Uw winkelwagen is leeg!
IPM™-beheermethode
een unieke werkwijze gebaseerd op de levensloop van een Verwerking Een belangrijk onderdeel van onze dienstverlening is de IPM™-beheermethode. Met name voor organisaties die niet zelf de privacy administratie kunnen of willen voeren is deze landelijke dienstverlening ontwikkeld. Wanneer het noodzakelijk of gewenst is heeft u hiermee altijd de beschikking over een functionaris gegevensbescherming en/of een privacy officer voor een fractie van de gebruikelijke personeelskosten. Ook tijdens vakantieperiodes of bij ziekte! U kunt tevens zeven dagen per week, 24 uur per dag een datalek of incident bij ons aanmelden. Wij zorgen dan voor de afhandeling van het onderzoek en de verplichte melding bij de Autoriteit Persoonsgegevens. Ook stellen wij een verbeterplan voor u op om de risico’s in de toekomst te kunnen voorkomen.
Beheertaken
De IPM™-beheermethode omvat alle noodzakelijke privacy gerelateerde actieve, proactieve, reactieve en adaptieve activiteiten. Nadat de implementatiefase heeft plaatsgevonden zullen namelijk verschillende werkzaamheden moeten worden uitgevoerd om een compliant situatie te kunnen behouden.
U kunt daarbij denken aan taken zoals:
- Het uitvoeren van een jaarlijkse audit/review en het verwerken van deze bevindingen in de Registers.
- Periodieke analyses over de verplichte register- en documentatieplicht. Voor zorginstellingen met een Brons, Zilver of Goud abonnement wordt bovendien een jaarlijkse privacy compliance rapportage opgesteld.
- Controles op volledige borging van de verplichte Verwerkersovereenkomsten.
- De nieuwste juridische wijzigingen zullen worden verwerkt in alle documenten, processen en procedures. Hierdoor blijven uw documenten altijd actueel en up-to-date bij de laatste wettelijke stand van zaken en hoeft hij dit niet zelf bij te houden.
- Het verzenden van kwartaal nieuwsbrieven met handige informatie, tips en trucs over verschillende privacy gerelateerde onderwerpen.
- We houden jaarlijkse steekproeven onder een aantal geselecteerde partijen, of naar aanleiding van verdenkingen of tips, om te controleren of de contractuele afspraken met leveranciers ook correct worden nageleefd.
- Voor de beschrijving van de beheertaken van de Servicedesk kunt u onze Dienstwijzer bekijken. Dit zijn de taken die uitgevoerd worden als reactie op een verzoek van een abonnee. Deze taken zijn onderverdeeld in een viertal prioriteiten: kritisch, hoog, normaal en planbaar.
Door het kiezen voor een abonnement bij onze stichting voorkomt u dure en langlopende maatwerk-trajecten. Het betekent ook dat uw zorginstelling zich kan focussen op de primaire taak: het verlenen van zorg aan de patiënten. Onze beheermethode zorgt voor een optimale en efficiente borging van de privacywetgeving, waarbij het zorgproces en de werkwijze van de zorgverleners centraal staan.
Continue verbeteren
Onze werkwijze gaat niet uit van het onsamenhangend oplossen van (projectmatig) waargenomen privacy-issues en het vervolgens "maatwerk" opstellen van benodigde maatregelen, maar juist van een continue verlopende procescyclus om de privacyborging van de zorginstelling te verbeteren.
Omdat onze beheermethode dus uitgaat van een continue verlopend proces van verbeteren wordt de privacyborging daardoor steeds beter verankert binnen de organisatie.
Uitleg Implementatiefase
Stap 1: aanmelding
Toepassing: Alle abonnementen
Actiehouder: Abonnee
Wanneer uw instelling is aangemeld bij stichting Privacyzorg is het noodzakelijk dat wij zo spoedig mogelijk alle benodigde informatie van u gaan ontvangen, zoals het Kamer van Koophandel nummer en de gegevens van de contactpersonen.
Zorggroepen die een abonnement hebben afgesloten voor de bij hun aangesloten eerstelijns zorgverleners moeten zo spoedig mogelijk een overzichtslijst opsturen met tenminste de praktijknaam, het contactpersoon met e-mailadres en telefoonnummer, de adresgegevens en het Kamer van Koophandel nummer. Deze gegevens zullen daarna door onze servicedesk in ons privacy beheerssysteem worden ingevoerd.
Stap 2: functionaris gegevensbescherming
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg
Wanneer u grootschalig persoonsgegevens verwerkt bent u sinds 1 juli 2017 wettelijk verplicht een officiële functionaris gegevensbescherming aan te melden bij de autoriteit persoonsgegevens.
Voor organisaties die niet vallen onder deze wettelijke verplichting zal door ons toch een (collectieve) functionaris gegevensbescherming worden benoemd. Indien uw organisatie deze wettelijke verplichting wel heeft zullen wij uit onze vaste medewerkersbestand een functionaris gegevensbescherming voor u gaan selecteren. Uiteraard zal vooraf onze medewerker uw organisatie komen bezoeken om zich aan u voor te stellen. Wanneer sprake is van ziekte of verlof zal uiteraard een andere geschikte functionaris waarnemen, zodat u altijd beschikt over de juiste kennis en kunde.
Stap 3: registratie bij de Autoriteit Persoonsgegevens
Toepassing: Basis Plus, Brons, Zilver en Goud
Actiehouder: Privacyzorg
Wanneer u akkoord bent zullen wij in deze stap onze medewerker als uw functionaris gegevensbescherming gaan aanmelden bij de Autoriteit Persoonsgegevens. Vervolgens zal de Autoriteit Persoonsgegevens de functionaris gegevensbescherming officieel gaan benoemen en registreren in het FG-Register.
Stap 4: informatiebrief
Toepassing: Basis
Actiehouder: Privacyzorg
In deze stap ontvangen alle zorgverleners met een “Basis abonnement” een informatiebrief van ons. Indien dit abonnement via een zorggroep is afgesloten zal deze informatiebrief in overleg met de zorggroep worden opgesteld.
Om de verwachtingen over de verschillende producten en diensten zo leesbaar mogelijk te houden is onze “Dienstenwijzer” ontwikkelt. Deze kan op verzoek als handige magneetkaart worden toegezonden per post. Alle contractvoorwaarden en contactmethoden staan hierop vermeld. Voor alle andere abonnementen zullen wij op maat de informatievoorziening gaan opstellen. Dit kan afhankelijk zijn van de mogelijkheden en informatiebehoeften van uw organisatie.
Stap 5: audit
Toepassing: Optioneel voor Basis Plus, verplicht voor Brons, Zilver en Goud
Actiehouder: Privacyzorg en Abonnee
Wanneer sprake is van een complexe of lastig te voorspellen organisatiestructuur moet het niveau van compliance aan de privacywetgeving door middel van een onsite audit worden vastgesteld. Hierbij zullen één of meerdere auditoren uw organisaties komen bezoeken.
Deze audit heeft als doel uw gegevensverwerkingen en het niveau van privacyborging te gaan inventariseren, zodat de noodzakelijke werkzaamheden in de vervolgstappen bij ons bekend zijn.
Stap 6: jaarlijkse review
Toepassing: Verplicht voor Basis, optioneel voor Basis Plus
Actiehouder: Privacyzorg en Abonnee
Kleinere zorginstellingen met een redelijk voorspelbare organisatiestructuur, zoals praktijken en apotheken, hoeven niet met een omvangrijke audit te worden geïnventariseerd. Hiervoor hebben we een digitale “Jaarlijkse Review” ontwikkeld. Deze groep abonnees krijgen een sectorspecifiek digitaal evaluatieformulier die eenvoudig via ons portaal benaderd kan worden. Deze stap heeft tot doel de gegevensverwerkingen en het niveau van privacyborging te gaan inventariseren, zodat de noodzakelijke werkzaamheden in de vervolgstappen bij ons bekend zijn.
Stap 7: Privacy rapportage
Toepassing: Optioneel voor Basis Plus, verplicht voor Brons, Zilver en Goud
Actiehouder: Privacyzorg
De instellingen die in stap 5 een “Onsite Audit” hebben afgenomen krijgen in deze stap een rapportage over de bevindingen. Tevens zal een IPM-score worden afgegeven over de mate van compliance aan de vigerende privacywetgeving. Dit rapport omvat ook het plan van aanpak om snel en efficiënt de vervolgstappen uit deze implementatiefase te kunnen gaan uitvoeren.
Voor de eerstelijns zorgverleners die via een zorggroep zijn geabonneerd (en geen Onsite Audit hebben afgenomen) wordt geanonimiseerde statistische informatie opgeleverd over de afgenomen Jaarlijkse Reviews binnen deze groep. Deze gegevens worden opgeleverd aan de zorggroep zodat we gericht op de vastgestelde risico’s de juiste informatie en hulpmiddelen ter beschikking kunnen gaan stellen.
In deze stap zal tevens voor alle abonnees een toegangsaccount worden aangemaakt voor het klantportaal, zodat de benodigde informatie zoveel mogelijk gestructureerd en via een efficiënte wijze kan worden uitgewisseld.
Stap 8: eerste Nieuwsbrief
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg
In deze stap versturen wij een digitale nieuwsbrief over de uitgevoerde werkzaamheden en de eventuele bijzonderheden van de afgelopen periode. Tevens zal een beschrijving worden gemaakt van de activiteiten die in de vervolgstappen worden uitgevoerd.
Stap 9: Analyse
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg
Met de gegevens die verkregen zijn in de voorgaande stappen zal een IPM-analyse worden uitgevoerd door onze privacy analisten. In deze stap zullen de sectorspecifieke Wet- en regelgevingen worden bepaald die voor uw organisatie van toepassing zijn.
Stap 10: processen en procedures
Toepassing: Zilver en Goud
Actiehouder: Privacyzorg
Om te voldoen aan de vigerende privacywetgeving is het noodzakelijk dat uw organisatie beschikt over de juiste documenten. U kunt daarbij ook denken aan beleidsstukken zoals een: “privacyreglement”, “autorisatiebeleid” en “informatiebeveiligingsbeleid”, maar ook procedures zoals: “toegang tot patiëntgegevens”, “steekproeven”, “meldplicht datalekken”, “autorisatieverzoeken” en “aanvraag tot vernietiging, inzage of wijziging van persoonsgegevens”. Eerstelijns zorgverleners met een “Basis abonnement” kunnen gebruikmaken van onze standaard set processen en procedures.
Stap 11: documenten set
Toepassing: Alle abonnementen
Actiehouders: Privacyzorg en Abonnee
Zowel privacy als informatiebeveiliging worden voornamelijk geborgd door het op de juiste wijze ondersteunen van het werkproces. Hierbij is het cruciaal dat uw medewerkers duidelijke richtlijnen ontvangen om op een veilige wijze gebruik te kunnen maken van uw informatiesystemen. Ter ondersteuning hiervan hebben wij hiervoor een gedragscode ontwikkeld en een documenten set met vijf richtlijnen voor het gebruik van ICT-faciliteiten. Ook ontvangt u een informatiebulletin met tips om datalekken te voorkomen.
Stap 12: instructie
Toepassing: Brons, Zilver en Goud
Actiehouders: Privacyzorg en Abonnee
Afhankelijk van uw abonnement en organisatieomvang zal in deze stap een instructie worden gegeven aan de direct betrokken medewerkers die met de nieuwe processen moeten gaan werken. U kunt hierbij denken aan medewerkers van de servicedesk die autorisatieopdrachten uitvoeren, maar ook applicatiebeheerders die met persoonsgegevens werken. Ook zal een instructie worden gegeven aan de betrokken leidinggevenden voor de gewenste sturing en controle over de processen.
Stap 13: tweede nieuwsbrief
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg
In deze stap versturen wij de tweede digitale nieuwsbrief over de uitgevoerde werkzaamheden en de eventuele bijzonderheden van de afgelopen periode. Tevens zal een beschrijving worden gemaakt van de activiteiten die in de vervolgstappen worden uitgevoerd.
Stap 14: opmaken registers
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg
Om te voldoen aan het accountability principe van artikel 5 lid 2 AVG worden in deze stap alle Verwerkingen (ook die binnen de Wbp onder het vrijstellingsbesluit vielen) vastgelegd in Registers. In de voorgaande fasen zijn alle noodzakelijke gegevens verzameld waardoor wij deze wettelijk verplichte registers voor u kunnen gaan opmaken. Ook worden alle verstrekte autorisaties op rechtmatigheid beoordeeld en vastgelegd in deze registers.
Stap 15: bespreking onrechtmatigheden
Toepassing: Alle abonnementen
Actiehouders: Privacyzorg en Abonnee
Bij het opmaken van de wettelijk verplichte registers kunnen ook eventueel onregelmatigheden zijn geconstateerd. In deze stap zullen deze bevindingen met u worden besproken om te onderzoeken wat de mogelijkheden zijn, of gezamenlijk een tijdlijn op te stellen waarbinnen dit kan worden opgelost.
