Hoe wij uw Privacy Borgen

De route naar Compliance
In dit hoofdstuk wordt beknopt onze werkwijze omschreven hoe wij uw organisatie in 20 stappen kunnen gaan aanpassen om de noodzakelijke veranderingen door te voeren. Hiermee voldoet u snel aan de vigerende privacywetgeving.
Afhankelijk van uw type abonnement kunnen de werkzaamheden inhoudelijk verschillen. Daarom wordt binnen iedere stap aangegeven op welk type abonnement dit van toepassing is en zal binnen iedere stap de actiehouder(s) aangegeven worden zodat ook duidelijk is bij wie het initiatief ligt.
De door ons zelf ontwikkelde implementatiemethode wordt hieronder schematisch weergegeven in onze zogenaamde “routemap”.

Odoo Members 

Stap 1: aanmelding
Toepassing: Alle abonnementen
Actiehouder: Abonnee

Wanneer uw instelling is aangemeld bij stichting Privacyzorg is het noodzakelijk dat wij zo spoedig mogelijk alle benodigde informatie van u gaan ontvangen, zoals het Kamer van Koophandel nummer en de gegevens van de contactpersonen.

Zorggroepen die een abonnement hebben afgesloten voor de bij hun aangesloten eerstelijns zorgverleners moeten zo spoedig mogelijk een overzichtslijst opsturen met tenminste de praktijknaam, het contactpersoon met e-mailadres en telefoonnummer, de adresgegevens en het Kamer van Koophandel nummer. Deze gegevens zullen daarna door onze servicedesk in ons privacy beheerssysteem worden ingevoerd.

Stap 2: functionaris gegevensbescherming
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg

Wanneer u grootschalig persoonsgegevens verwerkt bent u sinds 1 juli 2017 wettelijk verplicht een officiële functionaris gegevensbescherming aan te melden bij de autoriteit persoonsgegevens.

Voor organisaties die niet vallen onder deze wettelijke verplichting zal door ons een collectieve functionaris gegevensbescherming worden benoemd. Indien uw organisatie deze wettelijke verplichting wel heeft zullen wij uit onze vaste medewerkersbestand een functionaris gegevensbescherming voor u gaan selecteren. Uiteraard zal vooraf onze medewerker uw organisatie komen bezoeken om zich aan u voor te stellen.  Wanneer sprake is van ziekte of verlof zal uiteraard een andere geschikte functionaris waarnemen, zodat u altijd beschikt over de juiste kennis en kunde.

Stap 3: registratie bij de Autoriteit Persoonsgegevens
Toepassing: Basis Plus, Brons, Zilver en Goud
Actiehouder: Privacyzorg

Wanneer u akkoord bent zullen wij in deze stap onze medewerker als uw functionaris gegevensbescherming gaan aanmelden bij de Autoriteit Persoonsgegevens. Vervolgens zal de Autoriteit Persoonsgegevens de functionaris gegevensbescherming officieel gaan benoemen en registreren in het FG-Register.

Stap 4: informatiebrief
Toepassing: Basis
Actiehouder: Privacyzorg

In deze stap ontvangen alle zorgverleners met een “Basis abonnement” een informatiebrief van ons. Indien dit abonnement via een zorggroep is afgesloten zal deze informatiebrief in overleg met de zorggroep worden opgesteld.

Om de verwachtingen over de verschillende producten en diensten zo leesbaar mogelijk te houden is onze “Dienstenwijzer” ontwikkelt. Deze zal als handige magneetkaart worden toegevoegd aan onze informatiebrief. Alle contractvoorwaarden en contactmethoden staan hierop vermeld. Voor alle andere abonnementen zullen wij op maat de informatievoorziening gaan opstellen. Dit kan afhankelijk zijn van de mogelijkheden en informatiebehoeften van uw organisatie.

Stap 5: audit
Toepassing: Optioneel voor Basis Plus, verplicht voor Brons, Zilver en Goud
Actiehouder: Privacyzorg en Abonnee

Wanneer sprake is van een complexe of lastig te voorspellen organisatiestructuur moet het niveau van compliance aan de privacywetgeving door middel van een onsite audit worden vastgesteld. Hierbij zullen één of meerdere auditoren uw organisaties komen bezoeken.

Deze audit heeft als doel uw gegevensverwerkingen en het niveau van privacyborging te gaan inventariseren, zodat de noodzakelijke werkzaamheden in de vervolgstappen bij ons bekend zijn.

