Veilig werken: Is mijn praktijk klaar voor de AVG?

We zitten al bijna twee jaar in een overgangsperiode en menig praktijkhouder schuift dit nog steeds lekker voor zich uit, hij pakt ieder excuus aan om het onderwerp nu nog niet beet te hoeven pakken. Natuurlijk hebben wij het allemaal altijd erg druk. Maar de nieuwe wet is iets wat moet gaan ‘leven’ binnen de organisaties. Daar is simpelweg tijd voor nodig. Vandaar mijn boodschap: Start niet te laat! “Waar moet ik dan beginnen?“, is een van de meest voorkomende vragen die ik krijg.

Aantoonbaarheid 

In de afgelopen jaren hebben wij veel sessies door heel het land gegeven om de bewustwording van deze nieuwe Europese privacy wetgeving bij praktijkhouders te vergroten. Er zijn talloze websites met toelichting wat de ‘AVG’ precies is en doet, dus daar ga ik in mijn blog dan ook niet verder op in. Naast een aantal belangrijke zaken die deze nieuwe wet van de praktijkhouder eist springt 1 kernwoord uit, waar iedereen nu toch al over moet gaan denken en elke praktijkhouder in de 'actiehouding' moet laten springen. Welk woord dit is? 'Aantoonbaarheid'. Andere zaken in deze wet zijn uiteraard ook belangrijk, echter richt ik me in deze blog alleen even op de aantoonbaarheid.

Vijf tips om vandaag mee te beginnen

Wat betekent aantoonbaar maken? Praktijkhouders moeten aantoonbaar maken hoe en wat zij doen om de privacy van hun patiënten te kunnen blijven borgen. Dit is dus niet 1 keer iets doen, maar het moet een continu proces blijven binnen de dagelijkse praktijkvoering. Waar te beginnen? Om het zo praktisch mogelijk te maken hier een vijftal tips onder drie hoofdonderdelen waar u vandaag nog mee kunt beginnen:

1) Organisatorische maatregelen

a. Plan uw eerste risico-evaluatie met het hele team en voer een structureel werkoverleg in met ‘informatieveiligheid’ als vast item op de agenda.

b. Werk uw informatieveiligheidsbeleid uit en zorg voor een levend document.

c. Voer cleandesk policy in en laat geen wachtwoorden rondslingeren op prikborden of op notities achter de receptie/balie.

d. Breng leveranciers in kaart, maak afspraken en leg deze vast in bewerkersovereenkomsten.

e. Wees zeer terughoudend met het versturen van patiëntgegevens via e-mail.

2) Technische maatregelen

a. Schakel een IT-expert in om uw infrastructuur en beveiliging te checken en te upgraden.

b. Lock computers en pas uw wachtwoordbeleid aan (langere wachtwoorden en regelmatig vervangen).

c. Breng scheiding aan tussen patiëntgegevens en bedrijfkritische informatie.

d. Installeer firewall, antivirusprogramma’s en laat software-updates niet te lang liggen.

e. Schakel computers uit als u ’s avonds naar huis gaat en werk vanuit huis alleen via VPN.

3) Wettelijke verplichtingen

a. Leg een verwerkingsregister vast

b. Registreer beveiligingsincidenten

c. Meld datalekken aan AP en betrokkenen

d. Denk na over de rol van de FG

e. Geef concreet invulling aan de rechten van betrokkenen

Tips van John van der Zwaan:

Tip 1) Reserveer een informatie sessie

Wij schuiven regelmatig aan bij een kring- of groepsoverleg zoals eigen kringen of Equal groepen. Wij staan ook vaak als gastspreker bij ledenvergaderingen en op een beurs of congres. Recent zijn wij te gast geweest bij de ledenvergadering van het ONT en hebben wij 2 masterclasses gegeven op MOLive. Uiteraard waren we ook op het jaarlijkse congres PraktijkAnnoNu. Wij informeren graag, dus schroom niet om ons hiervoor te benaderen. Waar mogelijk proberen wij deze sessies geheel kosteloos te geven om de drempel voor u laag te houden.

Tip 2) bronnen voor informatie

Als eerste dient u de website van onze Nederlandse privacy waakhond Autoriteit Persoonsgegevens goed in de gaten te houden. Dit is dan ook uw startpunt! Hier staat boordevol informatie op. Alle documenten zijn hier volledig downloadbaar. Dit kan veel leesvoer zijn, maar menig document heeft ook een management samenvatting van enkele bladzijdes. Kijk op www.autoriteitpersoonsgegevens.nl Kijk ook even naar de informatie bronnen bij uw branchevereniging.

Tip 3) Voer een IT-check uit

Eigenlijk al eens eerder in een tip gezet, echter blijkt dat veel praktijkhouders onze IT-check gebruiken als perfecte uitgangspunt om de AVG beet te pakken. Met name vanuit bijvoorbeeld IT-lekken, problemen, vermoedens. Daarnaast wordt de check gebruikt om te kijken hoe IT technische ondersteuning kan bieden op het veiliger werken.

John van der Zwaan Praktijkadviseur. johnvdzwaan@gmail.com / jvdzwaan@qfast.nl. Tel: 06-10675039

In mijn blogs staat ‘veilig werken’ altijd centraal en ik hoop u in mijn komende blogs met praktische tips uw praktijk nog veiliger te kunnen laten werken. Niet alleen het veiliger inrichten van uw praktijk maar ook uw medewerkers bewuster laten worden van de dagelijkse handelingen in hun taken.

Door: John van der Zwaan Manager Operations Qfast ICT B.V.