Nieuwe wetgeving

De Europese vervanger van de Wet bescherming persoonsgegevens

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Wat verandert er?
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

De organisatie is hoofdverantwoordelijk voor het naleven van de AVG. KraamZorgCompleet ondersteunt de organisatie hierin met oplossingen in de software om de privacygevoelige gegevens van cliënten te beschermen.

Risico’s verminderen
In KraamZorgCompleet zijn vele privacygevoelige gegevens van cliënten opgeslagen. Je moet er niet aan denken dat die gegevens op straat komen te liggen. Denk hierbij aan diefstal/verminking van gegevens, of dat onbevoegde personen de gegevens bekijken. Of zelfs die gegevens ongewenst veranderen. Het belangrijkste is dat medewerkers zich er bewust van zijn dat ze deze data moeten beschermen.

Eenvoudige gedragsregels doorvoeren kan al veel schelen:

  • Stuur geen privacygevoelige informatie over de reguliere e-mail, maar gebruik Zorgmail of Zivver (zie artikel in deze nieuwsbrief voor een aanbieding).
  • Vergrendel je PC als je wegloopt. Dit kan door Windows-L in te toetsen.
  • Zorg voor goede virusscanners op je computer.
  • Maak een veiligheidskopie van KraamZorgCompleet op een usb-stick en bewaar die in een kluis. Of nog beter, laat KraamZorgCompleet draaien bij een hostingbedrijf. Daar is de (brandwerende) beveiliging beter geregeld.
  • Als je exports maakt vanuit KraamZorgCompleet, weeg dan goed af aan welke partijen je welke informatie geeft, en op welke manier je dat verstuurt. Vraag aan cliënten om toestemming, indien van toepassing.

Instellingen in KraamZorgCompleet
Om de privacygevoelige cliëntgegevens te beschermen kun je daarnaast instellingen doorvoeren in KraamZorgCompleet.

Hieronder volgen de mogelijkheden:

  • KraamZorgCompleet beveilig je met een gebruikersnaam en wachtwoord.
  • Het is van groot belang om te kiezen voor een sterk wachtwoord (minimaal 8 tekens en gebruik hoofdletters, speciale tekens en cijfers).
  • Zorg dat je wachtwoord niet gemakkelijk te raden is (gebruik bijvoorbeeld géén namen en geboortedata).
  • Bewaar inloggegevens op een veilige plek, liefst achter een code of wachtwoord. Een post-it op je computerscherm plakken is géén goede locatie.
  • Deel je inloggegevens niet met andere personen en maak ook géén gezamenlijke inloggegevens.
  • Per gebruiker of groep van gebruikers zijn gebruikersrechten instelbaar. Deze rechten betreffen het toevoegen, wijzigen, verwijderen en inzien van gegevens, en zijn per tabel of per actie instelbaar. Op deze manier kan je ervoor zorgen dat bijvoorbeeld stagiaires niet bij bepaalde informatie kunnen. Dit geldt ook voor dossiers, die kun je ook afschermen voor collega’s. Ook kan het management van de organisatie regelen dat een medewerker de toegang tot KraamZorgCompleet wordt ontzegd, mocht dat nodig zijn.

Beveiliging van processen
We zorgen er voor dat we ontwikkelingen zo veilig mogelijk inbouwen in KraamZorgCompleet zelf. KraamZorgCompleet is ISO27001/NEN7510 gecertificeerd. Zie voor meer informatie onze website.

Hieronder staan een aantal voorbeelden hoe we zorgen voor de dataveiligheid:

  • Wachtwoorden (zowel van medewerkers als van cliënten) slaat KraamZorgCompleet versleuteld op in eigen tabellen in de database.
  • KraamZorgCompleet maakt gebruik van de databasemanager Actian PSQL. Deze databasemanager zorgt er met een aantal processen voor dat de gegevens van KraamZorgCompleet niet onbedoeld kunnen wijzigen. Let op: de database is grotendeels niet encrypted. Voor extra beveiliging is het nuttig om de database op een encrypted container of schijf te bewaren.
  • Daarnaast hebben we contracten ontwikkeld, met een technische checklist, bedoeld voor partijen die met onze software koppelen. Een van de doelen van die contracten is om te regelen dat het dataverkeer en de dataopslag veilig gebeurd.

KraamZorgCompleet OnLine
KraamZorgCompleet OnLine werkt met afgeschermde toegang tot de online portalen. De toegangsbeveiliging is afhankelijk van het type account dat wordt gebruikt. Toegang tot de database wordt alleen verleend vanaf vooraf opgegeven computers. Als dat niet kan, dan kan ook gebruik gemaakt worden van ‘tokens’ waarmee bewezen wordt dat het de organisatie is die toegang wil tot zijn database.

Daarnaast moet je eerst inloggen om op de KraamZorgCompleet Online omgeving te komen, voordat je je gewone gebruikersnaam/wachtwoord voor KraamZorgCompleet invoert. Je kan de toegang veiliger maken door voor KraamZorgCompleet en de online omgeving andere wachtwoorden te gebruiken.

Toekomstige ontwikkelingen n.a.v. AVG
We zijn nog aan het onderzoeken welke wijzigingen we in KraamZorgCompleet moeten doorvoeren om er voor te zorgen dat organisaties volledig kunnen voldoen aan de AVG per 25 mei 2018. We verwachten dat we het overgrote deel al ingeregeld hebben in KraamZorgCompleet.

Wellicht zijn er nog kleine wijzigingen nodig, die we uiteraard zo snel mogelijk zullen doorvoeren.

En als het mis gaat?
Het kan gebeuren dat er toch iets misgaat met de beveiliging; onbedoeld hebben onbevoegden toegang gehad tot privacygevoelige gegevens. Dit is een datalek, waarvoor een meldplicht bestaat. De verwerker (de organisatie zelf, of de hostingpartij) is er voor verantwoordelijk om het datalek zo snel mogelijk te melden bij de Autoriteit Persoonsgegeven (AP), en indien nodig ook de cliënt op de hoogte te stellen.

Meer informatie over dit onderwerp
Bekijk bijvoorbeeld het stappenplan van de Autoriteit Persoonsgegeven (AP), om inzicht te krijgen in wat de organisatie moet doen om te voldoen aan de AVG.
Op de website van AP staat meer informatie over het recht op correctie en verwijdering.