De AVG in de praktijk

Op 25 mei 2018 was het dan zo ver. Toen ging de Algemene verordening gegevensbescherming (AVG) in, waarmee de regels rond de bescherming van persoonsgegevens worden aangescherpt. De verordening eist dat praktijken organisatorische en technische maatregelen moeten hebben genomen om aan deze regels te voldoen. 

In de praktijk blijkt dat informatiebeveiliging voor 80% te maken heeft met mensen en organisatie: bewustwording binnen het team om veilig te werken. Juist daarom worden in dit artikel vooral praktische, laagdrempelige tips gegeven voor meer bewustwording waarmee elke praktijk direct aan de slag kan gaan. Helaas blijkt uit recente controle van de Autoriteit Persoonsgegevens dat nog lang niet iedere praktijk voldoet aan deze nieuwe regelgeving. Er komt niet alleen heel wat kijken bij het opnieuw inrichten van uw IT-infrastructuur, maar ook organisatorisch.

 

Vooralsnog hebben deze onderzoeken niet geleid tot ingrijpende financiële sancties. De eerste boete die in Nederland onder de AVG-regels is uitgedeeld bedraagt 600.000 euro wegens het te laat melden van een datalek. Vergis u dan ook niet in de term datalek. Een datalek hoeft niet persé te betekenen dat u per ongeluk een verkeerde röntgen foto met BSN naar de verkeerde persoon heeft gestuurd. Ook als uw IT infrastructuur te kampen heeft gehad met een ransomware infectie dan is er al sprake van een datalek.

Daarom dient uw systeem uitermate goed beveiligd te worden en dienen uw medewerkers goed van instructies te worden voorzien hoe om te gaan met de AVG.

Voorkomen is beter dan genezen

Uit ervaring blijkt, dat de praktijken die eerder schade hebben opgelopen hun ICT maatregelen het beste hebben doorgevoerd. De schade van een crash, van het verlies van data of ‘ransom ware’ kunnen namelijk grote vormen aannemen. Als men dit een keer heeft meegemaakt, dan is de bewustwording groot om vervolgens vergevorderde en adequate maatregelen te nemen. Echter, praktijken die een dergelijke schade nooit hebben ervaren, zien lang niet altijd de noodzaak om maatregelen rondom informatiebeveiliging te nemen. Laat staan, dat zij er de financiële middelen voor willen vrijmaken. Maar ook hier geldt – net als voor het verlenen van tandheelkundige zorg: ‘voorkomen is beter dan genezen’.

Je weet niet wat je niet weet!

De reden voor een lage bewustwording op dit onderwerp is, dat praktijkhouders vaak denken dat alles goed geregeld is zolang er niks mis gaat. Iedere persoon en elke organisatie loopt echter continu een risico. Bijvoorbeeld misbruik of diefstal van persoonsgegevens, hacking of ‘ransom ware’. Zolang het gevaar of de crimineel niet bij jezelf toeslaat, lijkt het alsof alles veilig is. Je weet alleen niet, dat de risico’s soms heel dichtbij zijn.

Vijf tips om vandaag mee te beginnen

Wat betekent aantoonbaar maken? Praktijkhouders moeten aantoonbaar maken hoe en wat zij doen om de privacy van hun patiënten te kunnen blijven borgen. Dit is dus niet 1 keer iets doen, maar een continu proces binnen de dagelijkse praktijkvoering. Waar te beginnen? Om het zo praktisch mogelijk te maken hier een vijftal tips onder drie hoofdonderdelen waar u vandaag nog mee kunt beginnen:

  1. Plan uw eerste risico-evaluatie met het hele team en voer een structureel werkoverleg in met ‘informatieveiligheid’ als vast item op de agenda.
  2. Werk uw informatieveiligheidsbeleid uit en zorg voor een levend document.
  3. Voer een clean-desk policy in en laat geen wachtwoorden rondslingeren op prikborden of op notities achter de receptie/balie.
  4. Breng leveranciers in kaart, maak afspraken en leg deze vast in bewerkersovereenkomsten.
  5. Wees zeer terughoudend met het versturen van patiëntgegevens via e-mail.
  1. Schakel een IT-expert in om uw infrastructuur en beveiliging te checken en te upgraden.
  2. Vergrendel computers en pas uw wachtwoordbeleid aan (langere wachtwoorden en regelmatig vervangen).
  3. Breng scheiding aan tussen patiëntgegevens en bedrijfskritische informatie.
  4. Installeer firewall, antivirusprogramma’s en laat software-updates niet te lang liggen.
  5. Schakel computers uit als u ’s avonds naar huis gaat en werk vanuit huis alleen via VPN.
  1. Leg een verwerkingsregister vast
  2. Registreer beveiligingsincidenten
  3. Meld datalekken aan AP en betrokkenen
  4. Denk na over de rol van de FG
  5. Geef concreet invulling aan de rechten van betrokkenen
Melden en bijhouden datalek

