Heeft u het huis op orde voor de AVG?

Transcriptie

1 Heeft u het huis op orde voor de AVG? Hoe u erop kunt vertrouwen dat u volledig aan de AVG voldoet en tegelijkertijd uw informatiebeveiliging verder op orde kunt brengen? The better the question. The better the answer. The better the world works. Introductie De Algemene Verordening Gegevensbescherming (AVG) luidt een nieuwe fase in voor de cyber security en data privacy van uw zorginstelling. De zorgsector blijkt erg kwetsbaar voor datalekken. Een deugdelijke aanpak van de risico s van dataprivacy en het kunnen aantonen van de juiste mate van informatiebeveiliging is dan ook noodzakelijk. EY Certifypoint kan uw instelling begeleiden, opleiden en certificeren specifiek in het kader van de AVG. Dit vindt plaats aan de hand van wettelijke vereisten waarin onder andere worden meegenomen: verwerkingsactiviteiten, technologieën, locaties, (zorg)processen, informatiemiddelen en uiteraard uw artsen en medewerkers. Met name uw mensen zijn essentieel in het voldoen aan de AVG en het in de dagelijkse praktijk functioneren van uw cyber security en data privacy. Daarom bieden wij desgewenst ook opleiding en ondersteuning in de implementatie van de AVG en een volwassen digitale beveiliging.

2 AVG in de zorg Sinds 25 mei 2018 is de nieuwe Europese privacy wetgeving ingegaan, genaamd de Algemene Verordening Gegevensbescherming (AVG). De vorige wetgeving, de databeschermingsrichtlijn uit 1995 voldeed begrijpelijkerwijs niet meer als gevolg van de digitale transformatie. De nadruk van de AVG ligt op de verantwoordelijkheid van organisaties. Vooral zorginstellingen staan extra in de belangstelling. Dit komt vooral door de verwerking van grote hoeveelheden bijzondere persoonsgegevens, zoals medische gegevens, maar ook door de fysieke toegankelijkheid van zorginstellingen. Rechten en plichten van de AVG Het recht om niet onderworpen te worden aan profiling, inclusief automatische beslissingen zonder menselijke tussenkomst. AVG en zorgspecifieke wetgeving Met name in de zorg is de AVG complex vanwege bestaande zorgspecifieke wetgeving. Zo is niet altijd evident waar zorgspecifieke wetgeving en de AVG elkaar aanvullen en waar niet (zie figuur). Een voorbeeld is het recht op vergetelheid versus de wettelijke bewaartermijnen van medische informatie. Als organisatie moet u kunnen aantonen dat u voldoet aan de AVG. Hieronder vallen verschillende verplichtingen. U moet in een verwerkingsregister kunnen laten zien welke persoons- en patiëntgegevens u verzamelt, hoe u gegevens gebruikt, hoe lang u deze bewaart en hoe u deze beveiligt. In de meeste gevallen moet een Functionaris Gegevensbescherming (FG) worden aangesteld. Een data protection impact assessment (DPIA) moet worden uitgevoerd. Daarnaast introduceert en versterkt de AVG de rechten van betrokken personen - in de zorg betreft dit vooral patiënten - waaronder: Het recht om vergeten te worden. Het recht op dataportabiliteit, e.g. bij de overgang naar nieuwe dienstverleners zoals zorgaanbieders; Besluit elektronische gegevensverwerking door zorgaanbieders Wet op de geneeskundige behandelingsovereenkomst (WGBO) Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) Wet kwaliteit klachten en geschillen zorg (Wkkgz) Zorgverzekeringswet (Zvw) Wet marktordening gezondheidszorg (Wmg) All Rights Reserved AVG in de zorg 2

3 Zorg meest vatbaar voor datalekken Zoals in onderstaande grafiek weergegeven, is van alle sectoren juist de zorgsector erg vatbaar voor datalekken. Percentage van het totale aantal gemelde datalekken in 2018 per sector Bron: Autoriteit Persoonsgegevens Dit heeft diverse oorzaken: In de zorg zijn veel overdrachtsmomenten, zowel binnen als buiten de zorginstelling. Hierbij is de kans groter dat (bijzondere) persoonsgegevens worden verstuurd of afgegeven aan een verkeerde ontvanger. Zorginstellingen zijn ten opzichte van organisaties in andere sectoren relatief toegankelijk. Ziekenhuizen, onderzoekers, leveranciers en patiënten gebruiken veelvuldig diverse (medische) apparaten en draadloze systemen die medische gegevens bevatten. Deze kunnen worden kwijtgeraakt, gestolen of gehackt worden. Zorginstellingen zijn thans kwetsbaar voor cyberaanvallen, onder andere door een minder volwassen digitale beveiliging, samenhangend met relatief lagere ITinvesteringen dan in andere sectoren. Omgaan met persoonsgegevens Het is daarom des te belangrijker om als zorginstelling aan uw patiënten, cliënten en hun familieleden, leveranciers en samenwerkende organisaties, maar ook aan de medewerkers van uw eigen organisatie, te kunnen aantonen dat er in uw zorginstelling juist wordt omgegaan met (bijzondere) persoonsgegevens. Inmiddels zijn ook in de zorg als gevolg van inbreuk op de AVG hoge boetes opgelegd. Deze kunnen oplopen tot 4% van de jaaromzet of 20 miljoen euro, afhankelijk van welke van deze beiden het hoogste uitpakt. Ook daarom is het een noodzaak dat u kunt demonstreren dat in uw zorginstelling de (bijzondere) persoonsgegevens zorgvuldig verwerkt en beschermd worden volgens de specifieke eisen uit de AVG. Een nieuwe mogelijkheid om dit te doen komt nu voor u beschikbaar: het AVGcertificaat. Elektronisch Patiënten- of Cliënten Dossier Veel moderne EPD/ECD informatiesystemen beschikken over uitgebreide loggingsmogelijkheden. In principe is altijd na te gaan welke artsen en andere (zorg)medewerkers welke patiënt- of cliëntgegevens ingezien hebben. Het op een intelligente wijze en systematisch monitoren van verdachte inzagen, inclusief tijdige en deugdelijke opvolging, is niet bij elke zorginstelling in voldoende mate georganiseerd. All Rights Reserved AVG in de zorg 3 1 Autoriteit Persoonsgegevens

4 AVG-Certificaat Zorginstellingen die willen aantonen dat zij de AVG nakomen, moeten zorgen dat ze aan de vereisten voldoen. Een AVG-certificeringsprocedure biedt een onafhankelijke beoordeling van uw gegevensbeschermingsmaatregelen. In de Europese verordening wordt onder artikel 42 certificering aangemoedigd om nakoming van de wet te bewijzen. EY CertifyPoint kan een dergelijke certificeringsprocedure voor uw zorginstelling uitvoeren. EY CertifyPoint is een onafhankelijk en onpartijdig certificatie instituut dat is opgericht in Het heeft ervaren auditors en certificeert al jaren toonaangevende en innovatieve (internationale) organisaties overal ter wereld. EY Certifypoint is gevestigd in Nederland en heeft ook Nederlandstalige auditors en adviseurs. Het is verantwoordelijk voor beslissingen over het verlenen, onderhouden, uitbreiden, beperken, uitstellen en intrekken van certificeringen voor verscheidene ISO-normen en vele andere certificeringskaders. Waarom EY CertifyPoint? EY CertifyPoint is onder meer een geaccrediteerde certificatie-instelling voor ISO 17065:2012. Dit is een belangrijk vereiste volgens artikel 43 van de AVG. EY CertifyPoint kan een AVG-certificering afgeven aan uw organisatie in overeenstemming met onze AVGcertificeringsprocedure, die is afgestemd op de regelgeving en vereisten van ISO 17065:2012. EY CertifyPoint is marktleider op het gebied van informatiebeveiliging en privacy certificeringen. Certificeringsprocedure De certificeringsprocedure voor AVG is vergelijkbaar met ISO-certificeringen. In het eerste jaar wordt gestart met het eerste assessment. Bij een positieve beoordeling wordt het AVG-certificaat uitgegeven met een geldigheidsduur van drie jaar. De daaropvolgende twee jaar worden follow-up assessments uitgevoerd om ervoor te zorgen dat de certificeringseisen worden nageleefd. Tijdens de assessments wordt ook rekening gehouden met nieuwe kwetsbaarheden in het kader van technologische ontwikkelingen, zoals beslissingsondersteuning met behulp van AI. Klant aanmelding en acceptatie Readiness Check Eerste assessment assessment (optioneel) (Jaar 1) Uitgifte van certificaat Follow-up assessments (Jaar 2 en 3) Hercertificatieassessment All Rights Reserved AVG in de zorg 4

5 Het huis op orde AVG-certificering is niet alleen van belang om boetes en imagoschade te voorkomen; het laat ook zien dat het huis op orde is. Informatiebeveiliging en dataprivacy zijn inmiddels strategische thema s geworden. Daardoor heeft AVG-certificering veel voordelen: Het is een bewijs waarmee u de naleving van gegevensbescherming zoals beschreven in de AVG aantoont aan patiënten, cliënten en hun familieleden, maar ook aan toezichthouders en andere externe belanghebbenden. Het certificeringsproces en het AVG-certificaat vergroten de interne transparantie en hetvertrouwen van medewerkers en artsen in de eigen organisatie. Samenwerkende zorginstellingen hebben meer vertrouwen in informatie-uitwisseling indien de deelnemende instellingen AVG- proof zijn De AVG is slechts één drijver van de privacy agenda. Het bewustzijn van de risico s van informatiebeveiliging en dataprivacy groeit snel onder (zorg)consumenten in Nederland. Het is belangrijk te beseffen dat naarmate de verwachtingen van patiënten en cliënten toenemen, het aantonen van effectieve gegevensbescherming cruciaal is voor het opbouwen van het verdere vertrouwen van uw doelgroepen. Met opleiding en begeleiding, voorafgaand aan of los van een AVG-certificeringstraject, rusten wij graag uw cyber security en data privacy medewerkers alsmede uw teams toe om met vertrouwen alle uitdagingen rond dit thema nu en in de toekomst aan te kunnen. Contact Jatin Sehgal Global Leader and Managing Partner, EY CertifyPoint jatin.sehgal@nl.ey.com Dr. Monique van Dijen Managing Partner Advisory Sector Health Care & Life Sciences monique.van.dijen@nl.ey.com All Rights Reserved AVG in de zorg 5

6 EY Assurance Tax Transactions Advisory Over EY EY is wereldwijd toonaangevend op de gebieden assurance, tax, transaction en advisory services. Met de inzichten en de hoogwaardige diensten die wij bieden, dragen wij bij aan het versterken van het vertrouwen in de kapitaalmarkten en economieën overal ter wereld. Wij brengen toonaangevende leiders voort, die door samen te werken onze beloften aan al onze stakeholders waarmaken. Daarmee spelen wij een cruciale rol bij het creëren van een beter functionerende wereld voor onze mensen, onze cliënten en de maatschappij. De aanduiding EY verwijst naar de wereldwijde organisatie en mogelijk naar een of meer lidfirma s van Ernst & Young Global Limited ( EYG ), die elk een afzonderlijke rechtspersoon zijn. EYG is een UK company limited by guarantee en verleent zelf geen diensten aan cliënten. Voor meer informatie over onze organisatie, kijk op ey.com/nl Ernst & Young Accountants LLP. Alle rechten voorbehouden. ey.com/nl All Rights Reserved AVG in de zorg 6