GDPR een stand van zaken
GDPR een stand van zaken Op 25 mei treedt de nieuwe Europese privacywetgeving (GDPR) in werking. Dit heeft impact op u als zorgverlener die met gevoelige gegevens omgaat. Het is dus belangrijk dat u hierover correct geïnformeerd bent en u de juiste acties neemt. Deze nieuw wet bouwt verder op de basisprincipes die we al kennen van de Belgische privacywet van 1992. De GDPR zal nog meer slagkracht hebben door de introductie van duidelijke verplichtingen en eventuele sancties. De vernieuwing komt er vooral om een gepaste bescherming en beveiliging van persoonsgegevens te kunnen bieden in een steeds verder digitaliserende maatschappij waar het verwerken van persoonsgegevens onmisbaar is geworden. Ook binnen de zorgsector zijn persoonsgegevens van cruciaal belang. We staan dan ook voor een grote uitdaging op juridisch, operationeel en technologisch vlak. Maar we benaderen dit vooral uit een positieve hoek: correct handelen en beschermen van kwaliteitsinformatie ondersteunt uitstekende zorg en kwaliteitsvolle dienstverlening. Dat is tevens de visie die Corilus heeft! Ook wij krijgen meer en meer vragen over hoe Corilus en onze software omgaat met GDPR. Uiteraard is GDPR één van onze prioriteiten. Maar om te beginnen bij het begin, even de algemene principes op een rij. De 7 basisprincipes van GDPR 1 Transparantie: breng de persoon van wie de gegevens verwerkt worden op de hoogte en maak het uitoefenen van zijn/haar rechten mogelijk. Doelbeperking: verzamel de persoonsgegevens alleen voor een welbepaald gewettigd doel en niet voor andere zaken. 2 Gegevensbeperking: verzamel alleen persoonsgegevens die voor het beoogde doel noodzakelijk zijn. 3 Juistheid: de persoonsgegevens moeten correct zijn en blijven. 4 Bewaarbeperking: bewaar persoonsgegevens niet langer dan nodig. 5 Integriteit en vertrouwelijkheid: bescherm de persoonsgegevens tegen toegang door onbevoegden, verlies of vernietiging. 6 Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen (documentatieplicht).
GDPR & Corilus Het beschermen van ieders persoonlijke levenssfeer is belangrijk voor ons. Om klaar te zijn voor 25 mei 2018 hebben we intern de handen in elkaar geslagen om samen, onder leiding van ervaren privacy-specialisten, de nodige stappen te ondernemen. Een kort overzicht van onze geplande activiteiten: 1 Bewustwording: Intern zorgen we voor de nodige bewustwording en voorzien we een duidelijk beleid op het vlak van informatieveiligheid. Om de GDPR-verplichtingen juist te kunnen inschatten moeten al onze medewerkers minstens de algemene principes en juiste terminologie onder de knie hebben. We organiseren hiervoor verplichte interne trainingen. 2 Register van verwerkingsactiviteiten: We brengen in kaart welke persoonsgegevens we verwerken voor u en met welk doel we dit doen, wie deze eventueel ontvangt of verwerkt en hoe we deze beschermen. 3 Omgang met verwerkers: We maken duidelijke contractuele afspraken met onze partners, die in sommige gevallen de persoonsgegevens van uw patiënten verwerken (bijv. hosting, online agenda of andere koppelingen vanuit uw software). 4 Data Protection Impact Assessment: Indien we nieuwe (innoverende) projecten starten, zullen we een extra beoordeling uitvoeren om zeker te zijn dat we overeenstemmen met de basisprincipes en voldoende alle risico s afdekken. 5 Datalekken: We introduceren procedures zodat het melden van een mogelijk datalek binnen 72u na het vaststellen, kan gebeuren (zoals verplicht in de GDPR). 6 Rechten van de betrokkene: Voor alle betrokkenen (patiënten, medewerkers, zorgverleners, bezoekers, ) waar we persoonsgegevens van verwerken, zullen we de nodige rechten ondersteunen zodat men o.a. transparante informatie ontvangt en een inzage / verbetering kan verzoeken. We houden hierbij rekening met de bestaande patiëntenwet van 2002. 7 Functionaris voor gegevensbescherming: Corilus heeft sinds 2017 een functionaris aangesteld om op te treden als intern en extern aanspreekpunt. Deze persoon neemt vooral een coachende, stimulerende, adviserende en documenterende rol aan en zal rechtstreeks aan het directiecomité rapporteren.
