Overslaan naar inhoud

Ondersteuning nodig in het beheren van Privacy?

Neem dan een abonnement bij Stichting Privacyzorg!


  Begin nu >  

Privacybeheer

Om te voldoen aan de privacywetgeving, moet deze op een duidelijke en controleerbare manier zijn geïntegreerd in uw organisatie. Dat vraagt om een blijvende aanpak, niet om slechts een eenmalig project.

Stichting Privacyzorg ondersteunt zorginstellingen met een praktische privacybeheermethodiek, gebaseerd op een jaarlijkse beheercyclus bestaande uit vier stappen. Bovendien is uw volledige privacyadministratie altijd inzichtelijk en toegankelijk via ons online portaal.


  Contact  

Waarom is privacybeheer zo belangrijk?

Het niet naleven van de AVG kan grote gevolgen hebben voor zorginstellingen. De Autoriteit Persoonsgegevens (AP) heeft de bevoegdheid om sancties op te leggen, zoals boetes, verwerkingsverboden en berispingen. Maar privacybeheer gaat verder dan het voorkomen van sancties: het is essentieel voor het beschermen van de persoonlijke levenssfeer van cliënten, medewerkers en andere betrokkenen.

Stichting Privacyzorg helpt zorginstellingen om privacy structureel en aantoonbaar te borgen binnen de organisatie. Onze IPM™-beheercyclus bestaat uit vier overzichtelijke stappen die helpen om alle verplichtingen uit de privacywetgeving procesmatig te borgen binnen uw organisatie. Deze methodiek sluit aan op uw bestaande werkwijze en zorgt ervoor dat privacy geen losse taak is, maar een vast onderdeel van uw organisatie.

U wordt volledig ontzorgd: van het opstellen van beleid tot het afhandelen van datalekken. Incidenten kunnen 24/7 bij ons gemeld worden, waarna wij het onderzoek en de verplichte melding bij de AP verzorgen. Zo bent u niet alleen compliant, maar ook voorbereid op toekomstige risico’s.

Onze werkwijze: De IPM™-beheercyclus


Vanaf het Basis Plus abonnement maken zorginstellingen gebruik van onze IPM™-beheercyclus. Dit is een praktische methode die bestaat uit vier duidelijke stappen, waarmee we alle privacyverplichtingen gestructureerd en aantoonbaar in uw organisatie verankeren. Zo zorgen we ervoor dat uw privacybeheer niet alleen voldoet aan de wet, maar ook goed is ingebed in uw dagelijkse werkwijze.

Bij het Basis abonnement voeren we jaarlijks een online inventarisatie uit via een QuickScan. Op basis daarvan stelt onze backoffice de registers van verwerkingsactiviteiten op of werkt deze bij. Zo blijft uw privacyadministratie actueel, zonder dat u daar zelf veel tijd aan kwijt bent.

In deze eerste stap zal een gecertificeerde Privacy Officer (PO) van Stichting Privacyzorg een privacy audit uitvoeren. Alle relevante wettelijke, statutaire, regelgevende en contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen moeten voor de organisatie expliciet worden vastgesteld, gedocumenteerd en actueel worden gehouden.

Afhankelijk van uw abonnement richt de audit zich ook op de wettelijke verplichtingen die voortkomen uit de AVG, of over een breder palet aan vigerende wet- en regelgeving, waaronder:

  • Wet op de geneeskundige behandelingsovereenkomst (Wgbo)
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)
  • Besluit elektronische gegevensverwerking door zorgaanbieders (Begz)
  • Wet kwaliteit klachten en geschillen in de zorg (Wkkgz)
  • Wet elektronische gegevensuitwisseling in de zorg (Wegiz)
  • Gedragslijnen

Hierbij wordt voor de gehele organisatie per wetsartikel beschreven hoe uitvoering wordt gegeven aan deze geboden. Ook zullen de Registers van verwerkingsactiviteiten worden opgemaakt of geactualiseerd worden en zullen de noodzakelijke Verwerkersovereenkomsten worden beoordeeld en administratief worden verwerkt.

Het beschrijven van de IST-situatie helpt om inzicht te krijgen in het huidige compliance niveau van de organisatie, wat noodzakelijk is om de volgende stap in de IPM™- beheercyclus te kunnen uitvoeren.

In de voorgaande stap is door de PO vastgesteld welke privacy wet- en regelgeving op uw organisatie van toepassing is en welk privacybeleid gevoerd wordt. In stap 2 zal door de Functionaris Gegevensbescherming (FG) een 'gapanalyse' worden uitgevoerd waaruit blijkt wat er wel en niet goed geregeld is. Ook zal de IPM™-score worden bepaald door de FG.

Het FG-advies wat hieruit voortkomt zal jaarlijks met de Verwerkingsverantwoordelijke worden besproken. Ook helpt dit advies de PO om inzicht te krijgen in de noodzakelijke maatregelen die genomen moeten worden om de organisatie te kunnen bijsturen in de volgende stap in de IPM™-beheercyclus.

