Invoering GDPR. Iedereen heeft recht op bescherming van zijn of haar persoonsgegevens.

Transcriptie

1 Invoering GDPR Alles wat u als zorgorganisatie geregeld moet hebben voor de GDPR Iedereen heeft recht op bescherming van zijn of haar persoonsgegevens. Deze whitepaper heeft als doel om u te informeren over maatregelen voor de invoering van de GDPR. Als uw strategisch ICT-partner weet It s Us als geen ander waar u op moet letten. Daarnaast is It s Us ervaren met de invoering van maatregelen ten behoeve van de GDPR en de DPIA en kan uw organisatie daarbij ondersteunen. Whitepaper It s Us Michiel Kruid 2018

2 General Data Protection Regulation; de achtergrond van de nieuwe richtlijnen Iedereen heeft recht op bescherming van zijn of haar persoonsgegevens. Tot op heden heeft iedere EUlidstaat hiervoor zijn eigen wetgeving. In Nederland is dat de Wet Bescherming Persoonsgegevens. Per 25 mei wordt deze echter vervangen door een nieuwe wet: de algemene verordening gegevensbescherming. Internationaal wordt deze General Data Protection Regulation (GDPR) genoemd. In deze whitepaper zullen we deze term aanhouden. Introductie De GDPR is in mei 2016 in werking getreden maar organisaties hebben tot 25 mei 2018 de tijd om hun bedrijfsvoering aan te passen aan de nieuwe wetgeving. De GDPR is gestoeld op vier basisprincipes: Wettelijke grondslag: Persoonsgegevens mogen alleen verwerkt worden met uitdrukkelijke toestemming of wanneer zij noodzakelijk zijn voor vitale belangen. Zorgvuldigheid: Gegevens moeten correct en accuraat zijn, privacy is by design. Rechten van betrokkenen: Betrokkenen hebben recht om in te zien, te wijzigen, te worden vergeten, gegevens over te dragen en recht op informatie. Passende beveiliging: Er dienen passende organisatorische en technische beveiligingsmaatregelen te zijn genomen. Verantwoordelijkheid De verantwoordelijkheid om te voldoen aan en aan te tonen dat u voldoet aan de GDPR, ligt bij uw eigen organisatie. U dient daarom aan te kunnen tonen welke maatregelen u hebt genomen. Daarnaast is het mogelijk dat u verplicht bent om een Data Protection Impact Assessment (DPIA) uit te voeren en een Functionaris Gegevensbescherming (FG) aan te stellen. Zware sancties Het is belangrijk goed voorbereid te zijn,want de toezichthoudende autoriteiten kunnen een scala aan sancties opleggen, waaronder hoge administratieve boetes. Deze kunnen oplopen tot 20 miljoen of 4% van de totale jaaromzet.

3 Stappenplan......voor de GDPR invoering De GDPR brengt nieuwe verantwoordelijkheden met zich mee. Ook voor zorgaanbieders. De regels dwingen u om zorgvuldig om te gaan met de privacygevoelige informatie van uw cliënten, juist nu veel informatie gedigitaliseerd is. Onder de GDPR gelden er nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt. In veel gevallen zult u ook verplicht zijn om een register van verwerkingsactiviteiten bij te houden, een data protection impact assessment (DPIA) uit te voeren en een functionaris voor de gegevensbescherming (FG) aan te stellen. Bewustwording Zorg ervoor dat de relevante mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de GDPR is op uw huidige processen welke aanpassingen nodig zijn om aan de GDPR te voldoen. Houd er rekening mee dat de implementatie van de GDPR veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee! Register van verwerkingsactiviteiten De Algemene verordening gegevensbescherming (AVG) legt meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. De nieuwe regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de GDPR voldoen. U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals: rechtmatigheid; transparantie; doelbinding; juistheid. Ondersteuning It s Us kan ondersteunen in het opstellen van het register van verwerkingsactiviteiten. Daarnaast heeft It s Us een template beschikbaar dat u kunt gebruiken om uw verwerkingsactiviteiten te registreren. De volgende gegevens moeten in het register zijn opgenomen: de naam en contactgegevens van de verantwoordelijke; een beschrijving van de categorieën van betrokkenen en persoonsgegevens; een omschrijving van de verwerkingsdoeleinden; de wettelijke grondslag voor de gegevensverwerking; de categorieën van ontvangers van de persoonsgegevens; de bewaartermijnen (indien mogelijk); een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (voor zover mogelijk); en een vermelding van verstrekking van persoonsgegevens aan een land buiten de Europese Unie of aan een internationale organisatie (indien van toepassing).

