Informatiebeveiliging in de zorg

Jouw zorginstelling heeft dagelijks te maken met het verwerken (persoons)gegevens, waarvan een groot deel uit gevoelige en medische gegevens bestaat. Er worden strenge eisen gesteld aan de beveiliging van deze gegevens in de sectorspecifieke norm NEN 7510 en in de Algemene Verordening Gegevensbescherming (AVG). Hoe kunnen zorginstellingen het overzicht behouden van zowel de veelomvattende regelgeving als de naleving hiervan?

TrustBound biedt een werkomgeving waarin jij als professional wordt geholpen bij het vertalen van de wettelijke en kwaliteitseisen naar haalbare acties voor jouw organisatie.

Krijg een persoonlijk webinar over
TrustBound GRC en NEN 7510.

De verschillende verplichtingen, uit zowel de NEN7510 als de AVG, voor het werken met medische gegevens brengen veel (administratieve) lasten met zich mee. Een belangrijk onderdeel van een NEN-compliant beschermingsbeleid is dat een organisatie moet aantonen dat daadwerkelijk aan deze verplichtingen wordt voldaan. Hiervoor is het dus niet alleen vereist dat aantoonbaar is waar de gegevens voor gebruikt worden, maar ook op welke manier deze beschermd worden en bij wie de verantwoordelijkheid voor de beveiligingsmaatregelen ligt.

Hoe behoudt men binnen een organisatie het overzicht van alle verplichtingen én de naleving hiervan? TrustBound ziet erop dat de juiste administratie wordt gevoerd om zowel je collega's op efficiënte wijze te begeleiden, als de verantwoording naar interne en externe toezichthouders realtime te regelen. Zo implementeer je passende organisatorische en technische maatregelen om aan de verplichtingen te voldoen.

Stap 1: Inzicht

De eerste stap is om een inzicht te krijgen in wat jouw organisatie precies met persoonsgegevens doet. Een organisatie is, behoudens uitzonderingen, op grond van de AVG verplicht om een actueel verwerkingsregister bij te houden van alle verwerkingsactiviteiten. TrustBound GRC biedt een verwerkingsregister waarin alle verplichtingen uit de AVG (zoals doeleinden en grondslagen) opgenomen zijn. Bovendien beschikt TrustBound GRC over een uitgebreide template voor zorginstellingen. Dit is een volledig ingerichte TrustBound omgeving, met daarin een set algemene voorbeeldverwerkingen en set verwerkingen die voortkomen uit de zorgsector. Zo beschik je niet alleen over een voorbeeld van een juist verwerkingsregister, maar wordt er ook een hoop werk uit handen genomen doordat je verwerkingen kunt overnemen in jouw eigen register.

NEN 7510 als leidraad

NEN 7510 logo

TrustBound biedt volledige ondersteuning voor NEN 7510 en laat jou de maatregelen uit de norm koppelen aan de kennis die je in het kader van de AVG hebt verzameld. Zo is het register van verwerkingen niet op een zichzelfstaande activiteiten, maar integraal verbonden met het beheer van de informatiebeveiliging.

Stap 2: Risico's en maatregelen

Wanneer je als team van Functionaris Gegevensbescherming (FG) en Information Security Officer (CISO) duidelijk voor ogen hebt wat jouw organisatie met gegevens doet, kun je privacy compliance inzetten voor de verbetering van de kwaliteit binnen de organisatie. Hiertoe behoort het inschatten van de risico's die de verwerkingen van (medische) gegevens van patiënten/cliënten met zich mee kunnen brengen. Op basis van deze risico's moeten maatregelen genomen worden om deze risico's in de beveiliging van de gegevens zo veel mogelijk te beperken. TrustBound GRC helpt bij het inzichtelijk en overzichtelijk maken van deze risico's en maatregelen en het uitvoeren van een DPIA/PIA/Risicoanalyse. Aan de hand van de norm kies je de passende maatregelen bij jouw plan van aanpak.

"What you see is..."

Bescherming van (persoons)gegevens gaat verder dan alleen voldoen aan administratieve regels. Het vraagt om een professionele cultuur en werkwijze binnen de organisatie. Daarom is het juist van belang om rekening te houden met de bedrijfsdoelstellingen. Wat is voor jouw organisatie belangrijk en waar liggen de prioriteiten? En hoe kun jij als IBP professional in lijn met deze doelstellingen voor een passend beschermingsbeleid zorgen?

TrustBound ziet dat samenwerking tussen professionals essentieel is om tot een beschermingsbeleid te komen dat daadwerkelijk effectief is. Maar iedere organisatie heeft zijn eigen cultuur en een ander taalgebruik. Door hier op in te spelen (en gericht afspraken te maken met collega's) wordt het beleid gerealiseerd. Dit vraagt een vertaling van abstracte normen en kwaliteitseisen naar begrijpelijke operationele verantwoordelijkheden en gerichte acties, waar collega's zich door aangesproken voelen. TrustBound GRC biedt professionals een werkomgeving die is afgestemd op hun eigen verantwoordelijkheden en hun eigen kennisniveau.

"What you see is what you need."

Stap 3: Beheer

Met het administreren van activiteiten in verwerkingen, het identificeren van risico's en het implementeren van maatregelen is al een grote stap gemaakt richting een compleet privacybeleid. Van belang is dat het om een doorlopend proces gaat: het enkele toewijzen van taken op basis van maatregelen is niet voldoende. Richt een proces in voor het vastleggen van veranderingen die binnen de organisatie hebben plaatsgevonden en speel hierop in. Bovendien vinden er ook regelmatig wijzigingen plaats in de regelgeving waar jij als FG/DPO/PO van op de hoogte dient te zijn. Kortom, ook het beheer van het privacybeleid is een brede activiteit en kan zorgen dat het overzicht verloren gaat.

Binnen TrustBound GRC speelt ook het beheer een belangrijke rol. In de software kan gemakkelijk bijgehouden worden wat de status is van een bepaalde verwerking. Hierbij gaat het onder meer om wie er verantwoordelijk is voor de te nemen maatregelen en of deze maatregelen daadwerkelijk zijn uitgevoerd. Via de chatfunctie kunnen medewerkers aangestuurd worden om met een maatregel aan de slag te gaan.

Complete werkomgeving

Door gebruik te maken van het template voor zorginstellingen en met de ingebouwde NEN 7510 normenkaders wordt jou een hoop werk uit handen genomen en behoud je het overzicht van het privacy- en informatiebeveiligingsbeleid van de organisatie. Meer weten over hoe TrustBound jouw organisatie kan helpen? Neem dan contact met op ons.

Vragen en antwoorden: TrustBound in de zorg

Waarom zijn privacy en gegevensbescherming zo relevant in de zorg?

Binnen de zorgsector wordt er veel met medische gegevens gewerkt, bijvoorbeeld bij het administreren van de patiëntdossiers. Onder medische gegevens vallen ook gegevens waaruit iemands medische conditie kan worden afgeleid, bijvoorbeeld het feit dat iemand in een rolstoel zit. Al deze medische gegevens worden als ‘bijzondere persoonsgegevens’ in de Algemene Verordening Gegevensbescherming (AVG) aangemerkt. Deze bijzondere status zorgt ervoor dat er strengere regels gelden voor het verwerken van deze gegevens.

Is er een voorbeeld verwerkingsregister voor een zorginstelling?

TrustBound heeft een voorbeeldomgeving voor de zorgsector met daarin een uitgebreide set verwerkingen. Bovendien zijn de verplichte onderdelen uit de AVG al in ons verwerkingsregister opgenomen (zoals grondslag en rechtmatigheid), waardoor jij bij het opvoeren van een verwerking precies weet wat de basisgegevens zijn. Zo beschik je over een aanzet voor jouw organisatie die je met enkele gerichte aanpassingen direct toe kan passen: dat scheelt een hoop werk!

Is een verwerkingsregister in Excel voldoende?

TrustBound GRC biedt als online werkomgeving veel meer dan alleen een verwerkingsregister. Het ondersteunt het hele beheer via de PDCA-cyclus. Risico’s en maatregelen kunnen worden gekoppeld aan verwerkingen én personen binnen de organisatie. Dit zorgt voor een behoud van overzicht, ook wanneer er wijzigingen plaatsvinden. Bovendien bevindt alle kennis zich nu op één toegankelijke omgeving. Van verwerkersovereenkomsten tot interne beleidsregels, documenten kunnen in TrustBound aan de betreffende partner of handeling worden gekoppeld.

Geeft TrustBound hulp bij NEN 7510 implementatie?

Naast het voldoen aan de vereisten uit de AVG biedt TrustBound GRC ook hulp bij het voldoen aan sectorspecifieke normenkaders. Voor de zorgsector biedt TrustBound het NEN 7510 normenkader aan. De organisatie heeft hierbij zelf de keuze op welk tempo zij welke regels wil implementeren. De regels uit het normenkader kunnen weer gekoppeld worden aan verwerkingen en personen. De FG, DPO of PO kan zo gericht controleren en toezicht houden.

Complete werkomgeving

TrustBound helpt zorginstellingen bij het voldoen aan de toepasselijke wet- en regelgeving:

  • NEN7510 Compliance suite
  • Bibliotheek met gegevens over veel voorkomende leveranciers en systemen
  • Bibliotheek met voorbeeld verwerkingen
  • Risico module met DPIA
  • Maatregelen module met taken
  • Gerichte rapportages met realtime voortgang voor
    • FG en CISO
    • Operationeel niveau
    • Managementniveau
  • Afhandeling verzoeken betrokkenen
  • Afhandeling datalekken
Start nu gratis