Uit de voorgaande stap (gapanalyse) komen meestal verbeterpunten voort. In stap 3 worden de noodzakelijke maatregelen genomen om de gewenste situatie te kunnen bereiken (SOLL). Er worden tickets aangemaakt en deze worden op naam gezet van actiehouders. Het monitoren op de voortgang zal worden uitgevoerd door onze backoffice. Templates van ontbrekende beleidsdocumenten, processen en procedures kunnen door ons worden opgeleverd. Na het akkoord van de FG op de voorgestelde maatregelen kan in de volgende stap het beheer gaan plaatsvinden.

In deze laatste stap van de IPM™-beheercyclus worden alle noodzakelijke privacy-gerelateerde actieve, proactieve, reactieve en adaptieve beheeractiviteiten uitgevoerd. Nadat de voorgaande stappen hebben plaatsgevonden zullen namelijk verschillende werkzaamheden moeten worden uitgevoerd om een compliant situatie te kunnen behouden.

U kunt daarbij denken aan taken zoals:

  • De voortgang monitoren (en/of uitvoeren) van de verbetermaatregelen die vastgesteld zijn in stap 3;
  • het periodiek uitvoeren van voortgangsgesprekken en het verwerken van deze bevindingen in de beheerportaal (Privat);
  • beoordelen van, en controles op volledige borging van de Verwerkersovereenkomsten;
  • uitvoeren van risicoanalyses (DPIA’s) over hoog risico verwerkingen;
  • nieuwe juridische actualiteiten verwerken in documenten, processen en procedures;
  • afhandelen van Datalekken (administratie in het datalekregister);
  • beantwoorden van alle privacy gerelateerde vragen;
  • etc.

Voor een gedetailleerde beschrijving van alle beheertaken kunt u onze Dienstwijzer bekijken. Dit zijn de taken die uitgevoerd worden als reactie op een verzoek van een abonnee. Deze taken zijn onderverdeeld in een viertal prioriteiten: kritisch, hoog, normaal en planbaar.

Jaarlijks zal deze IPM™- beheercyclus opnieuw worden doorlopen!


De IPM-Score

De IPM-score vloeit voort uit de IPM-beheercyclus en geeft aan hoe goed een organisatie de privacywetgeving heeft geborgd. De score loopt van 0 (startniveau) tot 5 (volledig ingebed privacybeheer). Hoe hoger de score, hoe beter processen, zoals autorisatiebeheer, datalekregistratie en privacybeleid, zijn geregeld. Zo biedt de IPM-score snel inzicht in het privacy-compliance niveau van uw organisatie. 

 

Functionaris Gegevensbescherming (FG)

De FG houdt binnen uw organisatie toezicht op de toepassing en naleving van de vigerende privacywetgeving. Organisaties zijn namelijk verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. 
 
De FG fungeert als het eerste aanspreekpunt voor de Autoriteit Persoonsgegevens (AP) en heeft een onafhankelijke rol binnen uw organisatie, met rechtstreekse lijnen met uw bestuur. Omdat het gaat om een onafhankelijke rol, mag deze functie niet zomaar door iemand binnen organisatie vervuld worden. 
Daarom biedt Stichting Privacyzorg u een externe FG. 

 

Privacy officer (PO)
Een PO is verantwoordelijk voor het ontwikkelen en uitvoeren van het privacybeleid van de organisatie.  

Een PO speelt een grote rol binnen de organisatie door te fungeren als eerste aanspreekpunt voor privacyvraagstukken die spelen binnen de organisatie.  

Heeft u geen PO, dan kan onze backoffice alle noodzakelijke werkzaamheden voor u invullen. 

Het klantportaal

Het klantportaal van Stichting Privacyzorg is dé oplossing waarmee zorgorganisaties In Control zijn en compliantblijven. Alle stappen uit de IPM™-beheercyclus kunt u hierin terugvinden, waaronder ook de voortgang en actiepunten. Ook ondersteunende templates voor documenten worden bijgehouden in het beheerportaal, zodat u snel over de meest actuele versies kunt beschikken. 

Door middel van dashboards heeft u altijd een real-time overzicht van al uw tickets (uw vragen aan ons) en de voortgang hiervan. Ook zijn uw "Registers van verwerkingsactiviteiten" in te zien die wij voor u hebben opgemaakt, en heeft u een overzicht van alle verwerkers. Indien vereist kunt u (per Register) de benodigde risicoanalyse ((D)PIA - Privacy Impact Assessments) terugvinden. 

In het portaal heeft u ook inzage in het compliance overzicht (n.a.v. de jaarlijkse audits), waarmee u in één overzicht kunt zien hoe uw organisatie ervoor staat. 

Ook heeft u in het klantportaal toegang tot het "beheersysteem voor de informatiebeveiliging (ISMS)" waarmee u NEN7510 kunt beheren. 

Kortom, in het klantportaal heeft u al uw privacyadministratie op één plek bij elkaar. 

Klaar om te beginnen aan een reis van digitale transformatie?

Laten we uw visie omzetten in realiteit. Neem vandaag nog contact met ons op om uw zorginstelling op weg te helpen naar digitale compliance.