• 0
    • Uw winkelwagen is leeg!

Privacy Beheer

volledig ontzorgen, preventie en ondersteuning
Bijzondere persoonsgegevens zijn gegevens die zo privacygevoelig zijn dat het een grote(re) impact op iemand kan hebben als een organisatie deze gegevens verwerkt. Bijvoorbeeld gegevens over iemands gezondheid. Daarom krijgen bijzondere persoonsgegevens extra bescherming in de AVG.
De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als zorgverlener om aan te tonen dat u aan de privacyregels voldoet. Dat heet de verantwoordingsplicht (accountability). Iedere natuurlijke- of rechtspersoon die onder de Verordening en de Uitvoeringswet valt, moet zich houden aan de hierin vastgelegde regels en verplichtingen.
Wat gebeurt er als je de AVG niet naleeft?
De Autoriteit Persoonsgegevens (AP) is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing.
Onze Missie
Een belangrijk onderdeel van onze dienstverlening is het Privacybeheer waardoor wij naadloos kunnen integreren in uw bestaande werkwijze en u volledig kunnen ontzorgen.
Onze IPM™-beheercyclus wordt gebruikt voor het procesmatig borgen van de vigerende privacy wet- en regelgeving. Deze methodiek maakt gebruik van 4 beschreven stappen voor het gestructureerd borgen van alle verplichtingen die gelden voor zorginstellingen.
 
Wanneer het noodzakelijk of gewenst is heeft u hiermee altijd de beschikking over de juiste expertise voor een fractie van de gebruikelijke kosten. U kunt tevens 7 dagen per week, 24 uur per dag een datalek of incident bij ons aanmelden. Wij zorgen dan voor de afhandeling van het onderzoek en de verplichte melding bij de Autoriteit Persoonsgegevens. Ook stellen wij een verbeterplan voor u op om de risico’s in de toekomst te kunnen voorkomen.

CONTACT

Privacy én Informatiebeveiliging

(klik op het plaatje om te vergroten)

Volledig ontzorgd zonder verrassingen!

Door de IPM™-beheermethode kan naadloos worden geïntegreerd in uw bestaande werkprocessen. Heeft u al een interne Privacy of Information Security Officer (PO/ISO)? Dan kunnen wij deze vanuit onze backoffice administratief ondersteunen zodat meer tijd overblijft voor interne werkzaamheden zoals het geven van trainingen aan de medewerkers om de interne kennis te vergroten en het adviseren in privacy gerelateerde zaken. Heeft u geen eigen privacy- en/of informatiebeveiligingsmedewerkers dan kunnen wij u uiteraard volledig ontzorgen.


Functionaris gegevensbescherming vs Privacy Officer

De Privacy Officer (PO) ontwikkelt het privacybeleid en voert het uit. Het is de wettelijke taak van de Functionaris Gegevensbescherming (FG) om te controleren dat de privacywet AVG intern wordt nageleefd, ook in het privacybeleid. Wanneer deze taken worden gecombineerd controleert iemand het eigen werk, zoals een slager die zijn eigen vlees keurt. Deze situatie is onhoudbaar en ook niet wettelijk toegestaan!

De Autoriteit Persoonsgegevens stelt in haar richtlijnen dat de rollen van de Functionaris Gegevensbescherming (FG) en de Privacy Officer (PO) verschillen, maar helaas combineren veel zorginstellingen nog steeds deze functies door personeelstekort of onwetendheid.

  •   Officieel AP-geregistreerde Functionaris Gegevensbescherming

  •   Privacy- en Information Security Officer

  •   7 x 24 bereikbaar via gratis telefoonnummer 0800-1090

  •   Aantoonbaar AVG en NEN7510

  • Jaarlijkse audits op uitvoering P&IB-beleid

  •   Geen financiële verrassingen, all-in abonnement

De FG houdt binnen uw organisatie toezicht op de toepassing en naleving van de vigerende privacywetgeving. Op grond van artikel 37 van de AVG zijn organisaties namelijk verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

De FG fungeert als het eerste aanspreekpunt voor de Autoriteit Persoonsgegevens (AP) en heeft een onafhankelijke rol binnen uw organisatie, met rechtstreekse lijnen met uw bestuur. De FG heeft kennis van privacywet- en regelgeving, maar ook voldoende inzicht in en kennis van informatiebeveiliging én de processen binnen uw organisatie. De functie van FG vereist dus een onafhankelijke positie; om deze reden mag deze functie niet zomaar door iemand binnen organisatie vervuld worden.

  •   Toezicht op de vigerende privacywetgeving
  • Toezicht op alle gegevensverwerkingen
  • Geeft gevraagd en ongevraagd advies
  •   Rapporteert aan de directie
  • Contactpersoon voor de Autoriteit Persoonsgegevens (AP)
  •   Contactpersoon voor Betrokkenen

De PO is verantwoordelijk voor het ontwikkelen en uitvoeren van het privacybeleid van de organisatie. De PO speelt een grote rol binnen de organisatie door te fungeren als eerste aanspreekpunt voor privacyvraagstukken die spelen binnen de organisatie. Denk bijvoorbeeld aan het opmaken van uw registers van verwerkingsactiviteiten, het opstellen van - of onderhandelen over - verwerkersovereenkomsten, of het uitvoeren van een Data Protection Impact Assessment (DPIA). Onze backoffice kan geheel of gedeeltelijk deze werkzaamheden voor u oppakken. Heeft u geen PO, dan kan onze backoffice alle noodzakelijke werkzaamheden voor u invullen.

  •   1e-lijn voor privacyvragen
  •   Verwerkersovereenkomsten
  • Privacy administratie
  •   Afhandelen Datalekken en incidenten
  •   Training om interne kennis van de medewerkers te vergroten
  •   Ondersteuning aan de FG

De ISO is verantwoordelijk voor het implementeren van informatiebeveiligingsbeleid én het toezicht daarop. De ISO heeft kennis en ervaring op het gebied van informatiebeveiliging, risicoanalyses, specialistische beveiligingstechnieken en de relevante wet- en regelgeving. De ISO zorgt voor technische en organisatorische maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie te garanderen.

  • 1e-lijn voor informatiebeveiligingsvragen
  •   Ondersteuning vraagstukken IB
  •   Bewustwording vergroten
  •   Inzichtelijk maken de IB-organisatie
  •   Maatregelen treffen
  •   Uitvoeren van interne controles en risico's analyseren
Odoo Members
(Klik op het plaatje om te vergroten)

Uitleg IPM™-beheercyclus

‘Aantoonbaar en procesmatig borgen van de privacywetgeving’

Voor het aantoonbaar borgen van de vigerende privacywetgeving moet deze op controleerbare wijze zijn ingericht binnen uw organisatie. Het duurzaam borgen van de privacywetgeving is een proces en geen eenmalig project! 

Het heeft niet alleen betrekking op wettelijke regels, maar ook op de werkwijze van de organisatie (beleid, processen en procedures). Ook het kennisniveau van de medewerkers is hier van grote invloed op.

Vanaf een ‘Basis Plus abonnement’ zal de IPM™-beheercyclus worden gebruikt voor het procesmatig borgen van de vigerende privacy wet- en regelgeving. Deze methodiek maakt gebruik van 4 beschreven stappen voor het gestructureerd borgen van alle verplichtingen die gelden voor de zorginstelling. Voor de ‘basis abonnees’ zal jaarlijks een online inventarisatie (QuickScan) plaatsvinden, waardoor onze backoffice de Registers van verwerkingsactiviteiten kunnen opmaken of bijwerken.

Odoo Members 
Afhankelijk van uw abonnement richt de audit ook op de wettelijke verplichtingen die voortkomen uit de AVG, of over een breder palet aan vigerende wet- en regelgeving.

