Privacy in de zorg

Uw zorginstelling heeft dagelijks te maken met het verwerken persoonsgegevens, waarvan een groot deel uit gevoelige en medische gegevens bestaat. Er worden strenge eisen gesteld aan de beveiliging van deze gegevens in de Algemene Verordening Gegevensbescherming (AVG) en de sectorspecifieke norm NEN 7510. Hoe kunnen zorginstellingen het overzicht behouden van zowel de veelomvattende regelgeving als de naleving hiervan?

PCC biedt een werkomgeving waarin u als professional wordt geholpen bij het vertalen van de wettelijke en kwaliteitseisen naar taken voor uw organisatie.

Krijg een persoonlijk webinar over PCC en NEN 7510.

De verschillende verplichtingen, uit zowel de AVG als de NEN 7510, voor het werken met medische gegevens brengen veel (administratieve) lasten met zich mee. Een belangrijk onderdeel van een AVG en NEN compliant beschermingsbeleid is dat een organisatie moet aantonen dat daadwerkelijk aan deze verplichtingen wordt voldaan. Hiervoor is het dus niet alleen vereist dat aantoonbaar is waar de gegevens voor gebruikt worden, maar ook hoe lang en op welke manier deze bewaard worden en bij wie de verantwoordelijkheid voor naleving van eisen rondom zaken als vertrouwelijkheid en bewaartermijnen ligt.

Hoe behoudt men binnen een organisatie het overzicht van alle verplichtingen én de naleving hiervan? PCC ziet erop dat de juiste administratie wordt gevoerd om zowel uw collega's op efficiënte wijze te begeleiden, als de verantwoording naar interne en externe toezichthouders realtime te regelen. Zo implementeert u juiste organisatorische en technische maatregelen om aan de eisen van wet- en regelgeving te voldoen.

Stap 1: Inzicht

De eerste stap is om een inzicht te krijgen in wat uw organisatie precies met persoonsgegevens doet. Een organisatie is, behoudens uitzonderingen, op grond van de AVG verplicht om een actueel verwerkingsregister bij te houden van alle verwerkingsactiviteiten. PCC biedt een verwerkingsregister waarin alle verplichtingen uit de AVG (zoals doeleinden en grondslagen) opgenomen staan. Bovendien beschikt PCC over een uitgebreide template voor zorginstellingen. Dit is een volledig ingerichte PCC omgeving, met daarin een set algemene voorbeeldverwerkingen en set verwerkingen die voortkomen uit de zorgsector. Zo beschikt u niet alleen over een voorbeeld van een juist verwerkingsregister, maar wordt er ook een hoop werk uit handen genomen doordat u verwerkingen kunt overnemen in uw eigen register.

NEN 7510 als leidraad

PCC biedt volledige ondersteuning voor NEN 7510 en laat u de maatregelen uit de norm koppelen aan de kennis die u in het kader van AVG hebt verzameld. Zo is het register van verwerkingen niet op een zichzelfstaande activiteiten, maar integraal verbonden met het beheer van de informatiebeveiliging.

Stap 2: Risico's en maatregelen

Wanneer u als als team van Functionaris Gegevensbescherming (FG) en Information Security Officer (CISO) duidelijk voor ogen hebt wat uw organisatie met gegevens doet, kunt u privacy compliance inzetten voor de verbetering van de kwaliteit binnen de organisatie. Hiertoe behoort het inschatten van de risico's die de verwerkingen van (medische) gegevens van patiënten/cliënten met zich mee kunnen brengen. Op basis van deze risico's moeten maatregelen genomen worden om deze risico's in de beveiliging van de gegevens zo veel mogelijk te beperken. PCC helpt bij het inzichtelijk en overzichtelijk maken van deze risico's en maatregelen en het uitvoeren van een DPIA/PIA/Risicoanalyse. Aan de hand van de norm kiest u de passende maatregelen bij uw plan van aanpak.

"What you see is..."

Bescherming van (persoons)gegevens gaat verder dan alleen voldoen aan administratieve regels. Het vraagt om een professionele cultuur en werkwijze binnen de organisatie. Daarom is het juist van belang om rekening te houden met de bedrijfsdoelstellingen. Wat is voor uw organisatie belangrijk en waar liggen de prioriteiten? En hoe kunt u als IBP professional in lijn met deze doelstellingen voor een passend beschermingsbeleid zorgen?

PCC ziet dat samenwerking tussen professionals essentieel is om tot een beschermingsbeleid te komen dat daadwerkelijk effectief is. Maar iedere organisatie heeft cultuur en een ander taalgebruik en door hier op in te spelen (en gericht afspraken te maken met collega's) wordt het beleid gerealiseerd. Dit vraagt een vertaling van abstracte normen en kwaliteitseisen naar begrijpelijke operationele verantwoordelijkheden en gerichte taken, waar collega's zich door aangesproken voelen. PCC biedt professionals een werkomgeving die is afgestemd op hun eigen verantwoordelijkheden en hun eigen kennisniveau.

