Patiënten dossier & dataveiligheid Europese Privacy Verordening + ISO 27001 / NEN 7510 dataveiligheid Waveland.nu
Doel van deze bijeenkomst: Inzicht in drie onderwerpen: 1. beveiligen van patiëntengegevens 2. wetgeving 3. uw aanpak: dataveiligheids portaal : Een initiatief van: 2017 2
Uw (digitale) Patiënten Informatie beveiligen 3
Beveiligen van patiënten data Belang van uw patiënten Bescherming van uw onderneming Wettelijke plicht: Eisen van ketenpartners Vecozo, eisen voor aansluitcontract Ministerie VWS (IGZ) Zorgverzekeraars (via Vecozo) Wet Meldplicht Datalekken: 5500 meldingen 30% zorg Europese Privacy Verordening (25 mei 2018) Bescherming tegen Ransomware Komt veel voor op dit moment 4
Wetgeving Wet WGBO (Geneeskundige Behandelovereenkomst) Medisch beroepsgeheim Geheimhouding gegevens Dossierplicht Samenstelling dossier (welke gegevens wel en welke niet) Behandelaar is verantwoordelijk Inzagerecht patiënt 5
Wetgeving Algemene Privacy Verordening (EU) 2016/679 25 mei 2018 in werking Directe gelding in gehele EU Voor alle organisaties die persoonsgegevens opslaan Vervangt alle NL wetgeving (Wbp, wet melding datalekken, etc.) Iedere patiënt kan je praktijk aanspreken op naleving van zijn rechten.. 6
Veel namen: Wetgeving Europese Privacy Verordening (EU) 2016/679 EPV Europese Privacy Verordening GDPR General Dataprotection and Privacy Regulation AVG Algemene Verordening Gegevensbescherming is allemaal dezelfde Europese wet 7
Wetgeving Europese Privacy Verordening (EU) 2016/679 Wat zijn de rechten die je patiënt heeft: Heldere en actieve informatie over de verwerking (altijd geven!) Inzage in de gegevens, rectificatie, bezwaar en verzet. Inzage in het delen van zijn gegevens, recht op beperken. Recht om delen te beperken Recht om vergeten te worden Recht om data te laten verplaatsen 8
Wat te doen? Wetgeving Europese Privacy Verordening (EU) 2016/679 U moet kunnen aantonen dat praktijk voldoet aan EPV Passende technische en organisatorische maatregelen ter beveiliging Opstellen Privacy Beleid, moet aantoonbaar zijn Uitvoeren Privacy risico beoordeling Melden datalekken USB stick kwijt, laptop gestolen, server gehackt, ransomware Een verantwoordelijke aanwijzen (FG) Boetes tussen 20 miljoen of 4 % jaaromzet (Bestuurlijke boete) 9
Normen DataSafety ISO 27001- Informatiebeveiliging Internationaal, basis voor alle andere normen NEN 7510- Nederlandse norm Informatiebeveiliging in de zorg- voor alle soorten zorg een aparte norm gemaakt. Kwaliteit algemeen ISO 9001 kwaliteitszorg Internationaal, algemeen voor ieder proces toepasbaar. Behandelkwaliteit zorg (bijvoorbeeld) HKZ kwaliteitszorg algemeen Behandelkwaliteit zorg (bijvoorbeeld) 10
Uw Portaal en en samen:. Gewoon Goed Geregeld: Patiëntendata beveiligen & voldoen aan wetgeving: Gezamenlijke aanpak excellente oplossing lage prijs Juristen en IT kennis altijd ter ondersteuning Het Portaal IS uw dataveiligheids beheersing 11
Beeld van het portaal Goede vragen goede oplossingen 12
Beeld van het portaal Goede vragen goede oplossingen 13
Beeld van het portaal Goede vragen goede oplossingen 14
Beeld van het portaal Goede vragen goede oplossingen 15
Gewoon Goed Geregeld Dataveiligheids portaal: Uw portaal IS uw systeem + Alle kennis beschikbaar voor EPV + ISO 27001 + NEN 7510 + invoering is direct begeleid + externe hulp en ondersteuning + samen aanpakken lage kosten + bijhouden van alle documenten + eigen beheerssysteem - werkplek voor de praktijk + juristen en It-ers altijd met kennis beschikbaar + bijhouden voor komende jaren 16
Nuttige vragen? Goede vragen goede oplossingen Is er een geheimhoudingsverklaring opgenomen in alle arbeidscontracten? Is mijn mail veilig? Is er een geheimhoudingsverklaring getekend door alle leveranciers / vrijwilligers? Staat de server achter slot en grendel? Wie kan er bij de (online-) Back-Up? Is uw Online Back-Up aanbieder wel goed beveiligd? Liggen USB-schijven, tapes of andere gegevensdragers achter slot en grendel? Wie kan er bij de patiëntgegevens? Hoe communiceert u patiëntgegevens naar buiten? Zijn er goede wachtwoorden in gebruik en worden deze periodiek gewijzigd? Is het tele- of thuiswerken goed beveiligd? Is het (draadloze-) netwerk goed beveiligd? etc 17
Waveland Portaal legt voor u vast: Risico analyse Alle procedures voor EPV & ISO 27001 Interne audits en Management reviews Staan in uw Waveland Dataveiligheids portaal, gerangschikt op datum Externe Audits Door ECB auditors uitgevoerd, basis steekproeven, via uw dataveiligheids portaal EPV verklaring Toont aan dat uw praktijk aan de wetgeving voldoet Ter keuze: ECB Certificaat ISO 27001 voor uw praktijk Vertrouwen naar uw buitenwereld U voldoet aantoonbaar aan wettelijke en contractuele eisen 18
Hoe Deelnemen Praktijk aanmelden (digitaal) www.waveland.nu Bijdrage voldoen = handtekening Aan de slag Jaarlijkse audit bijdrage en onderhoud systeem Je eigen werkplek IS je beheerssysteem!!! Na invoering: EPV of ISMS handboek wordt gemaakt (ook PDF) Praktijk krijgt EPV verklaring van ECB: Tandartspraktijk krijgt ECB Certificaat ISO 27001/NEN 7510 19
EPV verklaring, ISO 27001 Certificaat Via uw DV Portaal Uw Praktijk EPV handboek geïndividualiseerd Aansluit code Interne audits verslagen Trainingen Externe audits (steekproeven) en op afstand Management reviews DataSafety Updates Updates van: Techniek DataSafety Wetgeving EPV verklaring/ ISO 27001 certificaat 20
Samenvatting: Europese Privacy Verordening komt eraan: 25 mei 2018 Eisen VECOZO contract, eisen van uw patienten Maatregelen tegen dataverlies,ransomware, hacking Oplossing en aanpak: Waveland Dataveiligheidsportaal Gezamenlijke aanpak excellente oplossing lage prijs Juristen en IT kennis altijd ter ondersteuning Het Portaal IS uw systeem www.waveland.nu 21
Je eigen tempo, je eigen stijl. dataveiligheid 22