De AVG (GDPR) ingewikkeld? SpotOnMedics helpt!

De termen GDPR en AVG vliegen u waarschijnlijk om de oren. Het betreft de nieuwe Europese wetgeving rondom data en privacy, waar alle bedrijven binnen de EU vanaf 25 mei 2018 aan moeten voldoen. Dus ook uw fysiotherapiepraktijk. In dit artikel geven we meer duidelijkheid.

Waarom twee afkortingen?
Om deze verwarring direct weg te nemen: GDPR is de afkorting van General Data Protection Regulation en is de Engelse term voor de AVG (Algemene Verordening Gegevensbescherming). De termen worden vaak door elkaar heen gebruikt, waarbij de AVG de Nederlandse implementatie is van de europese regelgeving GDPR.

Van Wbp naar AVG
Momenteel geldt nog de Nederlandse Wet bescherming persoonsgegevens (Wbp). Deze vervalt per 25 mei, omdat dan de AVG officieel in werking treedt. In plaats van tientallen verschillende wetgevingen geldt er dan dus nog één Europese regelgeving.

Het doel van de AVG
Het doel is om alle individuele wetten en regels van EU-lidstaten op het gebied van databescherming samen te brengen. Dit biedt betere bescherming aan EU-burgers en is bovendien makkelijker en overzichtelijker voor zowel overheden als het bedrijfsleven.

De 5 belangrijkste veranderingen
Wat zijn de belangrijkste veranderingen in de transitie van Wet bescherming persoonsgegevens (Wbp) naar de nieuwe AVG? Dit zijn de vijf belangrijkste verschillen:

1: Vragen om toestemming
De AVG is strikter dan de Wbp wat betreft het verwerken van privacygevoelige informatie. Zonder een expliciete en vrijwillig gegeven toestemming is geen enkele verwerking toegestaan. De organisatie moet de toestemming vervolgens vastleggen en bewaren. Het is verstandig om al tijdens de voorbereiding uit te zoeken hoe uw organisatie toestemming vraagt, verkrijgt, vastlegt en bewaart.

2: Rechten van de betrokkenen
De AVG geeft individuen uitgebreide rechten om bijvoorbeeld toegang te krijgen tot de eigen informatie, fouten te laten her­stellen en data te laten verwijderen en vernietigen. Dit betekent niet dat in uw geval de patiënt altijd en digitaal toegang moet kunnen krijgen tot zijn of haar relevante gegevens. U bent wel verplicht om de patiënten op verzoek inzage te geven en de patiënt heeft het recht om gegevens te laten aanpassen. Stel voor uw praktijk een procedure op. Hoe om te gaan met dergelijke verzoeken?

3: Privacy by design
De AVG dwingt ‘privacy by default’ en ‘privacy by design’ af. Bij de ontwikkeling van een nieuwe dienst of een nieuw product moet vanaf het begin rekening worden gehouden met de bescherming van privacygevoelige informatie. Dit geldt niet alleen voor de gegevens die worden vastgelegd in FysioOne maar voor alle gegevensstromen binnen uw praktijk. Denk bijvoorbeeld aan een mailinglijst of SEPA-machtigingen voor het incasseren van FysioFitness.   

4: Inzicht in de locatie van data
Zonder inzicht waar de data zich bevinden is het onmogelijk om ze te bescher­men. Organisaties moeten bovendien toezien op de juistheid van de beschikbare data – die mogen tijdens de verwerking niet worden gewijzigd. De AVG stelt voor dit in de vorm van een PIA te doen, zijnde een Privacy Impact Assessment. Waar het feitelijk om gaat is dat u aantoonbaar moet kunnen maken dat u weet wat er met gegevens die u vastlegt gebeurt. Vragen zoals deze moet u kunnen beantwoorden: Waar worden gegevens opgeslagen? Hoe lang worden ze bewaard? Wie is er verantwoordelijk voor? Het in kaart brengen van alle gegevensopslag en -stromen binnen uw praktijk is daarmee noodzakelijk. De AVG noemt dit een verwerkingsregister. In dit register wordt vastgelegd welke gegevensstromen er zijn, wie er verantwoordelijk voor is, etc.

