Kennisitem privacywetgeving

Publicatiedatum: 16 april 2018

Onderwerpen

  • Wettelijke kaders
  • Organisatorische en technische maatregelen
  • Eisen aan de Functionaris Gegevensbescherming
  • Eisen aan medewerkers en de arbeidsovereenkomst
  • Eisen aan ICT en het sluiten van overeenkomsten met leveranciers
  • Stappenplan en verplichte documenten / registraties
  • Definities, bijv. het verschil tussen een beveiligingsincident en datalek

Toelichting wettelijk kader / eis / richtlijn

De Algemene Verordening Gegevensbescherming gaat bijna officieel in. In deze nieuwsbrief staat veel informatie over de eisen vanuit deze wet, maar ook vanuit andere wettelijke kaders die er bij horen, zoals de Wet Datalekken.

U krijgt praktische informatie waarmee u direct aan de slag kunt in de praktijk.

In deze nieuwsbrief ook de manier waarop u met de NEN 7510 aan de slag kunt gaan en waar u op moet letten bij het gebruik van software.

Voor alle eisen waar u aan moet voldoen kunt u documenten bij ons bestellen. We voeren ook interne audits uit op basis van de NEN 7510 en wettelijke kaders.

van wet naar praktijk

OVER DE WETten

De eisen aan organisaties in relatie tot de Privacywetgeving worden strenger. U moet niet alleen aantonen dat u technische en organisatorische maatregelen neemt om gegevens te beveiligen, maar bijvoorbeeld ook een Functionaris Gegevensbescherming benoemen.

De rechten van cliënten zijn steviger verankerd in deze wet.

De privacyrechten van cliënten worden hiermee vergroot en daarnaast moeten organisaties organisatorische en technische maatregelen nemen.

De eisen in het kort per wet

Vanuit deze wetgeving bent u verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Dit gaat niet over beveiligingsincidenten. Zie verderop onze definities.

Versleutelde gegevens zoals bijv. gebruikers-ID, klantnummer, e-mailadres. Het is niet direct herleidbaar, maar wel de koppelen aan een individu. Valt onder de AVG

Vanaf 1 januari 2018 is dit besluit geldig. Het besluit stelt eisen aan functionele, technische en organisatorische gegevensuitwisseling:

  • Verplicht is implementatie van de NEN 7510 norm, veilige verbindingen conform de NEN 7512 norm en logging moet voldoen aan de NEN 7513
  • Bij grootschalige verwerking is een Functionaris Gegevensbescherming verplicht

Privacybescherming

  • Alleen met toestemming mogen gegevens aan derden verstrekt worden.
  • Gegevens mogen alleen beschikken over gegevens wanneer ze direct betrokken zijn bij de hulpverlening.
  • Er zijn uitzonderingen in het kader van wetenschappelijk onderzoek voor het delen van informatie met derden

Bewaartermijnen
De bewaartermijn van dossiers is tot 15 jaar na einde zorg. Hier kunnen uitzonderingen op gemaakt worden:

  • langer bewaren in het kader van goed hulpverlenerschap
  • belang voor andere vanwege erfelijke aandoeningen
  • bij anonimiseren kan het langer dan 15 jaar bewaard worden in het kader van wetenschappelijk onderzoek bijvoorbeeld
  • Gedwongen opname > bewaartermijn van 5 jaar na beëindiging van de gedwongen opname

Bopz
Binnen de Bopz kan niet om vernietiging gevraagd worden voor het einde van de wettelijke bewaartermijn.

  • E-mailverkeer
  • Cookiebeleid
  • Telemarketing

De NEN 7510 bevat normen voor de beveiliging van informatie die wordt verwerkt door zorgorganisaties. Het is van belang dat u deze normen implementeert binnen uw organisatie.

Toelichting

Wat vraagt de Wet precies van u?

