Privacy in de eerstelijnspraktijk Checklist & tips

Transcriptie

1 Privacy in de eerstelijnspraktijk Checklist & tips

2 Zorg om privacy Het werk als zorgaanbieder verandert snel. Door automatisering en digitalisering kunnen er nieuwe stappen worden gemaakt. Alleen medische kennis is niet langer voldoende. Zorgaanbieders dienen zich te verdiepen in de manier waarop zij gevoelige persoonsgegevens verwerken in hun praktijk. In de dynamische eerstelijnszorg betekent het weer extra organisatorische handelingen buiten de kerntaak. Daarom wil Stichting ZorgvoorPrivacy hulp bieden aan zorgaanbieders in de eerstelijn. De informatie in deze brochure is een eerste hulpmiddel op weg naar een privacyproof praktijk. Heeft u vragen? Stel deze dan gerust aan onze deskundigen. ''Behandel medische gegevens als een lichaamsdeel van een patiënt'' Sylvia Pellekooren Algemeen Directeur

3 Een gezond privacybeleid Kunnen wij helpen? Wanneer u in uw praktijk gezondheidsgegevens verwerkt, dient u rekening te houden met de wettelijke vereisten hiervoor. Weet u wat wel en niet mag? De Autoriteit Persoonsgegevens heeft begin 2016 een nieuwe naam en nieuwe bevoegdheden gekregen. Onder die bevoegdheden vallen hoge administratieve boetes. Met de inwerkingtreding van de verordening persoonsgegevens worden de bevoegdheden nog ruimer. De toegenomen aandacht voor de beveiliging van persoonsgegevens raakt ook de zorg. Omdat gegevens die de gezondheid betreffen bijzondere gegevens zijn volgens de wet, geldt voor de het verwerken daarvan strenge voorwaarden. Verwerken betreft eigenlijk alles wat er met gegevens kan worden gedaan, van de opslag en het gebruik tot het wissen ervan. U dient dan ook organisatorische en technologische maatregelen te nemen om op een veilige en verantwoorde wijze met persoonsgegevens om te gaan. U bent als zorgaanbieder in de eerstelijn aan dezelfde eisen verbonden als grote zorginstellingen. Veel van deze grotere instellingen hebben inmiddels een Functionaris Gegevensbescherming aangesteld om toezicht te houden op de verwerking. Omdat voor praktijken in de eerstelijnszorg dergelijke aanstellingen te kostbaar zijn, biedt ZorgvoorPrivacy praktische hulp aan, zodat u aan uw wettelijke verplichtingen kunt blijven voldoen. Een goed begin Het invullen van deze checklist is een goed begin om uw praktijk privacyproof te maken. Het bewaken van privacy is echter een continu proces. Zorg er dus voor dat u steeds nagaat of uw verwerking van gegevens nog steeds geschiedt in lijn met de geldende wet- en regelgeving.

4 Drie hoofdpunten van privacy 1 Dataminimalisatie, gebruik nooit meer gegevens dan strikt noodzakelijk. 2 Passende beveiliging, zowel organisatorisch als technologisch. 3 Transparantie. Vertel uw patiënten precies wat u doet met gegevens en vraag specifieke toestemming.

5 Privacy checklist Deze checklist dient om globaal inzicht te krijgen in de praktische zaken waar u in de praktijk van de eerstelijnszorg rekening mee dient te houden. Vraag altijd advies aan een privacy deskundige. ZorgvoorPrivacy staat u graag bij. Onderwerp Toelichting Tips Dataminimalisatie als uitgangspunt Verwerk steeds alleen die gegevens die strikt noodzakelijk zijn met het oog op een goede behandeling of verzorging van de betrokkene of het beheer van uw beroepspraktijk. Maak, indien nodig, melding van de verwerking bij de Autoriteit Persoonsgegevens of uw Functionaris Gegevensbescherming. Licht patiënten vooraf in over het doel, de inhoud en mogelijke consequenties van de gegevensverstrekking en vraag daarbij om toestemming en leg deze toestemming vast. Zorg voor voldoende waarborgen ten aanzien van de technische en organisatorische beveiligingsmaatregel en en zien toe op de naleving van die maatregelen. Informeer patiënten en wees transparant over wat er met hun gegevens gebeurt. Leg het doel en de wijze van van de verwerking vast in een privacyreglement. Hierin staat wie bepaalt of er gegevens worden verwerkt, welke gegevens er worden verwerkt, welke verwerking wordt toegepast, op welke wijze dat gebeurt en voor welk doel. Publiceer dit reglement op uw website en leg het ter inzage in uw praktijk. Zijn alle persoonsgegevens optimaal beveiligd? Bijvoorbeeld tegen verlies, onbevoegde toegang, vernietiging, gebruik, wijziging en openbaarmaking van de gegevens? Wees er helemaal zeker van dat alle gegevens goed beveiligd zijn. Vertrouw hiervoor dus niet alleen op het beleid van uw leveranciers. Zijn alle medewerkers die toegang hebben tot gegevens op grond van de wet of hun arbeidsovereenkomst gehouden tot geheimhouding?