Analyse van onze huidige processen en aanpassingen indien nodig De eerste concrete stap is een grondige analyse van onze huidige aanpak en procedures voor het beheren en beschermen van persoonsgegevens binnen Corilus. Bij deze analyse namen we onderstaande stappen in acht: 1 een inventarisatie van de huidige processen, diensten en goederen waarbij persoonsgegevens worden aangemaakt, verwerkt en opgeslagen. 2 in kaart brengen welke persoonsgegevens verwerkt worden, met welk doel we dit doen, waar deze gegevens vandaan komen, met wie we ze delen en wie er toegang toe heeft. 3 nagaan in welke mate de rechten van de betrokkenen worden gerespecteerd waaronder het recht op inzage, het recht op correctie en verwijdering en het recht op de overdraagbaarheid van persoonsgegevens. 4 controleren in welke mate Corilus op dit moment persoonsgegevens al voldoende beschermt en beheert volgens de privacyregels. Door deze grondige analyse van onze huidige procedures weten we precies waar we nog (kleine) aanpassingen dienen te doen zodat Corilus conform de GDPR handelt. Tevens vormt deze analyse het vertrekpunt voor het aanmaken en bijhouden van een dataregister van persoonsgegevens. Naast het respecteren van de basisprincipes (zoals hierboven beschreven) garanderen we ook de beveiliging van de verwerking van persoonsgegevens.
GDPR & Corilus als leverancier van medische software Corilus als leverancier van medische software Werkprocedures De conversie van gegevens, het leveren van ondersteuning, of het uitwisselen van data Voortaan zullen deze binnen Corilus steeds verlopen volgens vooraf vastgelegde en gestandaardiseerde procedures die in lijn zijn met de GDPR richtlijnen en vereisten. Concreet betekent dit bijvoorbeeld: Actualisering van onze Privacy Policy Up-to-date houden van een register verwerkingsactiviteiten Actualiseren van verwerkingsovereenkomsten met al onze partners betrokken bij gegevensuitwisseling (Her)definiëren van ons intern beveiligingsbeleid Opleiden personeel door middel van workshops Procedure voor rapporteren datalekken Actieplan per software Het is onze doelstelling om u als zorgverlener met de gepaste software bij te staan ten opzicht van uw GDPR verplichtingen Onze privacy specialisten hebben de afgelopen maanden elk softwarepakket van Corilus volledig doorgelicht en geïnventariseerd in het kader van GDPR. Resultaat hiervan is een zeer gedetailleerde security, IT & privacy audit met bevindingen, aanbevelingen en een plan van aanpak om tegemoet te komen aan de eisen gesteld door GDPR. Meer details zullen in de komende maanden, pakket per pakket, gecommuniceerd worden naar de betrokken doelgroepen.
GDPR & u als zorgverstrekker Wij als Corilus zijnde zullen het nodige doen om u een medische applicatie te bezorgen die u bijstaat in uw activiteit als zorgverstrekker. U, als zorgverstrekker én verwerkingsverantwoordelijke van persoonsgegevens, dient ook te voldoen aan de nieuwe privacy regels. Als u de regels niet naleeft, loopt u een risico en is er kans op imagoverlies bij uw patiënten. U doet er dus best aan om ernstig na te denken i.v.m. welke gegevens u verzamelt en verwerkt, welke gegevens u zelf doorgeeft, en welke beschermingsmaatregelen en welke updates u dient te voorzien op vlak van uw interne privacy en veiligheidsprocedures. We denken hier bv. aan: het fysiek beveiligen van de ruimten waarin u werkt, inhoudelijke aanpassingen aan de contracten met uw medewerkers, niet werken met gedeelde accounts onder de medewerkers, niet meer werken met oudere operating systemen zoals Windows XP, Mocht u nog vragen hebben, raden we u aan om u te informeren via uw beroepsvereniging, de website van de privacycommissie of een specialist in de materie.