U moet vanuit de AVG technische en organisatorische maatregelen nemen ter beveiliging van gevoelige gezondheidsinformatie. Dit gaat niet alleen over cliëntgegevens, maar bijvoorbeeld ook over gegevens van medewerkers.

Onderstaande beleidsonderwerpen zijn allemaal onderdeel van ons beveiligingsbeleid. Klik hier om het document te bestellen.

Enkele voorbeelden van maatregelen

Door middel van autorisatiebeleid en het regelen van toegang op verschillende niveaus door het instellen van rollen of gebruikersgroepen kunt u toegangsrestricties beter naleven.

Het is ook van belang dit vast te leggen voor tijdelijk personeel, vrijwilligers en medewerkers die uit dienst gaan.

In dit beleid kunt u vastleggen wat u verwacht van medewerkers bij het beschermen van onbevoegde toegang op de werkplek of op apparaten. Denk hierbij ook na over regels voor thuiswerken of inloggen in een zorgsysteem via een telefoon of tablet.

Wanneer medewerkers vanuit huis werken of op flexplekken is het van belang hier afspraken over te maken en maatregelen te nemen om apparaten en toegang tot gegevens op afstand te blokkeren.

Maak regels voor wachtwoordbeleid. Dwing bijvoorbeeld het gebruik van sterke wachtwoorden af.

Stel beleid vast voor het gebruik van (zakelijke) mail. Ons advies is om privacygevoelige gezondheidsinformatie te versturen als de data versleuteld is.

Met een autorisatiematrix brengt u in kaart welke groepen bepaalde toegangsrechten hebben. Ook is het belangrijk om de toegang en autorisatie via 1 punt binnen de organisatie te regelen, zodat er toezicht kan worden gehouden op het gebruik van verschillende programma’s. Medewerkers hebben vaak meerdere soorten inlog. Belangrijk is dat u de identiteit moet kunnen vaststellen.

 

Wanneer medewerkers toegang hebben tot softwareprogramma’s met privacygevoelige informatie, is het belangrijk dat er logfiles worden aangemaakt. Zo heb je inzicht in de acties en het gebruik door de persoon die inlogt.

Dit is ook belangrijk wanneer cliënten een eigen inlog hebben. Je moet de identiteit vast kunnen stellen.

De beveiliging van uw netwerk moet aan bepaalde eisen doen. Wanneer dit wordt beheerd via een ICT bedrijf is het ook van belang een verwerkersovereenkomst te sluiten. Ze beheren vaak de volledige toegang en hebben daarmee ook inzage.

U kunt documenten extra beveiliging door versleuteling van bestanden. Hier zijn verschillende mogelijkheden voor. Heeft u een online Documenten Systeem? Dan kunt u dit waarschijnlijk via uw applicatie instellen. Stel regels op voor de opslag van documenten op de eigen computer. Belangrijke gegevens mogen niet verloren gaan. Zie ook back-up beleid.

Het is belangrijk dat zowel software als uw computer en andere apparaten beschermd zijn tegen  virussen. Ook wanneer medewerkers hun eigen telefoon gebruiken is het van belang hier intern afspraken over te maken.

Van belang is dat u informatie geeft via de website op welke wijze u gegevens verzameld, bijv. cookiebeleid, maar ook wat u doet met de gegevens die u via een webformulier heeft verzameld. Zorg dat bezoekers weten wat het doel is en maak het mogelijk dat ze ondubbelzinnige toestemming kunnen geven voor verwerking.

Van belang is dat u een Privacystatement op uw website plaatst.

Door een SSL certificaat op uw website worden gegevens versleuteld verzonden.

Met Google Analytics volgt u surfgedrag van bezoekers. U valt dan ook onder de Privacywetgeving. Door middel van een cookiebeleid op uw website kunt u bezoekers informeren.

Door een overzicht van bedrijfsmiddelen met onderhoudseisen en de verantwoordelijke vast te leggen heeft u inzicht en kunt u inzicht geven in de wijze waarop bedrijfsmiddelen beheerd worden. Hier vallen ook softwareprogramma’s en apparaten zoals computer, telefoon en/of tablet onder.