Stap 6: online evaluatie
Toepassing: Verplicht voor Basis, optioneel voor Basis Plus
Actiehouder: Privacyzorg en Abonnee

Kleinere zorginstellingen met een redelijk voorspelbare organisatiestructuur, zoals praktijken en apotheken, hoeven niet met een omvangrijke audit te worden geïnventariseerd. Hiervoor hebben we de “Online Evaluatie” ontwikkeld. Deze groep abonnees krijgen een sectorspecifiek digitaal evaluatieformulier die eenvoudig via een snelkoppeling benaderd kan worden. Deze stap heeft tot doel de gegevensverwerkingen en het niveau van privacyborging te gaan inventariseren, zodat de noodzakelijke werkzaamheden in de vervolgstappen bij ons bekend zijn.

Stap 7: Privacy rapportage
Toepassing: Optioneel voor Basis Plus, verplicht voor Brons, Zilver en Goud
Actiehouder: Privacyzorg

De instellingen die in stap 5 een “Onsite Audit” hebben afgenomen krijgen in deze stap een rapportage over de bevindingen. Tevens zal een IPM-score worden afgegeven over de mate van compliance aan de vigerende privacywetgeving. Dit rapport omvat ook het plan van aanpak om snel en efficiënt de vervolgstappen uit deze implementatiefase te kunnen gaan uitvoeren.

Voor de eerstelijns zorgverleners die via een zorggroep zijn geabonneerd (en geen Onsite Audit hebben afgenomen) wordt geanonimiseerde statistische informatie opgeleverd over de afgenomen Online Evaluaties binnen deze groep. Deze gegevens worden opgeleverd aan de zorggroep zodat we gericht op de vastgestelde risico’s de juiste informatie en hulpmiddelen ter beschikking kunnen gaan stellen.

In deze stap zal tevens voor alle abonnees een toegangsaccount worden aangemaakt voor het klantportaal, zodat de benodigde informatie zoveel mogelijk gestructureerd en via een efficiënte wijze kan worden uitgewisseld.

Stap 8: eerste Nieuwsbrief
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg

In deze stap versturen wij een digitale nieuwsbrief over de uitgevoerde werkzaamheden en de eventuele bijzonderheden van de afgelopen periode. Tevens zal een beschrijving worden gemaakt van de activiteiten die in de vervolgstappen worden uitgevoerd.

Stap 9: Analyse
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg

Met de gegevens die verkregen zijn in de voorgaande stappen zal een IPM-analyse worden uitgevoerd door onze privacy analisten. In deze stap zullen de sectorspecifieke Wet- en regelgevingen worden bepaald die voor uw organisatie van toepassing zijn.

Stap 10: processen en procedures
Toepassing: Zilver en Goud
Actiehouder: Privacyzorg

Om te voldoen aan de vigerende privacywetgeving is het noodzakelijk dat uw organisatie beschikt over de juiste documenten. U kunt daarbij ook denken aan beleidsstukken zoals een: “privacyreglement”, “autorisatiebeleid” en “informatiebeveiligingsbeleid”, maar ook procedures zoals: “toegang tot patiëntgegevens”, “steekproeven”, “meldplicht datalekken”, “autorisatieverzoeken” en “aanvraag tot vernietiging, inzage of wijziging van persoonsgegevens”. Eerstelijns zorgverleners met een “Basis abonnement” kunnen gebruikmaken van onze standaard set processen en procedures.

 

Stap 11: documenten set
Toepassing: Alle abonnementen
Actiehouders: Privacyzorg en Abonnee

Zowel privacy als informatiebeveiliging worden voornamelijk geborgd door het op de juiste wijze ondersteunen van het werkproces. Hierbij is het cruciaal dat uw medewerkers duidelijke richtlijnen ontvangen om op een veilige wijze gebruik te kunnen maken van uw informatiesystemen. Ter ondersteuning hiervan hebben wij hiervoor een gedragscode ontwikkeld en een documenten set met vijf richtlijnen voor het gebruik van ICT-faciliteiten. Ook ontvangt u een informatiebulletin met tips om datalekken te voorkomen.

Stap 12: instructie
Toepassing: Brons, Zilver en Goud
Actiehouders: Privacyzorg en Abonnee

Afhankelijk van uw abonnement en organisatieomvang zal in deze stap een instructie worden gegeven aan de direct betrokken medewerkers die met de nieuwe processen moeten gaan werken. U kunt hierbij denken aan medewerkers van de servicedesk die autorisatieopdrachten uitvoeren, maar ook applicatiebeheerders die met persoonsgegevens werken. Ook zal een instructie worden gegeven aan de betrokken leidinggevenden voor de gewenste sturing en controle over de processen.