Een aantal verplichtingen uit de huidige Wet bescherming persoonsgegevens (Wbp) komt weer terug in de AVG. Net als onder de Wbp bent u gehouden om een datalek te melden bij de Autoriteit Persoonsgegevens (AP). Daarbij moet u een datalekregister bijhouden met de voorgevallen datalekken, inclusief datalekken die u (weloverwogen) niet gemeld heeft. We kunnen bijvoorbeeld denken aan een hack van een systeem of een verloren USB-stick met daarop privacygevoelige patiënteninformatie. Het is dus van groot belang dat alle medewerkers binnen uw organisatie zich hiervan bewust zijn en weten wat zij moeten doen als er zich een datalek voordoet. Het is daarom belangrijk dat hierover in de praktijk afspraken gemaakt worden en vooral dat men zich bewust is van de risico’s hieromtrent.

Privacygevoelige informatie: Do’s
  • Als u privacygevoelige informatie meeneemt op een USB-stick, is het belangrijk dat deze versleuteld is. De meest veilige manier om privacygevoelige informatie te ‘transporteren’ is echter gebruik te maken van de hieronder genoemde mogelijkheden en te zorgen voor een goede betrouwbare back-up oplossing. Een goede maatregel is het gebruik maken van ZorgMail om gegevens uit te wisselen met collega’s binnen de zorgsector.Software voor opslag en verwerking van patiëntengegevens kunt u het beste overlaten aan een gecertificeerd bedrijf (het gaat hier om certificering op basis van de normen NEN 7510 of ISO 27001). U bent er dan verzekerd dat het goed geregeld is.
  • Het is in ieder geval belangrijk dat u een bewerkingsovereenkomst afsluit met de bedrijven die toegang hebben tot uw patiënteninformatie.Het is voor de bewustwording van de medewerkers binnen uw praktijk belangrijk om de risico’s in kaart te brengen van processen waar gegevensuitwisseling van patiënten plaatsvindt. Zo kunnen er gerichte organisatorische en technische beveiligingsmaatregelen genomen worden.Besteed een praktijkvergadering aan dit thema. Ga eens stapje voor stapje na wat er met een patiënt gebeurt vanaf inschrijving, welke reis hij maakt; Patiëntenaanmelding, inschrijving, afspraak maken, herinneringsmail, uitschrijving. Ga per processtap na wat er fout kan gaan als het gaat om waarborging van de privacy. Als er bijvoorbeeld een herinnerings-smsje verstuurd wordt aan de patiënt en de patiënt heeft inmiddels een ander nummer. Hoe kan dit voorkomen worden? Door bijvoorbeeld regelmatig de gegevens van de patiënt te checken enerzijds en anderzijds de patiënt er zelf op te attenderen veranderingen in persoonlijke gegevens door te geven.
  • Registratie van de incidenten op het vlak van informatiebeveiliging is belangrijk voor het ‘leereffect’ binnen de praktijk. Het gaat dan bijvoorbeeld om datalekken op kleine schaal – zoals het hierboven genoemde voorbeeld van verzending van een herinneringsbericht aan het oude mobiele nummer van een patiënt. Datalekken op kleine schaal hoeft u niet te melden bij de Autoriteit Persoonsgegevens.
  • Maak een privacybeleid, dit kunt u toevoegen aan het beleid wat u al voor de praktijk gemaakt heeft.
  • Maak een overzicht van wie bevoegd is om welke gegevens te bewerken en te bekijken. Dit kunt u ook toevoegen aan een functieprofiel.
  • Maak een protocol ‘Datalekken’ waarin u beschrijft hoe iedereen om moet gaan met een datalek.
  • Een datalek dient onverwijld en binnen 72 uur gemeld te worden aan het meldloket van de Autoriteit Persoonsgegevens.
Privacygevoelige informatie: Dont’s
  • Verstuur geen persoonsgegevens via WhatsApp, gratis e-mailaccounts of gratis opslag in de Cloud.
  • Meld niet zomaar alles om het maar te melden. Maak goed gebruik van deze beslisboom van de Autoriteit Persoonsgegevens Datalekken Do’s & Dont’s
  • Neem bij twijfel contact op met een adviseur.
  • Ga niet te nonchalant om met gevonden lekken. De praktijkeigenaar blijft ten allen tijde verantwoordelijk en zal ook ter verantwoording geroepen worden bij niet gemelde ernstige lekken.
  • Ga niet één onderdeel heel goed beveiligen en denken dat dit afdoende is. Het gaat immers om het geheel.
  • Neem niet zomaar een cybercrimeverzekering tegen datalekken. Blijf bewust afwegen wat het risico is en wat de impact daarvan kan zijn. Tegen enkele zaken kunt u zich wellicht verzekeren, blijf echter alert op de kleine (dekkings)regeltjes.
  • Wees niet naïef door te denken dat een datalek alleen maar in een systeem, bijvoorbeeld ransomware, kan plaatsvinden. Datalekken kunnen een praktijk in iedere vorm overkomen. Van verlies van een telefoon, tot ontvreemding van poststukken en dergelijke.
 
 
Bron : Autoriteit Persoonsgegevens
datalekken schema
Meer controle is een concurrentievoordeel

Is er nu veel veranderd sinds mei?  Ja, maar het goede nieuws is dat de meeste bedrijven zich er bewust van zijn geworden dat er voorzichtig omgegaan moet worden met data. De AVG heeft ervoor gezorgd dat bedrijven die compliant zijn, een overzicht hebben van de data. Ze weten waar wat is opgeslagen en hebben meer controle.

Dat is een concurrentievoordeel. De consument zal niet zo snel kiezen voor een bedrijf dat steken laat vallen op het gebied van dataprivacy. Een organisatie heeft dus niet alleen boetes te vrezen, maar kan ook reputatieschade oplopen als ze niet voldoet aan de AVG.

Consumenten hebben op hun beurt veel meer waarborgen. Ze hebben het recht om informatie op te vragen en een pressiemiddel, omdat ze klachten kunnen indienen bij de Autoriteit Persoonsgegevens. Tegelijkertijd ontstaat daar ook een dilemma, aan de ene kant zijn wij als consumenten bang voor de groeiende marktmacht van grote dataverzamelaars, maar we kunnen eigenlijk ook niet zonder het gemak van hun producten of diensten. En we vinden het ook wel makkelijk om aanbiedingen te krijgen die bij onze interesses aansluiten.

Daar wringt de AVG inmiddels. De aangescherpte wetgeving werpt deels een dam op voor gegevens die we wel willen delen. We zullen eerlijker moeten worden over waartegen we wel en waartegen we niet beschermd willen worden. Werd het privacydebat tot nu toe beheerst door angst voor het onbekende, we zullen moeten toegeven dat hedendaagse dataprivacy soms een uitruil is waarbij je concessies moet doen.

Hoe blijft u compliant?

Wanneer u gebruikt maakt van ons Totaal ontzorgd abonnement bent u hiermee ook ontzorgd. U hoeft namelijk niets te doen. Wij zorgen dat u compliant blijft. Momenteel merken we, dat het grootste vraagstuk dat nu bij bedrijven leeft  is hoe je ervoor kunt zorgen dat je compliant blijft. 

Het belangrijkste daarbij is data privacy goed te beleggen in de organisatie. Zorg dat alle partijen, van de IT-afdeling tot marketing, bij elkaar aan tafel zitten om te zorgen dat alle processen en procedures op orde zijn. Stel iemand aan die is belast met privacy, ook als het niet verplicht is. Is de respons op databreuken up-to-date? Weet iedereen binnen de organisatie wat hij of zij moet doen als er een incident is?

Belangrijk is ook dat privacy naar aanleiding van de AVG ook op de agenda van de toezichthouders komt te staan. De raad van commissarissen is immers ook verantwoordelijk voor de naleving van wet- en regelgeving. Ze moeten weten welke vragen ze moeten stellen om te controleren of een organisatie voldoet aan de AVG. Organisaties en bedrijven die zo te werk gaan en begrijpen wat consumenten willen weten over hun gegevens, winnen het (digitale) vertrouwen van de klant.

AVG Quickscan

Heeft u uw praktijk opnieuw ingericht en wenst u zekerheid dat u of uw huidige IT-beheerder alles conform deze regelgeving heeft uitgevoerd, doe dan nu een AVG QuickScan.

De QuickScan omvat het verzamelen van de benodigde gegevens om overeenstemming te kunnen realiseren met de privacy wetgeving en een risicoanalyse van de ICT en netwerkinfrastructuur. U ontvangt een rapportage van onze bevindingen.

Vergis u niet. Iets simpels als het delen van uw wifi verbinding in uw praktijk, het laten zitten van de uzi-pas in de kaartlezer, of het niet in orde hebben van beveiligde back-ups kan al een reden voor een datalek worden.

Heeft u nog niets geregeld of bent u nog niet zo lang zelf uw praktijk gestart en heeft u hulp hierbij nodig, dan helpen wij u graag verder.