U kunt een overzicht bedrijfsmiddelen bij ons bestellen.

Wanneer medewerkers een bedrijfsmiddel in gebruik nemen is het belangrijk dat u dit vastlegt in een overeenkomst. Hierin kunt u het gewenste gebruik en de eisen voor onderhoud in opnemen.

U kunt dit formulier bij ons bestellen.

Medewerkers moeten instructies krijgen over de eisen die u als organisatie aan ze stelt. Wij hebben hier een gedragscode privacy voor opgesteld. Medewerkers moeten deze ook ondertekenen.

Bij diefstal van apparaten zijn er een aantal preventieve maatregelen die u kunt nemen om het verlies van gegevens of onbevoegde toegang te beperken. Dit kan bijvoorbeeld door instellingen aan te zetten om een apparaat op afstand te vergrendelen.

Toelichting

technische & organisatorische maatregelen

Als organisatie moet u technische en organisatorische maatregelen nemen om gegevens te beschermen

functionaris
gegevens-
bescherming

De gegevensfunctionaris houdt toezicht op het verwerken van persoonsgegevens. De FG is verplicht voor zorgorganisaties.Het is ook verplicht voor:

  • Overheidsinstanties / overheidsorganen
  • Bij het verwerken van bijzondere persoonsgegevens
  • Organisaties die verantwoordelijkheden of bewerkers vertegenwoordigen.
  • Als de kernactiviteiten draaien om gebruik van persoonsgegevens.

Wat doet de FG?

  • Bewustwording en training binnen de organisatie en bij medewerkers over privacy-eisen
  • Toezien op naleving van de wettelijke eisen en privacyregels binnen de organisatie
  • Actuele ontwikkelingen bijhouden, zoals eisen en nieuwe richtlijnen
  • Toezien op het uitvoeren van PIA’s indien nodig (op verzoek)
  • Contactpersoon voor externe organisaties en de Autoriteit Persoonsgegevens
  • De FG kan niet persoonlijk aansprakelijk gesteld worden indien regels niet worden nageleefd.

To do

  • Indien verplicht, neem de gegevens van de gegevensfunctionaris op in uw privacyverklaringen.
  • Tip: leg de taken, bevoegdheden en verantwoordelijkheden van de FG vast in een functieomschrijving (klik hier om te bestellen)
  • De FG moet onafhankelijk taken kunnen uitvoeren en kan niet worden ontslagen vanwege taken die hij/zij uitvoert als FG.
  • Contactgegevens bekend maken bij de Autoriteit Persoonsgegevens en opnemen in privacyverklaringen (in laatste hoeft naam niet)

Bestel via ons de functieomschrijving Functionaris Gegevensbescherming. Klik hier.

De Functionaris Gegevensbescherming moet online aangemeld worden. Klik hier om naar de website van de Autoriteit Persoonsgegevens te gaan.

Bewustzijn van organisatie en medewerkers

De directie heeft een belangrijke rol om het bewustzijn binnen de organisatie te vergroten. Medewerkers moeten beschikken over de juiste middelen.

U moet kunnen aantonen dat medewerkers over de juiste competenties beschikken en zich bewust zijn van hun rol en bijdrage aan de doelstellingen van het beveiligingsbeleid binnen de organisatie..

Vanuit de NEN worden ook eisen gesteld aan het nagaan van referenties om de betrouwbaarheid en integriteit te toetsen, bijvoorbeeld het nagaan van referenties en bijvoorbeeld de aanvraag van een VOG. Dit past bij de eisen vanuit de Wkkgz, de vergewisplicht.

In de arbeidsovereenkomst moet vanuit de NEN 7510 eisen opgenomen worden dat de geheimhoudingsplicht ook na het einde van het dienstverband zal gelden.

Daarnaast moeten er sancties opgenomen wanneer de medewerker misbruik maakt van gegevens.

eisen aan medewerkers

Bewustzijn, training en vastgelegde afspraken

Eisen aan ICT en overeen-komsten

Let er op dat de inhoud van de verwerkersovereenkomsten aan de eisen vanuit de AVG voldoet. Beoordeel daarnaast of uw leverancier aan de wettelijke vereisten of de NEN norm voldoet.

Aan de slag

U kunt zelf veel online vinden, maar u kunt ook veel regelen door afname van onze producten en diensten. Bijvoorbeeld een interne audit voor de privacy-eisen of het bestellen van documenten.

Wilt u zelf aan de slag?

  • Stap 1 – Breng met een verwerkingsregister in kaart welke persoonsgegevens u allemaal verwerkt en bewerkt volgens de eisen vanuit de AVG wetgeving.
  • Stap 2 – Stel uw beveiligingsbeleid vast op basis van de AVG, aanverwante eisen en NEN 7510 norm.
  • Stap 3 – Maak een inventarisatie van maatregelen die u nog moet inzetten op basis van prioriteit (waar ligt het hoogste risico)
  • Stap 4 – Nog geen Functionaris Gegevensbescherming? Benoem er 1. Neem zijn of haar gegevens op de website op en in uw privacyreglement en verwerkingsregister.
  • Stap 5 – Heeft u beleid vastgelegd? Vertaal dit dan naar een gedragscode voor medewerkers. Inventariseer welke kennis ze nog nodig hebben en neem dit op in het scholingsplan van uw organisatie.
  • Stap 6 – Zie er op toe dat alle technische en organisatorische maatregelen ingevoerd worden en gemonitord.
  • Stap 7 – Stel een verzoekregister op. Hierop kunt u bijhouden welke cliënten een verzoek hebben ingediend tot bijvoorbeeld inzage of correctie van gegevens. Informeer cliënten over hun rechten. Neem in uw klachtenbeleid ook op hoe en wanneer cliënten een klacht in kunnen dienen bij de Autoriteit Persoonsgegevens. Dit mag direct, maar u moet cliënten hier ook op wijzen wanneer u een verzoek weigert.
  • Stap 8 – Ga na of de manier waarop u toestemming heeft gevraagd aan cliënten voor het delen van informatie met derden aan de AVG eisen voldoet.
  • Stap 9 – Controleer de verwerkersovereenkomsten met leveranciers van software en ICT, klanten en medewerkers. De Arbeidsovereenkomst moet bijvoorbeeld aan bepaalde eisen voldoen.
  • Stap 10 – Een risicomatrix invullen op basis van de NEN 27000: dreigingen en maatregelen.

Toelichting

stappenplan

RECHTEN VAN CLIENTEN

  1. Inzagerecht
  2. Recht op informatie
  3. Kopie van gegevens opvragen
  4. Correctie of aanvulling van gegevens
  5. Verwijdering van persoonsgegevens
  6. Recht op dataportabiliteit
  7. Bezwaar maken tegen gebruik

documenten los bestellen of een toolkit

Hieronder ziet u een overzicht van de toolkits die u  kunt bestellen. U kunt de documenten ook los bestellen (klik hier). Door een volledige toolkit te bestellen bespaart u 10% op het bestellen van losse documenten.

toolkit basis bestellen

€ 40,00 excl. BTW

  • Privacyreglement zorg
  • Functieomschrijving Functionaris Gegevensbescherming
  • Privacystatement website

toolkit pro bestellen

€ 110,- excl. BTW

  • Privacyreglement
  • Functieomschrijving Functionaris Gegevensbescherming
  • Privacystatement website
  • Verwerkingsregister
  • Verzoekregister cliënten
  • Gedragscode medewerkers
  • Formulier dienstverband
  • Formulier bedrijfsmiddelen

toolkit pro + bestellen

€ 280,- excl. BTW

  • Privacyreglement
  • Functieomschrijving Functionaris Gegevensbescherming
  • Privacystatement website
  • Verwerkingsregister
  • Verzoekregister cliënten
  • Gedragscode medewerkers
  • Formulier dienstverband
  • Formulier bedrijfsmiddelen
  • Formulier aanvraag autorisatie voor medewerker
  • Registratie bedrijfsmiddelen en maatregelen
  • Beveiligingsbeleid
  • Risicomatrix privacy
  • Protocol datalekken en incidentenoverzicht

DEFINITIES

Definities zijn gebaseerd op de definitielijst van wettelijke kaders

Gegevens labelen om de verwerking in de toekomst te beperken.

(het is niet uit te sluiten dat) een onbevoegde persoon had toegang tot persoonsgegevens, aantasting van persoonsgegevens of verloren gaan van gegevens.

Recht van de cliënt om de persoonsgegevens die hij of zij heeft verstrekt ontvangt, zodat hij of zij het kan overdragen aan een andere organisatie.

Verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, overdracht, verspreiding, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. Alle handelingen die je uitvoert met een persoonsgegeven.

Technische en organisatorische maatregelen nemen voor bescherming van persoonsgegevens

Bij ontwerp van producten en diensten zorg dragen voor bescherming van persoonsgegevens in systemen zodat het op een passend niveau beschermd is.

Ondubbelzinnige wilsuiting waarmee de cliënt door middel van een verklaring of actieve handeling verwerking van persoonsgegevens aanvraardt

Sluiten van overeenkomsten met partijen waarmee je persoonsgegevens deelt zoals leveranciers en klanten

Verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, overdracht, verspreiding, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. Alle handelingen die je uitvoert met een persoonsgegeven.

Natuurlijk persoon of rechtspersoon of ander orgaan die het doel van en de middelen voor verwerking vaststelt.

Type persoonsgegevens

Herleidbaar naar een individu zoals NAW-gegevens en contactgegevens zoals e-mailadres, BSN, geboortedatum, ideniteitscontroles en notities daarvan, e-mailadres, gegevens over gezondheid, etc. Valt onder de AVG

Versleutelde gegevens zoals bijv. gebruikers-ID, klantnummer, e-mailadres. Het is niet direct herleidbaar, maar wel de koppelen aan een individu. Valt onder de AVG

Gegevens die niet herleidbaar zijn naar individuen. Valt niet onder de AVG.

Verschil zorgsysteem en elektronische uitwisseling

Een zorgsysteem gebruik je als organisatie om de zorgverlening in vast te leggen. Dit is voor intern gebruik.

Met een dergelijk softwareprogramma kun je als organisatie gegevens uitwisselen met andere partijen. Hier wordt het systeem ook extern gebruikt.

Verschil beveiligingsincident en datalek

Een beveiligingsincident is niet direct een datalek. Er is alleen sprake van een zwakke plek in de beveiliging. Dit hoeft niet gemeld te worden bij de Autoriteit persoonsgegevens.

Een beveiligingsincident is een datalek wanneer bij er persoonsgegevens verloren zijn gegaan of (mogelijk) onrechtmatig verwerkt zijn. Dit moet gemeld worden bij de Autoriteit Persoonsgegevens.

Toelichting

producten & diensten bij deze nieuwsbrief

We hebben diverse producten en diensten voor zorgorganisaties en zelfstandigen in de zorg. 

documenten privacy

Via onze webshop kunt u losse documenten bestellen. Daarnaast kunt u bij deze nieuwsbrief de toolkit bestellen.

interne audit privacy

Wij kunnen een privacyaudit bij u uitvoeren op basis van de AVG, Wet Datalekken, NEN 7510 normen en aanverwante eisen

arbeidsovereenkomst
op maat

Onze jurist kan een arbeidsovereenkomst op maat opstellen. Hierin worden alle eisen omtrent Privacy opgenomen conform de NEN eisen.

training op locatie

Een training bij u op locatie om het bewustzijn van medewerkers te verhogen en zodat ze kennis hebben van de eisen.