Stap 1: BESCHRIJVEN

In deze eerste stap zal een gecertificeerde Privacy Officer (PO) van stichting Privacyzorg een privacy audit gaan uitvoeren. Alle relevante wettelijke, statutaire, regelgevende en contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen moeten voor de organisatie expliciet worden vastgesteld, gedocumenteerd en actueel gehouden.

Afhankelijk van uw abonnement richt de audit ook op de wettelijke verplichtingen die voortkomen uit de AVG, of over een breder palet aan vigerende wet- en regelgeving, waaronder:

  • Wet op de geneeskundige behandelingsovereenkomst (Wgbo)
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)
  • Besluit elektronische gegevensverwerking door zorgaanbieders (Begz)
  • Wet kwaliteit klachten en geschillen in de zorg (Wkkgz)
  • Wet elektronische gegevensuitwisseling in de zorg (Wegiz)
  • Gedragslijnen

Hierbij wordt voor de gehele organisatie per wetsartikel beschreven hoe uitvoering wordt gegeven aan deze geboden. Ook zullen de Registers van verwerkingsactiviteiten worden opgemaakt of geactualiseerd worden en zullen de noodzakelijke Verwerkersovereenkomsten worden beoordeeld en administratief worden verwerkt.

Het beschrijven van de IST-situatie helpt om inzicht te krijgen in het huidige compliance niveau van de organisatie, wat noodzakelijk is om de volgende stap in de IPM™- beheercyclus te kunnen uitvoeren.

Stap 2: BEOORDELEN

In de voorgaande stap is door de PO vastgesteld welke privacy wet- en regelgeving op uw organisatie van toepassing is en welk privacy beleid gevoerd wordt. In deze stap zal door de Functionaris Gegevensbescherming (FG) een 'gapanalyse' worden uitgevoerd waaruit blijkt wat er wel en niet goed geregeld is. Ook zal de IPM™-score worden bepaald door de FG.

Het FG-advies wat hieruit voortkomt zal jaarlijks met de Verwerkingsverantwoordelijke worden besproken. Ook helpt dit advies de PO om inzicht te krijgen in de noodzakelijke maatregelen die genomen moeten worden om de organisatie te kunnen bijsturen in de volgende stap in de IPM™-beheercyclus.

Stap 3: BIJSTUREN

Uit de voorgaande stap (gapanalyse) komen meestal verbeterpunten voort. In deze stap worden de noodzakelijke maatregelen genomen om de gewenste situatie te kunnen bereiken (SOLL). Er worden tickets aangemaakt en deze worden op naam gezet van actiehouders. Het monitoren op de voortgang zal worden uitgevoerd door onze backoffice. Templates van ontbrekende beleidsdocumenten, processen en procedures kunnen door ons worden opgeleverd. Na het akkoord van de FG op de voorgestelde maatregelen kan in de volgende stap het beheer gaan plaatsvinden.

Stap 4: BEHEREN

In deze laatste stap van de IPM™-beheercyclus worden alle noodzakelijke privacy gerelateerde actieve, proactieve, reactieve en adaptieve beheeractiviteiten uitgevoerd. Nadat de voorgaande stappen hebben plaatsgevonden zullen namelijk verschillende werkzaamheden moeten worden uitgevoerd om een compliant situatie te kunnen behouden.

U kunt daarbij denken aan taken zoals:

  • De voortgang monitoren (en/of uitvoeren) van de verbetermaatregelen die vastgesteld zijn in stap 3;
  • het periodiek uitvoeren van voortgangsgesprekken en het verwerken van deze bevindingen in de beheerportaal (Privat);
  • beoordelen van, en controles op volledige borging van de Verwerkersovereenkomsten;
  • uitvoeren van risicoanalyses (DPIA’s) over hoog risico verwerkingen;
  • nieuwe juridische actualiteiten verwerken in documenten, processen en procedures;
  • afhandelen van Datalekken (administratie in het datalekregister);
  • beantwoorden van alle privacy gerelateerde vragen;
  • etc.

Voor een gedetailleerde beschrijving van alle beheertaken kunt u onze Dienstwijzer bekijken. Dit zijn de taken die uitgevoerd worden als reactie op een verzoek van een abonnee. Deze taken zijn onderverdeeld in een viertal prioriteiten: kritisch, hoog, normaal en planbaar.

Jaarlijks zal de IPM™- beheercyclus opnieuw worden doorlopen!

Odoo Members

Borgen van alle veranderingen: welke interne resources zijn nodig?

Bij het opstellen van nieuwe veranderingen wegen veel zorgorganisaties de optie af om te kiezen voor ofwel een interne medewerker aan te wijzen, of voor het inhuren van een externe consultant.  Bij het maken van deze keuze kunnen diverse factoren een rol spelen, waaronder het beschikbare budget of de specifieke expertise die nodig is voor deze taken.

Zo kunnen externe consultants (soms beter) gebruikt worden wanneer diepe gespecialiseerde kennis nodig is bij een grootschalig verandering, of wanneer een neutrale, onafhankelijke kijk op een vraagstuk nodig is. En soms heeft een organisatie simpelweg onvoldoende capaciteit in huis voor een specifiek vraagstuk of is er bijvoorbeeld vanuit het bestuur behoefte aan externe expertise om de risico’s van de te kiezen alternatieven goed te kunnen beoordelen. Interne adviseurs op hun beurt kennen bijvoorbeeld de organisatie goed en weten wat er speelt – zij spreken de taal van de zorginstelling en begrijpen de cultuur van de daar werkzame professionals.

Extra handjes nodig?

Onze Privacy Officers (PO) en Information Security Officers (ISO) beheersen niet alleen de vigerende privacywetgeving en de actuele informatiebeveiligingsnormen zoals NEN7510, maar hebben ook de persoonlijke kwaliteiten en competenties om uw veranderingen tot een succes te maken. Stichting Privacyzorg heeft veel specialisten tot haar beschikking, zo kunnen wij u ook op uw locatie ondersteunen met de invoering van de AVG en NEN7510. Wilt u graag ondersteuning van één van onze specialisten? Neemt u dan contact met ons op voor een vrijblijvend gesprek.

Voorbeelden:

Specialist:​Tarief (per uur):
​* Junior Privacy Officer (PO): ​€ 68,71
​* Junior Information Security Officer (ISO):​€ 68,71

* Voorwaarden:

  1. Prijzen exclusief 21% BTW en reiskosten (€0,23 cent per kilometer).
  2. Stichting Privacyzorg verhuurt geen specialisten aan organisaties die geen abonnee bij ons zijn.

Het Beheerportaal

realtime inzicht

Het beheerportaal van stichting Privacyzorg is dé oplossing waarmee zorgorganisaties In Control zijn en compliant blijven. 

Alle stappen uit de IPM™-beheercyclus kunt u hierin terugvinden, ook de voortgang en actiepunten.

Ondersteunende templates voor documenten worden bijgehouden in het beheerportaal, zodat u snel over de meest actuele versie kunt beschikken.

Doormiddel van dashboards heeft u altijd een real-time overzicht van al uw tickets (uw vragen aan ons) en de voortgang. Ook zijn uw "Registers van verwerkingsactiviteiten" in te zien die wij voor u hebben opgemaakt, en heeft u een overzicht van alle Verwerkers. Indien vereist kunt u (per Register) de benodigde risicoanalyse ((D)PIA - Privacy Impact Assessments) terugvinden.

In het portaal heeft u ook inzage in het compliance overzicht (nav de jaarlijkse audits), waarmee u in 1 overzicht kunt zien hoe uw organisatie ervoor staat.

Ook heeft u in het beheerportaal toegang tot het "beheersysteem voor de informatiebeveiliging (ISMS)" waarmee u NEN7510 kunt beheren.

tab1
tab2
tab3