Stap 16: overeenkomsten
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg
Indien u de Verwerkersovereenkomsten naar ons toegezonden heeft zullen deze door ons worden geanalyseerd om vast te kunnen stellen of deze voldoende waarborgen bieden om te kunnen voldoen aan de normen van de AVG. Ook zullen wij deze Verwerkersovereenkomsten administratief gaan verwerken binnen uw Registers, zodat u volledig voldoet aan de wettelijke verplichting.
Om te kunnen voldoen aan de bepalingen uit artikel 28, lid 3 van de AVG zullen wij in deze stap voor de grotere instellingen (met een Zilver en Goud abonnement) ook de Registers gaan analyseren om vast te stellen welke geautoriseerde partijen als Verwerker kunnen worden aangemerkt. Indien nodig zullen wij hiervoor een eigen versie gaan opstellen en aanbieden aan de leveranciers, maar dat kunnen ook geheimhoudingovereenkomsten of samenwerkingsovereenkomsten zijn.
Stap 17: presentaties
Toepassing: Brons, Zilver en Goud
Actiehouders: Privacyzorg en Abonnee
Indien u een Brons, Zilver of Goud abonnement heeft afgesloten zullen wij presentaties houden voor het versterken van het privacy bewustzijn bij uw medewerkers. In overleg kan het onderwerp, de duur en de vorm met u worden afgesproken. Voor zorggroepen die een abonnement hebben afgesloten voor groepen “eerstelijns zorgverleners” zullen wij ook (jaarlijks) regionale presentaties organiseren.
Stap 18: jaarlijkse steekproef
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg
Jaarlijks houdt stichting Privacyzorg enkele steekproeven onder willekeurige leveranciers (Verwerkers) om te controleren of voldoende waarborgen aanwezig zijn om te kunnen voldoen aan de vigerende privacywetgeving en informatiebeveiligingsnormen. Hiervoor wordt door ons een steekproevenlijst bijgehouden die in deze stap zal worden aangevuld met uw leveranciers.
Stap 19: jaarlijkse audit/review
Toepassing: Alle abonnementen
Actiehouders: Privacyzorg en Abonnee
In deze stap zal ons planningsbureau in overleg met u de jaarlijks terugkerende audit of review inplannen.
Stap 20: derde nieuwsbrief
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg
In deze stap versturen wij onze laatste digitale nieuwsbrief over de implementatiefase met informatie over de uitgevoerde werkzaamheden en de eventuele bijzonderheden van de afgelopen periode. Tevens zal uitgebreid informatie worden gegeven over de Beheerfase.
Best practice
Of het nu gaat om het beheren van verwerkingen, privacy-risico’s, wijzigingen, autorisaties of audits, de IPM™-beheermethode helpt hierbij. De beheermethode onderscheidt zich door structuur, eenvoud en vooral toepasbaarheid door talloze templates, procedurevoorbeelden en hulpmiddelen.
De IPM™-beheermethode is vooral dé best practice oplossing voor het integraal borgen van de privacy in uw zorginstelling. De privacybescherming van uw patiënten en medewerkers verbetert daardoor aantoonbaar.
Wet- en regelgeving
Door de invoering van de IPM™-beheermethode voldoen zorginstellingen al voor een belangrijk deel aan de eisen die vanuit diverse wet- en regelgeving wordt opgelegd.
-
Algemene verordening gegevensbescherming (AVG)
-
Wet elektronische gegevensuitwisseling in de zorg
-
Wet kwaliteit, klachten en geschillen zorg
-
Wet op de Geneeskundige Behandelovereenkomst
-
NEN7510/12/13
Werken met processen
De IPM™-beheermethode beschrijft in slechts vier elementaire en samenhangende processen de privacy werkzaamheden op tactisch en operationeel niveau binnen een zorginstelling. Door deze compacte en herkenbare vorm is de IPM™-beheermethode zeer eenvoudig toe te passen. De IPM™-beheermethode bestaat uit de volgende vier aandachtsgebieden:
-
Compliance
-
Risico
-
Wijzigingen
-
Verwerkingen
Hulpmiddelen
Zoals reeds beschreven bestaat de IPM™-beheermethode uit vier procesbeschrijvingen die helpen bij het borgen van de betreffende aandachtsgebieden. Ieder proces wordt daarbij ondersteund door verschillende, reeds in de praktijk getoetste procedures en templates, hulpmiddelen en informatiebronnen.
Zo kan een organisatie snel en efficiënt in controle komen over de privacy zonder veel tijd kwijt te zijn met het “uitvinden van het wiel”.