In het geval dat externe partijen gegevens van u bewerken, dat wil zeggen opslaan of verwerken, heeft u een bewerkersovereenkomst nodig met die partijen. U bent als praktijkhouder verantwoordelijk om bewerkersovereenkomsten te kunnen laten zien. Zo ook met SpotOnMedics. In uw contractenset voor 2018 is zo’n bewerkersovereenkomst met SpotOnMedics opgenomen om u alvast hierbij te helpen maar ook met de andere partijen die gegevens van u beheren of verwerken is een bewerkersovereenkomst nodig. Het niet getekend retourneren van de bewerkersovereenkomst betekent dat u niet aan de verplichting hebt voldaan binnen de AVG. Het verwerkingsregister zal tijdig digitaal beschikbaar komen in FysioOne, zodat u hier de gegevensstromen kunt vastleggen. Natuurlijk zullen wij u ook hierbij helpen door de gegevensstromen binnen FysioOne en vanuit FysioOne naar externe partijen voor te bereiden. U heeft daarmee direct een leidraad voor het verder invullen van het verwerkingsregister.

5: Security awareness
De AVG gaat ervan uit dat alle ‘stakeholders’ en medewerkers zich ervan bewust zijn dat ze met privacygevoelige informatie werken en dat ze op de hoogte zijn van de impact van een datalek. Bij het bepalen van een eventuele boete zal de Auto­riteit Persoonsgegevens zeker ook de investeringen in security awareness programma’s meewegen. Uiteraard weegt ook mee welke beveiligingsmaatregelen een organisatie heeft getroffen. De AVG gaat veel meer dan de Wbp in op het belang van informatiebeveiliging.

U kunt uw praktijk hierop voorbereiden door het activeren van een aantal beveiligingsmaatregelen, zoals 2-laags authenticatie en de rollen en rechten module van FysioOne.

Een recent en duidelijk voorbeeld van de noodzaak om 2-laags authenticatie te introduceren: Een phishingsite die zich voordeed als de bank Knab stond hoog in Google, omdat het als advertentie in de zoekresultaten stond. Cybercriminelen wisten daardoor 11.000 euro over te maken. Dat ontdekte Trouw. De advertentie had de titel “Inloggen Knab”. Mensen die naar de bank zochten werden daardoor doorverwezen naar een site die zich voordeed als die van de bank. Probeerde je in te loggen, dan werden de inloggegevens naar de beheerders verstuurd. Daardoor konden de criminelen inloggen via internetbankieren en geld naar eigen rekeningnummers overmaken.

Ook al voorkomt u niet dat dit gebeurt, zou 2-laags authenticatie activeren binnen uw praktijk wel voorkomen dat er ingelogd kan worden met uw accountgegevens. Immers zij hebben niet de beschikking over uw mobiele telefoon.

Daarnaast kunt u met de praktijkmedewerkers werkafspraken maken over het lokaal op de pc opslaan van gevoelige informatie of het niet onbeheerd achterlaten van de werkplekken. Het bewustwordingstraject blijkt in de praktijk de meeste tijd te kosten en vraagt eigenlijk dat u hier nu al mee start.

Wat doet SpotOnMedics?
SpotOnMedics is NEN 7510 en ISO 27001 gecertificeerd. Daarnaast hebben we al maatregelen genomen, zoals het extra loggen van bepaalde informatie in de applicatie. De komende maanden worden de voorbereidingen op de AVG verder uitgerold. U kunt van SpotOnMedics verwachten dat wij per 25 mei 2018 aan de nieuwe wetgeving voldoen. De komende periode zullen wij u van meer informatie voorzien rondom dit onderwerp, via onze digitale nieuwsberichten en nieuwsbrieven.

Meer informatie?

• Infographic: De AVG in een notendop
• Boek: Grip op de AVG (Koen Versmissen)
• Masterclass informatiebeveiliging (Wilco Hamoen, SpotOnMedics)
• Artikel: “Ligt u wakker van de GDPR? 5 tips voor meer rust”

Bronnen:

• https://www.computable.be/artikel/opinie/datamanagement/5932882/5594140/waarom-bent-u-nog-niet-klaar-voor-gdpr.html
• https://www.marketingfacts.nl/berichten/wat-betekent-gdpr-voor-consumenten
• https://www.computable.be/artikel/opinie/datamanagement/5932882/5594140/waarom-bent-u-nog-niet-klaar-voor-gdpr.html
  https://www.passionned.nl/general-data-protection-regulation-11-zaken-die-je-moet-weten/
• https://blog.databyte.nl/blog/nieuw-europese-wet-vervangt-wet-bescherming-persoonsgegevens
• https://www.deondernemer.nl/nieuwsbericht/172414/de-privacywet-verandert-over-een-half-jaar-dit-zijn-de-5-grootste-veranderingen