103413 3d glossy green orb icon business lock1

Informatiebeveiliging & Privacy in de zorg

Met de Algemene Verordening Gegevensbescherming op komst, zorgen we voor nog betere beveiliging van de patientgegevens. En leggen we de afspraken en documentatie van de werkwijze nog beter vast. Dat moet, dat is de wet. En dat is logisch ook.

Afgelopen maanden bezochten we seminars bij Intermax en de NEN over AVG en zochten we uitgebreid naar meer duidelijkheid op het internet. Applicura sprak over de nu vereiste bewerkersovereenkomst met de jurist van onze accountant, met een security-officer van een academisch ziekenhuis en de KNMG en uiteindelijk kwam ik uit (heel logisch eigenlijk...) op de bewerkersovereenkomst van de NVZ (Nederlandse Vereniging van Ziekenhuizen). De laatste versie daarvan (dec-2016) is toegeschreven naar AVG/GDPR.

Formele status van de bewerkersovereenkomst

De bewerkersovereenkomst is een formele afspraak tussen de opdrachtgever en Applicura. Applicura's klant geeft in de bewerkersovereenkomst aan, aan welke eisen en normen Applicura moet voldoen bij het bewerken van de persoonsgegevens (gegevens van de patienten) van de zorginstelling. Door de bewerkersoverenkomst te ondertekenen accepteert Applicura deze eisen en beloofd conform de afspraken te werken. De opdrachtgever kan Applicura hier dan ook op aanspreken.

Hoe gaan we in de klant-relatie om met deze bewerkersovereenkomst?

In de praktijk stelt Applicura deze bewerkersovereenkomst op, na grondige bestudering van de AVG. In de bewerkersovereenkomst stelt Applicura een werkwijze voor, die realistisch en haalbaar is. Verplichte onderdelen van de AVG worden natuurlijk onder de aandacht gebracht van de klanten. Bij het gezamenlijk overleg over deze bewerkersovereenkomst, worden de te nemen nieuwe beveiligingsmaatregelen besproken en geaccordeerd. Immers, de klant zal ook het budget in de gaten willen houden. Na ondertekenen gaat Applicura aan de slag met de nieuwe eisen aan de informatiebeveiliging en privacy en factureert deze werkzaamheden aan de klant. De bewerkersovereenkomst vormt dan een verdere specificatie van de in de offerte overeengekomen opdracht die de opdrachtgever aan Applicura in het verleden verstrekt heeft.

Bewerkersovereenkomst met internet provider

Een belangrijk element van de AVG is dat de verantwoordelijkheid mbt de bescherming van de persoonsgegevens en de privacy "gevolgd" kan worden van patient naar zorginstelling, naar ICT-leverancier, naar ICT-onderaannemer, naar internetprovider, naar leveranciers, etc. Applicura zal logischerwijze met Byte, onze internet-provider eveneens een bewerkersovereenkomst sluiten, waar in een deel van de overeengekomen informatiebeveiligings-maatregelen gedelegeerd wordt.

Waarom vinden we deze bewerkersovereenkomst geschikt voor Applicura's klanten?

  • Het verwijst naar de hoofdovereenkomst (dat zijn de door onze klanten goedgekeurde offertes). In die offertes werd al naar Applicura's algemene voorwaarden verwezen, dus de hierarchie in alle ovk's is logisch opgebouwd.
  • In geval van beveiligingsincidenten (datalek etc) schrijft deze bewerkersovereenkomst voor dat er eerst overleg is met de opdrachtgever, alvorens een incident te melden aan de AP. Tijdens dat overleg kan de impact en de ernst van het datalek besproken worden en wellicht verder geanalyseerd en vervolg-acties afgestemd. Voor onze opdrachtgevers is dit moment van overleg belangrijk.
  • Deze bewerkersovereenkomst is duidelijk en pragmatisch. Het is niet te vaag. De maatregelen in art. 3 en 4 zijn voldoende specifiek en toch ook voldoende ruim opgesteld. Het is duidelijk welke technische maatregelen we moeten organiseren om er aan te voldoen.
  • Deze bewerkersovereenkomst is geschreven vanuit de praktijk van een zorginstelling.
  • In annex 1 en 2 kan je alle specifieke technische maatregelen voor een project opsommen (zoals SSL, 2FA, versleuteling wachtwoorden, gebruikers-registratie, gebruik patient-formulieren etc), en
  • In Annex 4 kan je artikelen niet van toepassing verklaren of in aangepaste vorm (bijv. als je klant niet bereid is de kosten die met een maatregel gemoeid zijn te betalen, of omdat zaken voor specifieke ICT-oplossingen niet van toepassing zijn)

 

ict oplossingen

Login