het bewijs dat u het beleid, de procedures en registraties toepast. Belangrijkste documenten daarbij zijn de werkgeversovereenkomst, en het verwerkersregister.

Tips voor de verwerkersovereenkomst

De verwerkersovereenkomst is een overeenkomst tussen uw zorgonderneming en een partij waarmee u privacygevoelige informatie uitwisselt:

  • De overeenkomst hoeft niet te lang te zijn.
  • Onleesbare juridische teksten zijn onnodig.
  • Een overeenkomst waarbij aansprakelijkheden van de verwerker worden uitgesloten is juridisch ontoelaatbaar. Die hoeft u dus niet te ondertekenen. Als opdrachtgever kunt u dan gewoon uw eigen verwerkersovereenkomst voorleggen aan uw toeleverancier. U bent opdrachtgever, dus u mag best eisen stellen.
  • Een overeenkomst met ZZP’ers of ingehuurde medewerkers is niet nodig. Een goede geheimhoudingsverklaring gekoppeld aan of binnen de arbeidsovereenkomst is genoeg.

 Tips voor het verwerkersregister

Hebt u een tijdrovende Excel-overzicht gemaakt met al te gedetailleerde omschrijvingen? Dan kan het vast eenvoudiger. Uw verwerkersregister mag gewoon een eenvoudig en helder A4-tje zijn. U vermeldt de soort gegevens die u bijhoudt. Bovendien staat er een opsomming op van de partijen waarmee u persoonsgegevens deelt en uitwisselt. U hoeft uw verwerkersregister alleen aan te passen als er een wijziging is in uw verwerkers. Of als u nieuw soort persoonsgegevens wilt gaan gebruiken.

Een laatste tip

Vindt u het doorvoeren en bijhouden van de AVG en de NEN 7510 een gedoe? Dan is het VvAA Privacypakket Compleet wellicht iets voor u. Daarmee wordt u aan de hand genomen bij het invoeren en het blijvend toepassen van de AVG en de norm NEN 7510. Voordeel van het werken met dit online kwaliteitssysteem is dat verschillende medewerkers uw privacy- en dataveiligheidsbeleid kunnen doorzetten, mocht de hoofdverantwoordelijke uitvallen. Want alle gegevens die u nodig hebt, staan online bij elkaar in het VvAA Privacypakket. 

Share op Whatsapp Share op Facebook Share op Twitter Share op LinkedIn Stuur via email

Over de auteur

Marco Seldentuis | VvAA
Marco Seldentuis

Ledenadviseur

Ondersteunt bij zorginnovaties en digitalisering. Hij schreef deze tekst in samenwerking met Waveland (organisatie voor dataveiligheid).

marco.seldentuis@vvaa.nl