Overslaan naar inhoud

Privacybeheer

Bijzondere persoonsgegevens zijn gegevens die zo privacygevoelig zijn dat het een grote impact op iemand kan hebben als een organisatie deze gegevens verwerkt. Denk hierbij bijvoorbeeld aan gegevens over iemands gezondheid. Daarom krijgen bijzondere persoonsgegevens extra bescherming in de Algemene Verordening Gegevensbescherming (AVG).

De AVG legt de verantwoordelijkheid bij u als zorgverlener om aan te tonen dat u aan de privacyregels voldoet. Dat heet de verantwoordingsplicht (accountability). Iedere natuurlijke- of rechtspersoon die onder de Verordening en de Uitvoeringswet valt, moet zich houden aan de hierin vastgelegde regels en verplichtingen.

Contact

Wat gebeurt er als je
de AVG niet naleeft?

De Autoriteit Persoonsgegevens (AP) is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing.

Een belangrijk onderdeel van onze dienstverlening is het Privacybeheer waardoor wij naadloos kunnen integreren in uw bestaande werkwijze en u volledig kunnen ontzorgen.

Onze IPM™-beheercyclus wordt gebruikt voor het procesmatig borgen van de vigerende privacy wet- en regelgeving. Deze methodiek maakt gebruik van 4 beschreven stappen voor het gestructureerd borgen van alle verplichtingen die gelden voor zorginstellingen.

Wanneer het noodzakelijk of gewenst is heeft u hiermee altijd de beschikking over de juiste expertise voor een fractie van de gebruikelijke kosten. U kunt tevens 7 dagen per week, 24 uur per dag een datalek of incident bij ons aanmelden. Wij zorgen vervolgens voor de afhandeling van het onderzoek en de verplichte melding bij de Autoriteit Persoonsgegevens. Ook stellen wij een verbeterplan voor u op om risico’s in de toekomst te kunnen voorkomen.

De IPM™-beheercyclus

‘Aantoonbaar en procesmatig borgen van de privacywetgeving’

Voor het aantoonbaar borgen van de vigerende privacywetgeving moet deze op controleerbare wijze zijn ingericht binnen uw organisatie. Het duurzaam borgen van de privacywetgeving is een lopend proces en geen eenmalig project!

Het heeft niet alleen betrekking op wettelijke regels, maar ook op de werkwijze van de organisatie (beleid, processen en procedures). Ook het kennisniveau van de medewerkers is hier van grote invloed op.

Vanaf een ‘Basis Plus abonnement’ zal de IPM™-beheercyclus worden gebruikt voor het procesmatig borgen van de vigerende privacy wet- en regelgeving. Deze methodiek maakt gebruik van 4 beschreven stappen voor het gestructureerd borgen van alle verplichtingen die gelden voor de zorginstelling. Voor de ‘basis abonnees’ zal jaarlijks een online inventarisatie (QuickScan) plaatsvinden, waardoor onze backoffice de Registers van verwerkingsactiviteiten kunnen opmaken of bijwerken.

Uitleg over de IPM™-beheercyclus

Deze presentatie over de I.P.M.-methode biedt een gedetailleerd inzicht in de beproefde beheercyclus voor privacy beheer. Deze cyclus bestaat uit 4 stappen die zorgverleners helpen om hun privacybeheer te optimaliseren en continue te verbeteren.

Stichting Privacyzorg biedt zorgverleners integrale ondersteuning bij het beheersen van privacy wet- en regelgeving binnen hun organisaties door middel van de Integraal Privacy Management (I.P.M.) methode. Deze innovatieve en holistische aanpak helpt zorgprofessionals om te voldoen aan de actuele wet- en regelgeving, waaronder de AVG, UAVG, WGBO en andere relevante regels omtrent privacy in de zorg. 

De focus ligt op effectieve implementatie en continue borging, zodat zorgverleners kunnen garanderen dat hun organisaties voldoen aan de hoogste standaarden voor privacybeheer.

Deze presentatie is specifiek ontwikkeld voor professionals in de zorgsector die verantwoordelijk zijn voor privacy compliance, waaronder zorgverleners, management en bestuurders.

In deze eerste stap zal een gecertificeerde Privacy Officer (PO) van Stichting Privacyzorg een privacy audit uitvoeren. Alle relevante wettelijke, statutaire, regelgevende en contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen moeten voor de organisatie expliciet worden vastgesteld, gedocumenteerd en actueel worden gehouden.

Afhankelijk van uw abonnement richt de audit zich ook op de wettelijke verplichtingen die voortkomen uit de AVG, of over een breder palet aan vigerende wet- en regelgeving, waaronder:

  • Wet op de geneeskundige behandelingsovereenkomst (Wgbo)
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)
  • Besluit elektronische gegevensverwerking door zorgaanbieders (Begz)
  • Wet kwaliteit klachten en geschillen in de zorg (Wkkgz)
  • Wet elektronische gegevensuitwisseling in de zorg (Wegiz)
  • Gedragslijnen

Hierbij wordt voor de gehele organisatie per wetsartikel beschreven hoe uitvoering wordt gegeven aan deze geboden. Ook zullen de Registers van verwerkingsactiviteiten worden opgemaakt of geactualiseerd worden en zullen de noodzakelijke Verwerkersovereenkomsten worden beoordeeld en administratief worden verwerkt.

Het beschrijven van de IST-situatie helpt om inzicht te krijgen in het huidige compliance niveau van de organisatie, wat noodzakelijk is om de volgende stap in de IPM™- beheercyclus te kunnen uitvoeren.

In de voorgaande stap is door de PO vastgesteld welke privacy wet- en regelgeving op uw organisatie van toepassing is en welk privacybeleid gevoerd wordt. In stap 2 zal door de Functionaris Gegevensbescherming (FG) een 'gapanalyse' worden uitgevoerd waaruit blijkt wat er wel en niet goed geregeld is. Ook zal de IPM™-score worden bepaald door de FG.

Het FG-advies wat hieruit voortkomt zal jaarlijks met de Verwerkingsverantwoordelijke worden besproken. Ook helpt dit advies de PO om inzicht te krijgen in de noodzakelijke maatregelen die genomen moeten worden om de organisatie te kunnen bijsturen in de volgende stap in de IPM™-beheercyclus.

Uit de voorgaande stap (gapanalyse) komen meestal verbeterpunten voort. In stap 3 worden de noodzakelijke maatregelen genomen om de gewenste situatie te kunnen bereiken (SOLL). Er worden tickets aangemaakt en deze worden op naam gezet van actiehouders. Het monitoren op de voortgang zal worden uitgevoerd door onze backoffice. Templates van ontbrekende beleidsdocumenten, processen en procedures kunnen door ons worden opgeleverd. Na het akkoord van de FG op de voorgestelde maatregelen kan in de volgende stap het beheer gaan plaatsvinden.

In deze laatste stap van de IPM™-beheercyclus worden alle noodzakelijke privacy-gerelateerde actieve, proactieve, reactieve en adaptieve beheeractiviteiten uitgevoerd. Nadat de voorgaande stappen hebben plaatsgevonden zullen namelijk verschillende werkzaamheden moeten worden uitgevoerd om een compliant situatie te kunnen behouden.

U kunt daarbij denken aan taken zoals:

  • De voortgang monitoren (en/of uitvoeren) van de verbetermaatregelen die vastgesteld zijn in stap 3;
  • het periodiek uitvoeren van voortgangsgesprekken en het verwerken van deze bevindingen in de beheerportaal (Privat);
  • beoordelen van, en controles op volledige borging van de Verwerkersovereenkomsten;
  • uitvoeren van risicoanalyses (DPIA’s) over hoog risico verwerkingen;
  • nieuwe juridische actualiteiten verwerken in documenten, processen en procedures;
  • afhandelen van Datalekken (administratie in het datalekregister);
  • beantwoorden van alle privacy gerelateerde vragen;
  • etc.

Voor een gedetailleerde beschrijving van alle beheertaken kunt u onze Dienstwijzer bekijken. Dit zijn de taken die uitgevoerd worden als reactie op een verzoek van een abonnee. Deze taken zijn onderverdeeld in een viertal prioriteiten: kritisch, hoog, normaal en planbaar.

Jaarlijks zal deze IPM™- beheercyclus opnieuw worden doorlopen!

Uitleg IPM-Scoremodel

Geeft inzage in het compliance niveau van een organisatie.