4 Data protection impact assessment (DPIA) Een DPIA is altijd verstandig om uit te voeren omdat u allereerst voor u zelf kunt bepalen of u alle maatregelen hebt genomen die nodig zijn voor de GDPR. Daarnaast kunt de DPIA ook gebruiken om aan de verantwoordingsplicht te voldoen. In sommige gevallen is de DPIA echter verplicht. Binnen de GDPR zijn daarvoor door de Europese privacytoezichthouders een aantal criteria opgesteld. Wanneer gebruik wordt gemaakt van een EPD zoals Ons, dan gelden de volgende criteria en is een DPIA verplicht: Gevoelige gegevens of gegevens van zeer persoonlijke aard. Gegevens over kwetsbare betrokkenen. Op grote schaal verwerkte gegevens. De DPIA moet in ieder geval de volgende informatie bevatten: 1. Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving. 2. Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk om uw doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie u gegevens verwerkt) niet onevenredig in verhouding tot dit doel? 3. Een beoordeling van de privacyrisico's voor de betrokkenen. 4. De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de GDPR voldoet. verplicht It s Us heeft een goed inzicht in de systemen en wijze waarop data wordt verwerkt bij haar zorgklanten. Zij kan u daarom goed ondersteunen bij de uitvoering van de DPIA. Ook heeft It s Us voorgevulde templates beschikbaar met risico s waar u rekening mee dient te houden. Wanneer gebruik wordt gemaakt van een EPD zoals Ons dan is een data protection impact analysis

5 Functionaris gegevensbescherming De autoriteit persoonsgegevens heeft de verplichting een functionaris gegevensbescherming aan te stellen in kaart gebracht. Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorgen onderwijsinstellingen. Ook organisaties die op grote schaal bijzondere gegevens verwerken (zoals gegevens over gezondheid) zijn verplicht een functionaris gegevensbescherming aan te stellen. Als zorgorganisatie geldt voor u dus een verplichting op dit gebied. Van een FG wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van privacywetgeving en van de praktijk van gegevensbescherming. De vereiste expertise en vaardigheden omvatten in ieder geval: kennis van nationale en Europese privacyweten regelgeving over gegevensbescherming; Om belangenverstrengeling te voorkomen, mag de FG binnen de organisatie niet ook een functie hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt. Dit kan bijvoorbeeld zo zijn als de FG een managementpositie vervult, zoals hoofd financiën, strategie, marketing, IT of HRM. begrip van de gegevensverwerkingen die de organisatie uitvoert; begrip van IT- en informatiebeveiliging; kennis van de organisatie en de sector waarin die actief is; vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen. Een belangrijke taak van de FG is intern toezicht houden op het naleven van de privacywet. Om dit te kunnen doen, kan de FG: informatie verzamelen over gegevensverwerkingen binnen de organisatie; deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen; informatie, adviezen en aanbevelingen geven aan de organisatie.