Stap 13: tweede nieuwsbrief
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg

In deze stap versturen wij de tweede digitale nieuwsbrief over de uitgevoerde werkzaamheden en de eventuele bijzonderheden van de afgelopen periode. Tevens zal een beschrijving worden gemaakt van de activiteiten die in de vervolgstappen worden uitgevoerd.

Stap 14: opmaken registers
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg

Om te voldoen aan het accountability principe van artikel 5 lid 2 AVG worden in deze stap alle Verwerkingen (ook die binnen de Wbp onder het vrijstellingsbesluit vielen) vastgelegd in Registers. In de voorgaande fasen zijn alle noodzakelijke gegevens verzameld waardoor wij deze wettelijk verplichte registers voor u kunnen gaan opmaken. Ook worden alle verstrekte autorisaties op rechtmatigheid beoordeeld en vastgelegd in deze registers.

Stap 15: bespreking onrechtmatigheden
Toepassing: Alle abonnementen
Actiehouders: Privacyzorg en Abonnee

Bij het opmaken van de wettelijk verplichte registers kunnen ook eventueel onregelmatigheden zijn geconstateerd. In deze stap zullen deze bevindingen met u worden besproken om te onderzoeken wat de mogelijkheden zijn, of gezamenlijk een tijdlijn op te stellen waarbinnen dit kan worden opgelost.

Stap 16: overeenkomsten
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg

Indien u de Verwerkersovereenkomsten naar ons toegezonden heeft zullen deze door ons worden geanalyseerd om vast te kunnen stellen of deze voldoende waarborgen bieden om te kunnen voldoen aan de normen van de AVG. Ook zullen wij deze Verwerkersovereenkomsten administratief gaan verwerken binnen uw Registers, zodat u volledig voldoet aan de wettelijke verplichting.

Om te kunnen voldoen aan de bepalingen uit artikel 28, lid 3 van de AVG zullen wij in deze stap voor de grotere instellingen (met een Zilver en Goud abonnement) ook de Registers gaan analyseren om vast te stellen welke geautoriseerde partijen als Verwerker kunnen worden aangemerkt. Indien nodig zullen wij hiervoor een eigen versie gaan opstellen en aanbieden aan de leveranciers, maar dat kunnen ook geheimhoudingovereenkomsten of samenwerkingsovereenkomsten zijn.

Vanuit efficiency oogpunt worden zoveel mogelijk Verwerkersovereenkomsten collectief landelijk afgesloten met leveranciers, zodat we voorkomen dat veelvoorkomende zorgleveranciers telkens opnieuw dezelfde Verwerkersovereenkomsten moet beoordelen en ondertekenen.

Stap 17: presentaties
Toepassing: Brons, Zilver en Goud
Actiehouders: Privacyzorg en Abonnee

Indien u een Brons, Zilver of Goud abonnement heeft afgesloten zullen wij presentaties houden voor het versterken van het privacy bewustzijn bij uw medewerkers. In overleg kan het onderwerp, de duur en de vorm met u worden afgesproken. Voor zorggroepen die een abonnement hebben afgesloten voor groepen “eerstelijns zorgverleners” zullen wij ook (jaarlijks) regionale presentaties organiseren.

Stap 18: jaarlijkse steekproef
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg

Jaarlijks houdt stichting Privacyzorg enkele steekproeven onder verschillende leveranciers (Verwerkers) om te controleren of voldoende waarborgen aanwezig zijn om te kunnen voldoen aan de vigerende privacywetgeving en informatiebeveiligingsnormen. Hiervoor wordt door ons een steekproevenlijst bijgehouden die in deze stap zal worden aangevuld met uw leveranciers.

Stap 19: jaarlijkse audit/evaluatie
Toepassing: Alle abonnementen
Actiehouders: Privacyzorg en Abonnee

In deze stap zal ons planningsbureau in overleg met u de jaarlijks terugkerende audit of evaluatie inplannen.

Stap 20: derde nieuwsbrief
Toepassing: Alle abonnementen
Actiehouder: Privacyzorg

In deze stap versturen wij onze laatste digitale nieuwsbrief over de implementatiefase met informatie over de uitgevoerde werkzaamheden en de eventuele bijzonderheden van de afgelopen periode. Tevens zal uitgebreid informatie worden gegeven over de Beheerfase.

Lees meer over Privacybeheer