"What you see is what you need." 

Stap 3: Beheer 

Met het administreren van activiteiten in verwerkingen, het identificeren van risico's en het implementeren van maatregelen is al een grote stap gemaakt richting een compleet privacybeleid. Van belang is dat het om een doorlopend proces gaat: het enkele toewijzen van taken op basis van maatregelen is niet voldoende. Richt een proces in voor het vastleggen van veranderingen binnen de organisatie hebben plaatsgevonden en speel hierop in. Bovendien vinden er ook regelmatig wijzigingen plaats in de regelgeving waar u als FG/DPO/PO van op de hoogte dient te zijn. Kortom, ook het beheer van het privacybeleid is een brede activiteit en kan zorgen dat het overzicht verloren gaat. 

Binnen PCC speelt ook het beheer een belangrijke rol. In PCC kan gemakkelijk bijgehouden worden wat de status is van een bepaalde verwerking. Hierbij gaat het onder meer om wie er verantwoordelijk is voor de te nemen maatregelen en of deze maatregelen daadwerkelijk zijn uitgevoerd. Via de chatfunctie kunnen medewerkers aangestuurd worden om met een maatregel aan de slag te gaan. 

Complete werkomgeving

Door gebruik te maken van de template voor zorginstellingen en met de ingebouwde NEN 7510 normenkaders wordt u een hoop werk uit handen genomen en behoudt u het overzicht van het privacy- en informatiebeveiligingsbeleid van de organisatie. Meer weten over hoe PCC uw organisatie kan helpen? Neem dan contact met op ons. 

Vragen en antwoorden: PCC in de zorg

1. Waarom zijn privacy en gegevensbescherming zo relevant in de zorg? 

Binnen de zorgsector wordt er veel met medische gegevens gewerkt, bijvoorbeeld bij het administreren van de patiëntdossiers. Onder medische gegevens vallen ook gegevens waaruit iemands medische conditie kan worden afgeleid, bijvoorbeeld het feit dat iemand in een rolstoel zit. Al deze medische gegevens worden als ‘bijzondere persoonsgegevens’ in de Algemene Verordening Gegevensbescherming (AVG) aangemerkt. Deze bijzondere status zorgt ervoor dat er strengere regels gelden voor het verwerken van deze gegevens.  

2. Is er een voorbeeld verwerkingsregister voor een zorginstelling? 

PCC heeft een voorbeeldomgeving voor de zorgsector met daarin een uitgebreide set verwerkingen. Bovendien zijn de verplichte onderdelen uit de AVG al in ons verwerkingsregister opgenomen (zoals grondslag en rechtmatigheid), waardoor u bij het opvoeren van een verwerking precies weet wat de basisgegevens zijn. Zo beschikt u over een aanzet voor uw organisatie dat u met enkele gerichte aanpassingen direct toe kan passen: dat scheelt een hoop werk!  

3. Is een verwerkingsregister in Excel voldoende? 

PCC biedt als online werkomgeving veel meer dan alleen een verwerkingsregister. Het ondersteunt het hele beheer via de PDCA-cyclus. Risico’s en maatregelen kunnen worden gekoppeld aan verwerkingen én personen binnen de organisatie. Dit zorgt voor een behoud van overzicht, ook wanneer er wijzigingen plaatsvinden. Bovendien bevindt alle kennis zich nu op één toegankelijke omgeving. Van verwerkersovereenkomsten tot interne beleidsregels, documenten kunnen in PCC aan de betreffende partner of handeling worden gekoppeld.  

4. Geeft PCC hulp bij NEN 7510 implementatie? 

Naast het voldoen aan de vereisten uit de AVG biedt PCC ook hulp bij het voldoen aan sectorspecifieke normenkaders. Voor de zorgsector biedt PCC het NEN 7510 normenkader aan. De organisatie heeft hierbij zelf de keuze op welk tempo zij welke regels wil implementeren. De regels uit het normenkader kunnen weer gekoppeld worden aan verwerkingen en personen. De FG, DPO of PO kan zo gericht controleren en toezicht houden.  

Complete werkomgeving

PCC helpt zorginstellingen bij het voldoen aan de toepasselijke wet- en regelgeving:

  • NEN7510 Compliance suite

  • Bibliotheek met gegevens over veel voorkomende leveranciers en systemen

  • Bibliotheek met voorbeeld verwerkingen

  • Risico module met DPIA

  • Maatregelen module met taken

  • Gerichte rapportages met realtime voortgang voor

    • FG en CISO

    • Operationeel niveau

    • Managementniveau

  • Afhandeling verzoeken betrokkenen

  • Afhandeling datalekken

Start nu gratis

Deze zorginstellingen gingen u voor: