Voorbereiding AVG

24 mei 2018

Om huisartsen en praktijkmanagers  voor te bereiden op de nieuwe privacywet organiseerde de Huisartsenkring Groningen samen met ELANN en de LHV Academie op 23 mei een nascholing over de AVG.

Eugenie Verhaar, oprichter en eigenaar van Informatiebeveiligingdoejezo, wijdde de deelnemers in in de belangrijkste aspecten van privacy en informatiebeveiliging. Zij benadrukte dat daarbij in elk geval aan de volgende zaken moet worden gedacht:

  1. Bewerkingsovereenkomsten
    Heeft u bewerkersovereenkomsten met alle ICT leveranciers?
  2. Meldplicht datalekken
    Heeft u geregeld dat u kunt voldoen aan de meldplicht datalekken? Uw leverancier moet melden aan u. Uw medewerkers moet weten dat ze moeten melden aan u. U moet binnen 72 uur kunnen melden aan de Autoriteit Persoonsgegevens.
  3. Doelbinding en overzicht registraties
    Heeft u geregeld dat niks wordt geregistreerd buiten de officiële registraties om? Denk aan de stagiaire die een onderzoek doet of de schaduwadministratie van een assistente.
  4. Passende maatregelen
    Heeft u een overzicht van beveiligingsmaatregelen? Stel vast dat ze compleet en goed genoeg zijn.
  5. Aantoonbaarheid
    Controleert u periodiek (bijvoorbeeld twee maal per jaar) uw beveiliging en legt u dit vast?

Informatiebeveiliging

Met informatiebeveiliging zorgt u ervoor dat informatie beschikbaar is op het moment dat het nodig is, dat deze informatie integer (correct) is, en dat de vertrouwelijkheid van informatie (derden hebben geen toegang) goed is beschermd, aldus Verhaar.

Vijf stappen

Om de informatiebeveiliging goed te regelen stelde Verhaar de volgende stappen voor:

  1. Stel de doelen van informatiebeveiliging, uw uitgangspunten en de reikwijdte vast. Resultaat stap 1: beleid.
  2. Maak een lijst van alle relevante onderdelen: informatie, applicaties, hardware en ook de informatie op papier (dossiers). Stel bij elk onderdeel de vraag: hoe erg is het als dit onderdeel niet beschikbaar is, niet integer is, of in verkeerde handen valt (en aan vertrouwelijkheid verliest)? Maak ook een overzicht van de leveranciers die alle onderdelen leveren of op een andere manier invloed hebben op de beveiliging. Resultaat stap 2: overzicht.
  3. Maak een overzicht van risico’s op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid. Resultaat stap 3: inzicht in risico’s.
  4. Maak een overzicht van beveiligingsmaatregelen die u al genomen heeft en die nog nodig zijn om de risico’s te verkleinen. Resultaat stap 4: overzicht maatregelen.
  5. Leg vast hoe u de bestaande en de nieuwe beveiligingsmaatregelen periodiek zult controleren. Resultaat stap 5: jaaroverzicht controles.