De IPM-score is onderverdeeld in de scores 1 tot en met 5. De IPM-score 0 is het startniveau van de meeste organisaties die nog niets gedaan hebben aan het naleven van de privacywetgeving, dit kan ook hoger liggen in bepaalde gevallen wanneer een organisatie reeds initiatieven heeft ontplooid. Een grote organisatie zal per definitie meer tijd hebben geïnvesteerd in het formaliseren van processen, het opstellen van privacyregels en het doorvoeren van een proces gestuurde werkwijze voor het naleven van de privacywetgeving. De IPM-score verschaft een gestructureerd inzicht in het compliance niveau van een organisatie, en wordt aangeduid als de “IPM-score van de organisatie"Hoe hoger de score, des te beter de privacywetgeving is geborgd. Deze score geeft daarmee ook aan of een organisatie bijvoorbeeld correct omgaat met het verstrekken van autorisaties, het registreren van datalekken, het houden van steekproeven en het beleid omtrent privacy als geheel. Wanneer een organisatie een hoge IPM-score heeft, betekent dit feitelijk dat de wettelijk verplichte privacyrichtlijnen correct zijn geborgd. Zo kan eenvoudig worden bepaald of een organisatie op een verantwoorde wijze omgaat met persoonsgegevens en dat op een correcte wijze aan de informatie- en verantwoordingsplicht wordt voldaan.

Niveau 0: Correctief Privacybeheer

Bij het correctieve privacybeheer ontbreekt een systematische en organisatiebrede methode voor de borging van privacy. Vaak is een (ICT) manager verantwoordelijk voor privacy gerelateerde zaken, maar beseft dit onvoldoende. Verantwoordelijkheden worden maar incidenteel vastgelegd. Procesmatige relaties en afhankelijkheden zijn niet te herkennen. De mate van privacyborging is een optelsom van de prestaties van de afdelingen. Er zijn geen of onvoldoende maatregelen getroffen om datalekken en incidenten te voorkomen en hiervoor zijn geen procedures gedefinieerd. Er is geen overzicht van Verwerkingen van persoonsgegevens.


Niveau 1: Actief Verwerkingenbeheer

Binnen dit eerste beheerniveau is er urgentiebesef omtrent het onderwerp privacybescherming. Er heeft een onderzoek plaatsgevonden waarbij het huidige niveau van privacyborging in kaart is gebracht. Op hoofdlijnen is een plan van aanpak gedefinieerd voor de privacyborging. De procesactiviteiten, doelstellingen en de resultaten voor het beheren van Verwerkingen zijn duidelijk omschreven. Op systematische wijze is een statische inventarisatie gemaakt van de belangrijkste Verwerkingen. De mogelijkheid tot het opbouwen van een kennisdatabase is aanwezig. Ook heeft de organisatie een Functionaris Gegevensbescherming aangesteld.


Niveau 2: Proactief Risicobeheer

Het proces en de benodigde procedures voor het gestructureerd kunnen afhandelen van privacyrisico’s zijn gedefinieerd en worden toegepast. De wettelijk verplichte gegevensbeschermingseffectbeoordeling wordt procesmatig gepland en uitgevoerd. Ook zijn de benodigde afspraken omtrent Registerbeheer opgesteld. Er is een procedure opgesteld om aan de eisen vanuit de meldplicht Datalekken te voldoen. De organisatie heeft een procedure voor het uitvoeren van steekproeven op autorisatielogboeken. Er is een meldpunt ingericht waar privacygerelateerde vragen, risico’s en klachten kunnen worden afgehandeld.


Niveau 3: Reactief Wijzigingenbeheer

Voor het gestructureerd kunnen afhandelen van wijzigingen op de Verwerkingen is een proces opgesteld en de benodigde procedures zijn gedefinieerd. Wijzigingenbeheer is geïmplementeerd binnen de organisatie en dit kan worden aangetoond; zowel binnen een privacy beheersysteem alsmede binnen het werkproces en het handelen van medewerkers, leveranciers en klanten. Verzoeken voor “vernietiging van” of “inzage in” persoonsgegevens en wijzigingen in autorisaties en de toegang tot bijzondere persoonsgegevens zijn geborgd middels procedures. Verwerkers zijn geborgd door middel van een overeenkomst.


Niveau 4: Adaptief Compliancebeheer

Bij het bereiken van dit beheerniveau zijn de actieve en passieve rechten van betrokkenen gewaarborgd. De organisatie kan zich hierover maatschappelijk verantwoorden. De in beheer zijnde Verwerkingen blijven compliant aan veranderende privacy Wet- en regelgeving en hierover wordt jaarlijks gerapporteerd. Er is een Privacyreglement, Autorisatiebeleid en Informatiebeveiligingsbeleid. De wettelijke bewaartermijnen zijn geïnventariseerd en hierop wordt actief beheer gevoerd binnen de geregistreerde Verwerkingen. Er vinden jaarlijkse interne audits plaats en er wordt actief toezicht gehouden op informatie-uitwisselingen.