6 privacy checklist Onderwerp Toelichting Tips Werk zorgvuldig en databewust Sluit kasten en ruimtes waar vertrouwelijke gegevens liggen (papier of digitaal) goed af. Laat dossiers, maar ook computers, telefoons, laptops etc. met die gegevens niet onbeheerd achter. Raadpleeg alleen patiëntendossiers met wie u een behandelrelatie hebt. Geef geen informatie over een patiënt aan derden die niet bij de behandeling betrokken zijn. Verhoog bewustzijn Zorg ook dat uw medewerkers op de hoogte zijn van de uitgangspunten van privacybescherming, dat zij het privacybeleid kennen en daar ook echt naar handelen. Zorg voor informatie en scholing. Let ook op privacy bij de verwerking van personeelsgegevens. Zo dient u gegevens van sollicitanten binnen 4 weken na het afronden van de sollicitatieprocedure te vernietigen. ICT. Sluit bewerkersovereenkomsten met alle ICT leveranciers. In deze overeenkomst dient u zaken te regelen zoals: Welke gegevens betreft het? Doel van de verwerking Geheimhouding Beveiliging Backup, opslag in EU? Inzage/ correctierechten Melding datalekken en incidenten Bewaartermijnen en vernietiging Subcontracting Controle en audit mogelijkheden Vraag of uw leverancier NEN 7510 gecertificeerd is en vraag periodiek om een kopie van het certificaat. Verklaar bij voorkeur Nederlands recht van toepassing op de overeenkomsten met leveranciers.

7 Privacy in de zorgpraktijk

8 privacy checklist Onderwerp Toelichting Tips Bepaal wie er wanneer gegevens mag raadplegen en controleer dat. Maatregelen op het gebied van autorisaties (wie kan er bij de gegevens), logging (bijhouden van raadplegingen gegevens) en controle van logging zijn verplicht. Controleer of uw software up to date is. Wordt software, zoals browsers, virusscanners en operating systems, up to date gehouden? Installeer tijdig oplossingen die de leverancier uitbrengt voor beveiligingslekken in software. Leveranciers kondigen regelmatig aan dat bepaalde versies van software niet langer ondersteund worden na een bepaalde datum. Deze datum wordt End of Life genoemd. Software is na End of Life niet meer houdbaar en kan dan niet langer als veilig beschouwd worden. Gebruik goede virusscanners om inbreuken te voorkomen. Gebruik veilige wachtwoorden. Geef wachtwoorden niet aan anderen en schrijf deze niet op. Gebruik verschillende letters, cijfers en symbolen. Gebruik hetzelfde wachtwoord niet voor verschillende doeleinden, websites of systemen. Maak een denkbeeldige zin om het wachtwoord te onthouden. Bijvoorbeeld: Hoera! zong de klas toen Joris zijn 8e verjaardag vierde. levert met de eerste letters het wachtwoord H!zdktJz8vv op.

9 privacy checklist Onderwerp Toelichting Tips Beperk gebruik gegevensdragers Neem geen gegevens mee buiten de praktijk en verzend ze niet (per USB stick of digitaal) naar omgevingen waar u geen invloed op heeft. Gooi dragers van informatie (papier, USB sticks, harde schijven) niet zomaar weg maar zorg voor een veilige vernietiging. Zorg voor de mogelijkheid gegevens op verloren apparaten op afstand te wissen. Beperk gebruik Social Media In beginsel zijn uitingen over werk gerelateerde zaken niet geschikt voor publicatie via Social Media. Neem hierover een bepaling op in arbeidsovereenkomsten of het arbeidsreglement. Beveilig gegevens Waar mogelijk dient u gebruik te maken van passende beveiligingsmethoden zoals encryptie en hashing. Datalekken Als u bekend wordt met het lekken van patiëntgegevens (bijv. door een verloren USB stick of een computervirus dient u dit waarschijnlijk te melden aan de Autoriteit Persoonsgegevens en de betrokken patiënten. Let op! Een melding dient zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, worden gedaan bij de Autoriteit Persoonsgegevens. Bij een hack zal melding al snel gepast zijn gelet op de risico s van misbruik van persoonsgegevens. Bij een hack ligt ook aangifte bij de politie in de rede in verband met opsporing van de daders. Melden van een datalek kan online: gegevens.nl

10 Privacyproof in 5 stappen ZorgvoorPrivacy biedt de oplossing. Een privacycheck wordt uitgevoerd op uw praktijk. De huidige situatie en mogelijke risico's worden in kaart gebracht. U ontvangt een rapport met constateringen en aanbevelingen van de privacycheck. Terwijl u iets voor uzelf doet, maken wij alle relevante documenten in orde zoals een privacyreglement en bewerkersovereenkomsten. Om het bewustzijn van het belang van privacy bij het personeel te vergroten, worden regelmatig korte cursussen en workshops gegeven. Vragen en klachten van patiënten of de Autoriteit Persoonsgegevens worden professioneel afgehandeld door een onafhankelijke Functionaris Gegevensbescherming.

11 Contactinformatie Zuidpoolsingel 188 C 2408 BR Alphen aan den Rijn [email protected]