6 Privacy......by design & by default Maak uw organisatie nu al vertrouwd met de onder de GDPR verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren. Privacy by design Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd, maar bijvoorbeeld ook dat u niet méér gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig. Meldplicht datalekken De meldplicht datalekken blijft onder de GDPR grotendeels hetzelfde. De GDPR stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Ook dient u de juiste maatregelen te nemen om datalekken te voorkomen. Privacy by default Privacy by default houdt in dat u technische en orga- It s Us heeft standaardproducten in het portfolio om nisatorische maatregelen moet nemen om ervoor te privacy by design, privacy by default te waarborgen en datalekken te voorkomen. zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.

7 Maak gebruik van onze mogelijkheden It s Us heeft standaard producten in het portfolio om privacy by design, privacy by default te waarborgen en datalekken te voorkomen: Multi-Factor Authentication Voor de hosted desktop maar ook voor individuele softwareproducten zoals Exact Synergy is multi-factor authentication (MFA) beschikbaar. Met MFA wordt naast een gebruikersnaam en wachtwoord ook een akkoordbevestiging gevraagd op de smartphone. Dat gaat heel eenvoudig door op de verifieerknop te drukken. Codes overtypen is niet (meer) nodig. Azure Active Directory Bescherm de lokale desktop met een individueel gebruikersnaam en wachtwoord zodat niet elke persoon de PC kan ontgrendelen. Data-encryptie Als uw devices worden ontvreemd of in verkeerde handen vallen, dan is het raadzaam om de schijven die zich daarin bevinden te voorzien van encryptie. Als dat het geval is, bent u wel uw device kwijt, maar is uw data niet gelekt. Sharepoint en Onedrive Nog veiliger is om ervoor te zorgen dat er geen data wordt opgeslagen op lokale computers. It s Us heeft de producten in huis om veilig in de cloud op te kunnen slaan of apparaten op afstand te wipen. Encrypted Als gevoelige informatie bevat dan kunt u ook deze voorzien van encryptie. Als uw wordt onderschept, dan is deze niet leesbaar voor niet geauthentiseerde ontvangers. It s Us biedt verschillende encryptiemogelijkheden, waaronder Zorgmail. Secure messaging Zorg ervoor dat privacygevoelige gegevens en foto s over cliënten niet gedeeld worden via What s App. Kies een veilige en geëncrypte methode voor mobiel berichtenverkeer van Siilo. Groepsmailboxen Maakt uw organisatie gebruik van groepsmailboxen? Wat gebeurt er als een medewerker uit dienst gaat? Kan deze dan nog altijd inloggen op de groepsmailbox met het bekende wachtwoord? Zorg ervoor dat groepsmailboxen niet beschikbaar blijven voor ex-medewerkers. Dat is een datalek!

8 Liefde voor ICT, Passie voor de zorg It s Us is sinds de oprichting in 2000 een ICT-partner met passie, durf en daadkracht om de beste oplossingen voor haar klanten te bieden. Onder het label It s Us Care Solutions zetten wij een ICT-concept in de markt, waarmee we zorgklanten efficiënter, effectiever, veiliger en goedkoper kunnen laten werken. Onderdelen van dit concept zijn: werkplek en beheer, hosting, communicatie- en VoIP-oplossingen, Office 365 en Exact Software. Allemaal op maat gesneden voor de zorg. Vanwege de privacy-gevoeligheid van data in de zorg is data-security erg belangrijk. Wij zijn daarom ISO en NEN7510 gecertificeerd. Al meer dan tien jaar verzorgen wij de ICT voor onze zorgklanten, veilig en betrouwbaar! Service en openhartigheid gaan bij It s Us hand in hand. Wij communiceren met open vizier en daarin gaan we ver. Dat betekent voor u altijd een eerlijk verhaal, de best passende oplossing en geen verborgen ICTkosten. Meer weten? Direct aan de slag met de GDPR? Een verstandig besluit. Neem contact met ons op en we vertellen graag hoe we u kunnen ondersteunen bij het nemen van de juiste maatregelen. U kunt ons bereiken op: Telefoon: zorg@itsus.nl Joan Muyskensweg AN Amsterdam Telefoon: Support: info@itsus.nl KvK: