Informatiebeveiliging in de zorg

Jouw zorginstelling heeft dagelijks te maken met het verwerken (persoons)gegevens, waarvan een groot deel uit gevoelige en medische gegevens bestaat. Er worden strenge eisen gesteld aan de beveiliging van deze gegevens in de sectorspecifieke normen NEN 7510, 7512 en 7513 en in de Algemene Verordening Gegevensbescherming (AVG). Hoe kunnen zorginstellingen het overzicht behouden van de veelomvattende regelgeving en de naleving?

TrustBound GRC biedt een werkomgeving waarin jij als professional wordt geholpen bij het vertalen van de wettelijke en kwaliteitseisen naar haalbare acties voor jouw organisatie.

Online demo

NEN7510 Tooling van TrustBound is flexibel en toegankelijk

Verrassend doordacht

Eenvoudig de controle krijgen en houden over informatiebeveiliging en privacy in jouw zorginstelling?
TrustBound is de toolkit voor organisaties die zowel aan de NEN 7510, NEN 7512, NEN 7513 normen als de Europese wetgeving met betrekking tot informatiebeveiliging en privacy moeten voldoen.

Waarom onze NEN7510-tooling?

Waarom onze NEN7510-tooling?

  1. Optimaliseert de onderlinge samenwerking tussen afdelingen
  2. Verrassend doordachte functionaliteit
  3. Ondersteunt NEN7510, NEN7512, NEN7513, AVG én meer
  4. Wij staan voor je klaar en helpen waar nodig
  5. Vertrouwd door meer dan 1000 professionals

NEN7510 tool voor inzicht en verantwoording

De verschillende verplichtingen, uit zowel de NEN7510 als de AVG, voor het werken met medische gegevens brengen veel (administratieve) lasten met zich mee. Een belangrijk onderdeel van een NEN-compliant beschermingsbeleid is dat een organisatie moet aantonen dat daadwerkelijk aan deze verplichtingen wordt voldaan. Hiervoor is niet alleen vereist dat aantoonbaar is waarvoor gegevens gebruikt worden, maar ook op welke manier ze beschermd worden - en bij wie de verantwoordelijkheid voor de beveiligingsmaatregelen ligt.

Hoe hou je binnen een organisatie het overzicht van alle verplichtingen én de naleving hiervan? TrustBound GRC ziet erop dat de juiste administratie wordt gevoerd om zowel je collega's op efficiënte wijze te begeleiden, als de verantwoording naar interne en externe toezichthouders realtime te regelen.

Zo implementeer je passende organisatorische en technische maatregelen om aan de verplichtingen te voldoen.

Stap 1: Inzicht

De eerste stap is om een inzicht te krijgen in wat jouw organisatie precies met persoonsgegevens doet. Een organisatie is, behoudens uitzonderingen, op grond van de AVG verplicht om een actueel verwerkingsregister bij te houden van alle verwerkingsactiviteiten. TrustBound GRC biedt een verwerkingsregister waarin alle verplichtingen uit de AVG (zoals doeleinden en grondslagen) opgenomen zijn.

Bovendien beschikt TrustBound GRC over een uitgebreide template voor zorginstellingen. Dit is een volledig ingerichte TrustBound omgeving, met daarin een set algemene voorbeeldverwerkingen en set verwerkingen die voortkomen uit de zorgsector.

Zo beschik je niet alleen over een voorbeeld van een juist verwerkingsregister, maar wordt er ook een hoop werk uit handen genomen doordat je verwerkingen kunt overnemen in jouw eigen register.

NEN 7510 als leidraad

NEN 7510 logo

TrustBound biedt volledige ondersteuning voor NEN 7510 en laat jou de maatregelen uit de norm koppelen aan de kennis die je in het kader van de AVG hebt verzameld. Zo is het register van verwerkingen niet op een zichzelfstaande activiteiten, maar integraal verbonden met het beheer van de informatiebeveiliging.

Stap 2: Risico's en maatregelen

Wanneer je als team van Information Security Officer (CISO) en Functionaris Gegevensbescherming (FG) duidelijk voor ogen hebt wat jouw organisatie met gegevens doet, kun je privacy compliance inzetten voor de verbetering van de kwaliteit binnen de organisatie. Hiertoe behoort het inschatten van de risico's die de verwerkingen van (medische) gegevens van patiënten/cliënten met zich mee kunnen brengen.

Vervolgens worden maatregelen gekozen om de risico's in de beveiliging van de gegevens zo veel mogelijk te beperken. TrustBound GRC helpt bij het inzichtelijk en overzichtelijk maken van deze risico's en maatregelen en het uitvoeren van een DPIA/PIA/Risicoanalyse.

Aan de hand van de norm NEN7510 kies je de passende maatregelen bij jouw plan van aanpak.

Wil je een effectief ISMS?

Lees over onze aanpak voor het eenvoudig en snel opzetten van een beheersysteem voor informatiebeveiliging (en privacy).

Wil je een effectief ISMS?

"What you see is..."

Bescherming van (persoons)gegevens gaat verder dan alleen voldoen aan administratieve regels. Het vraagt om een professionele cultuur en werkwijze binnen de organisatie. Daarom is het juist van belang om rekening te houden met de bedrijfsdoelstellingen. Wat is voor jouw organisatie belangrijk en waar liggen de prioriteiten? En hoe kun jij als IBP professional in lijn met deze doelstellingen voor een passend beschermingsbeleid zorgen?

TrustBound ziet dat samenwerking tussen professionals essentieel is om tot een beschermingsbeleid te komen dat daadwerkelijk effectief is. Maar iedere organisatie heeft zijn eigen cultuur en een ander taalgebruik. Door hier op in te spelen (en gericht afspraken te maken met collega's) wordt het beleid gerealiseerd. Dit vraagt een vertaling van abstracte normen en kwaliteitseisen naar begrijpelijke operationele verantwoordelijkheden en gerichte acties, waar collega's zich door aangesproken voelen. TrustBound GRC biedt professionals een werkomgeving die is afgestemd op hun eigen verantwoordelijkheden en hun eigen kennisniveau.

"What you see is what you need."

Stap 3: Beheer

Met het administreren van activiteiten in verwerkingen, het identificeren van risico's en het implementeren van maatregelen is al een grote stap gemaakt richting een compleet privacybeleid. Van belang is dat het om een doorlopend proces gaat: het enkele toewijzen van taken op basis van maatregelen is niet voldoende. Richt een proces in voor het vastleggen van veranderingen die binnen de organisatie hebben plaatsgevonden en speel hierop in. Bovendien vinden er ook regelmatig wijzigingen plaats in de regelgeving waar jij als FG/DPO/PO van op de hoogte dient te zijn. Kortom, ook het beheer van het privacybeleid is een brede activiteit en kan zorgen dat het overzicht verloren gaat.

Binnen TrustBound GRC speelt ook het beheer een belangrijke rol. In de software kan gemakkelijk bijgehouden worden wat de status is van een bepaalde verwerking. Hierbij gaat het onder meer om wie er verantwoordelijk is voor de te nemen maatregelen en of deze maatregelen daadwerkelijk zijn uitgevoerd. Via de chatfunctie kunnen medewerkers aangestuurd worden om met een maatregel aan de slag te gaan.

Complete werkomgeving

Door gebruik te maken van het template voor zorginstellingen en met de ingebouwde NEN 7510 normenkaders wordt jou een hoop werk uit handen genomen en behoud je het overzicht van het privacy- en informatiebeveiligingsbeleid van de organisatie.

Meer weten over hoe TrustBound jouw zorginstelling kan helpen?


Vragen en antwoorden: TrustBound GRC voor Zorginstellingen

Waarom zijn privacy en gegevensbescherming zo relevant in de zorg?

Binnen de zorgsector wordt er veel met medische gegevens gewerkt, bijvoorbeeld bij het administreren van de patiëntdossiers. Onder medische gegevens vallen ook gegevens waaruit iemands medische conditie kan worden afgeleid, bijvoorbeeld het feit dat iemand in een rolstoel zit. Al deze medische gegevens worden als ‘bijzondere persoonsgegevens’ in de Algemene Verordening Gegevensbescherming (AVG) aangemerkt. Deze bijzondere status zorgt ervoor dat er strengere regels gelden voor het verwerken van deze gegevens.

Is er een voorbeeld verwerkingsregister voor een zorginstelling?

TrustBound heeft een voorbeeldomgeving voor de zorgsector met daarin een uitgebreide set verwerkingen. Bovendien zijn de verplichte onderdelen uit de AVG al in ons verwerkingsregister opgenomen (zoals grondslag en rechtmatigheid), waardoor jij bij het opvoeren van een verwerking precies weet wat de basisgegevens zijn. Zo beschik je over een aanzet voor jouw organisatie die je met enkele gerichte aanpassingen direct toe kan passen: dat scheelt een hoop werk!

Is een verwerkingsregister in Excel voldoende?

TrustBound GRC biedt als online werkomgeving veel meer dan alleen een verwerkingsregister. Het ondersteunt het hele beheer via de PDCA-cyclus. Risico’s en maatregelen kunnen worden gekoppeld aan verwerkingen én personen binnen de organisatie. Dit zorgt voor een behoud van overzicht, ook wanneer er wijzigingen plaatsvinden. Bovendien bevindt alle kennis zich nu op één toegankelijke omgeving. Van verwerkersovereenkomsten tot interne beleidsregels, documenten kunnen in TrustBound aan de betreffende partner of handeling worden gekoppeld.

Geeft TrustBound hulp bij NEN 7510 implementatie?

Naast het voldoen aan de vereisten uit de AVG biedt TrustBound GRC ook hulp bij het voldoen aan sectorspecifieke normenkaders. Voor de zorgsector biedt TrustBound het NEN 7510 normenkader aan. De organisatie heeft hierbij zelf de keuze op welk tempo zij welke regels wil implementeren. De regels uit het normenkader kunnen weer gekoppeld worden aan verwerkingen en personen. De FG, DPO of PO kan zo gericht controleren en toezicht houden.