Niveau 5: Perfectief Privacybeheer

In dit laatste en tevens hoogste beheerniveau vindt perfectief privacybeheer plaats door het verbeteren van de prestaties en de kwaliteit. Alle Verwerkingen binnen de organisatie zijn geregistreerd en de cyclus van de jaarlijkse evaluaties hebben tenminste éénmaal plaatsgevonden. De integrale werking en de effecten van de getroffen maatregelen kunnen aangetoond worden. De organisatie is accountable voor de privacybescherming. De organisatie heeft privacybescherming zodanig verankerd in de bedrijfsvoering dat dit onderdeel is geworden van het risicomanagement dat een verplicht onderdeel is van de jaarrekening.


Borgen van alle veranderingen: Welke interne resources zijn nodig?

Bij het opstellen van nieuwe veranderingen wegen veel zorgorganisaties de optie af om te kiezen voor ofwel het aanwijzen van een interne medewerker, of voor het inhuren van een externe consultant.  Bij het maken van deze keuze kunnen diverse factoren een rol spelen, waaronder het beschikbare budget of de specifieke expertise die nodig is voor deze taken.

Zo kunnen externe consultants (soms beter) gebruikt worden wanneer diepe gespecialiseerde kennis nodig is bij een grootschalig verandering, of wanneer een neutrale, onafhankelijke kijk op een vraagstuk nodig is. Soms heeft een organisatie simpelweg onvoldoende capaciteit in huis voor een specifiek vraagstuk of is er bijvoorbeeld vanuit het bestuur behoefte aan externe expertise om de risico’s van de te kiezen alternatieven goed te kunnen beoordelen. Interne adviseurs op hun beurt kennen bijvoorbeeld de organisatie goed en weten wat er speelt – zij spreken de taal van de zorginstelling en begrijpen de cultuur van de daar werkzame professionals.

Extra handen nodig?

Onze Privacy Officers (PO) en Information Security Officers (ISO) beheersen niet alleen de vigerende privacywetgeving en de actuele informatiebeveiligingsnormen zoals NEN7510, maar hebben ook de persoonlijke kwaliteiten en competenties om uw veranderingen tot een succes te maken. Stichting Privacyzorg heeft veel specialisten tot haar beschikking, zo kunnen wij u ook op uw locatie ondersteunen met de invoering van de AVG en NEN7510. Wilt u graag ondersteuning van één van onze specialisten? Neemt u dan contact met ons op voor een vrijblijvend gesprek.

Voorbeelden:

Specialist:​Tarief (per uur):
​* Junior Privacy Officer (PO): ​€ 68,71
​* Junior Information Security Officer (ISO):​€ 68,71


* Voorwaarden:

  1. Prijzen exclusief 21% BTW en reiskosten (€0,23 cent per kilometer).
  2. Stichting Privacyzorg verhuurt geen specialisten aan organisaties die geen abonnee bij ons zijn.

​Het klantportaal

Het beheerportaal van Stichting Privacyzorg is dé oplossing waarmee zorgorganisaties In Control zijn en compliant blijven. Alle stappen uit de IPM™-beheercyclus kunt u hierin terugvinden, waaronder ook de voortgang en actiepunten. Ondersteunende templates voor documenten worden bijgehouden in het beheerportaal, zodat u snel over de meest actuele versie kunt beschikken.

Door middel van dashboards heeft u altijd een real-time overzicht van al uw tickets (uw vragen aan ons) en de voortgang. Ook zijn uw "Registers van verwerkingsactiviteiten" in te zien die wij voor u hebben opgemaakt, en heeft u een overzicht van alle Verwerkers. Indien vereist kunt u (per Register) de benodigde risicoanalyse ((D)PIA - Privacy Impact Assessments) terugvinden.

In het portaal heeft u ook inzage in het compliance overzicht (nav de jaarlijkse audits), waarmee u in 1 overzicht kunt zien hoe uw organisatie ervoor staat.

Ook heeft u in het beheerportaal toegang tot het "beheersysteem voor de informatiebeveiliging (ISMS)" waarmee u NEN7510 kunt beheren.


Cont​​​​​​act

Klaar om te beginnen aan een reis van digitale transformatie?

Laten we uw visie omzetten in realiteit. Neem vandaag nog contact met ons om uw zorginstelling op weg te helpen naar digitale compliance.