Overslaan naar inhoud

Ondersteuning nodig in het beheren van Privacy?

Neem dan een abonnement bij Stichting Privacyzorg!


  Begin nu >  

Privacybeheer

Om te voldoen aan de privacywetgeving, moet deze op een duidelijke en controleerbare manier zijn geïntegreerd in uw organisatie. Dat vraagt om een blijvende aanpak, niet om slechts een eenmalig project.

Stichting Privacyzorg ondersteunt zorginstellingen met een praktische privacybeheermethodiek, gebaseerd op een jaarlijkse beheercyclus bestaande uit vier stappen. Bovendien is uw volledige privacyadministratie altijd inzichtelijk en toegankelijk via ons online portaal.


  Contact  

AVG‑cockpit: normatief en audit‑proof

De AVG‑cockpit vormt het normatieve fundament (WAT & HOE) voor de privacywetgeving. Hierin worden alle relevante kaders geïntegreerd, zoals:

  • AVG, WGBO, Wabvpz, Wkkgz en Besluit elektronische gegevensverwerking
  • Gedragslijnen van NVZ en IGJ

Alles wordt:

✅ op artikelniveau uitgewerkt

✅ vertaald naar concrete normen (WAT & HOE)

gescheiden van de uitvoering (DOEN)

✅ en volledig audit‑proof ingericht

Operationeel privacybeheer (DOEN)

Binnen het operationeel privacybeheer ondersteunen wij de organisatie bij de dagelijkse uitvoering van alle privacyverplichtingen.

Dit omvat onder andere:

  • het afhandelen van datalekken en incidenten;
  • het beoordelen en beheren van verwerkersovereenkomsten;
  • het beantwoorden van privacyvragen vanuit de organisatie;
  • het uitvoeren van DPIA’s en risicoanalyses;
  • en het actueel houden van registers van verwerkingsactiviteiten.

👉 Wij zorgen dat verplichtingen niet alleen op papier staan, maar ook daadwerkelijk worden uitgevoerd en vastgelegd.

Wij zijn 24/7 bereikbaar voor ondersteuning bij incidenten en urgente vragen.

Altijd deskundige ondersteuning

U heeft continu toegang tot ervaren privacyjuristen met kennis van zowel AVG als zorgspecifieke wetgeving.

Continuïteit gegarandeerd

Ook bij ziekte, verlof of wisselingen blijft ondersteuning beschikbaar en geborgd.

Directe en praktische hulp

 Uw vragen worden snel en inhoudelijk beantwoord, met direct toepasbare oplossingen.

Waarom is privacybeheer zo belangrijk?

Het niet naleven van de AVG kan grote gevolgen hebben voor zorginstellingen. De Autoriteit Persoonsgegevens (AP) heeft de bevoegdheid om sancties op te leggen, zoals boetes, verwerkingsverboden en berispingen. Maar privacybeheer gaat verder dan het voorkomen van sancties: het is essentieel voor het beschermen van de persoonlijke levenssfeer van cliënten, medewerkers en andere betrokkenen.

Stichting Privacyzorg helpt zorginstellingen om privacy structureel en aantoonbaar te borgen binnen de organisatie. Onze IPM™-beheercyclus bestaat uit vier overzichtelijke stappen die helpen om alle verplichtingen uit de privacywetgeving procesmatig te borgen binnen uw organisatie. Deze methodiek sluit aan op uw bestaande werkwijze en zorgt ervoor dat privacy geen losse taak is, maar een vast onderdeel van uw organisatie.

U wordt volledig ontzorgd: van het opstellen van beleid tot het afhandelen van datalekken. Incidenten kunnen 24/7 bij ons gemeld worden, waarna wij het onderzoek en de verplichte melding bij de AP verzorgen. Zo bent u niet alleen compliant, maar ook voorbereid op toekomstige risico’s.

Onze werkwijze: De IPM™-beheercyclus


Vanaf het Basis Plus abonnement maken zorginstellingen gebruik van onze IPM™-beheercyclus. Dit is een praktische methode die bestaat uit vier duidelijke stappen, waarmee we alle privacyverplichtingen gestructureerd en aantoonbaar in uw organisatie verankeren. Zo zorgen we ervoor dat uw privacybeheer niet alleen voldoet aan de wet, maar ook goed is ingebed in uw dagelijkse werkwijze.

Bij het Basis abonnement voeren we jaarlijks een online inventarisatie uit via een QuickScan. Op basis daarvan stelt onze backoffice de registers van verwerkingsactiviteiten op of werkt deze bij. Zo blijft uw privacyadministratie actueel, zonder dat u daar zelf veel tijd aan kwijt bent.

In deze eerste stap zal een gecertificeerde Privacy Officer (PO) van Stichting Privacyzorg een privacy audit uitvoeren. Alle relevante wettelijke, statutaire, regelgevende en contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen moeten voor de organisatie expliciet worden vastgesteld, gedocumenteerd en actueel worden gehouden.

Afhankelijk van uw abonnement richt de audit zich ook op de wettelijke verplichtingen die voortkomen uit de AVG, of over een breder palet aan vigerende wet- en regelgeving, waaronder:

  • Wet op de geneeskundige behandelingsovereenkomst (Wgbo)
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)
  • Besluit elektronische gegevensverwerking door zorgaanbieders (Begz)
  • Wet kwaliteit klachten en geschillen in de zorg (Wkkgz)
  • Wet elektronische gegevensuitwisseling in de zorg (Wegiz)
  • Gedragslijnen

Hierbij wordt voor de gehele organisatie per wetsartikel beschreven hoe uitvoering wordt gegeven aan deze geboden. Ook zullen de Registers van verwerkingsactiviteiten worden opgemaakt of geactualiseerd worden en zullen de noodzakelijke Verwerkersovereenkomsten worden beoordeeld en administratief worden verwerkt.

Het beschrijven van de IST-situatie helpt om inzicht te krijgen in het huidige compliance niveau van de organisatie, wat noodzakelijk is om de volgende stap in de IPM™- beheercyclus te kunnen uitvoeren.

In de voorgaande stap is door de PO vastgesteld welke privacy wet- en regelgeving op uw organisatie van toepassing is en welk privacybeleid gevoerd wordt. In stap 2 zal door de Functionaris Gegevensbescherming (FG) een 'gapanalyse' worden uitgevoerd waaruit blijkt wat er wel en niet goed geregeld is. Ook zal de IPM™-score worden bepaald door de FG.

Het FG-advies wat hieruit voortkomt zal jaarlijks met de Verwerkingsverantwoordelijke worden besproken. Ook helpt dit advies de PO om inzicht te krijgen in de noodzakelijke maatregelen die genomen moeten worden om de organisatie te kunnen bijsturen in de volgende stap in de IPM™-beheercyclus.

Uit de voorgaande stap (gapanalyse) komen meestal verbeterpunten voort. In stap 3 worden de noodzakelijke maatregelen genomen om de gewenste situatie te kunnen bereiken (SOLL). Er worden tickets aangemaakt en deze worden op naam gezet van actiehouders. Het monitoren op de voortgang zal worden uitgevoerd door onze backoffice. Templates van ontbrekende beleidsdocumenten, processen en procedures kunnen door ons worden opgeleverd. Na het akkoord van de FG op de voorgestelde maatregelen kan in de volgende stap het beheer gaan plaatsvinden.

In deze laatste stap van de IPM™-beheercyclus worden alle noodzakelijke privacy-gerelateerde actieve, proactieve, reactieve en adaptieve beheeractiviteiten uitgevoerd. Nadat de voorgaande stappen hebben plaatsgevonden zullen namelijk verschillende werkzaamheden moeten worden uitgevoerd om een compliant situatie te kunnen behouden.

U kunt daarbij denken aan taken zoals:

  • De voortgang monitoren (en/of uitvoeren) van de verbetermaatregelen die vastgesteld zijn in stap 3;
  • het periodiek uitvoeren van voortgangsgesprekken en het verwerken van deze bevindingen in de beheerportaal (Privat);
  • beoordelen van, en controles op volledige borging van de Verwerkersovereenkomsten;
  • uitvoeren van risicoanalyses (DPIA’s) over hoog risico verwerkingen;
  • nieuwe juridische actualiteiten verwerken in documenten, processen en procedures;
  • afhandelen van Datalekken (administratie in het datalekregister);
  • beantwoorden van alle privacy gerelateerde vragen;
  • etc.

Voor een gedetailleerde beschrijving van alle beheertaken kunt u onze Dienstwijzer bekijken. Dit zijn de taken die uitgevoerd worden als reactie op een verzoek van een abonnee. Deze taken zijn onderverdeeld in een viertal prioriteiten: kritisch, hoog, normaal en planbaar.

Jaarlijks zal deze IPM™- beheercyclus opnieuw worden doorlopen!


De IPM-Score

De IPM-score vloeit voort uit de IPM-beheercyclus en geeft aan hoe goed een organisatie de privacywetgeving heeft geborgd. De score loopt van 0 (startniveau) tot 5 (volledig ingebed privacybeheer). Hoe hoger de score, hoe beter processen, zoals autorisatiebeheer, datalekregistratie en privacybeleid, zijn geregeld. Zo biedt de IPM-score snel inzicht in het privacy-compliance niveau van uw organisatie. 

 

Functionaris Gegevensbescherming (FG)

De FG houdt binnen uw organisatie toezicht op de toepassing en naleving van de vigerende privacywetgeving. Organisaties zijn namelijk verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. 
 
De FG fungeert als het eerste aanspreekpunt voor de Autoriteit Persoonsgegevens (AP) en heeft een onafhankelijke rol binnen uw organisatie, met rechtstreekse lijnen met uw bestuur. Omdat het gaat om een onafhankelijke rol, mag deze functie niet zomaar door iemand binnen organisatie vervuld worden. 
Daarom biedt Stichting Privacyzorg u een externe FG. 

 

Privacy officer (PO)
Een PO is verantwoordelijk voor het ontwikkelen en uitvoeren van het privacybeleid van de organisatie.  

Een PO speelt een grote rol binnen de organisatie door te fungeren als eerste aanspreekpunt voor privacyvraagstukken die spelen binnen de organisatie.  

Heeft u geen PO, dan kan onze backoffice alle noodzakelijke werkzaamheden voor u invullen. 

Klaar om te beginnen aan een reis van digitale transformatie?

Laten we uw visie omzetten in realiteit. Neem vandaag nog contact met ons op om uw zorginstelling op weg te helpen naar digitale compliance.