Blog: Lokale software groot risico onder de AVG

Jan Pieter Schoon is Functionaris Gegevensbescherming bij Incura, EPD-software voor logopedisten. Hij is hét aanspreekpunt voor alle aspecten op het gebied van informatiebeveiliging. In 2018 zal de Algemene verordening gegevensbescherming (AVG) van kracht zijn. Wat betekent dit voor logopedisten?

Jan Pieter Schoon 250x175

“Regelmatig vragen onze logopedieklanten wat wij als zakelijke relatie doen met hun gegevens in onze software. Het gaat dan niet alleen om patiëntgegevens, maar ook over gegevens van de praktijk en de logopedist zelf.” De ‘Wet Bescherming Persoonsgegevens’ (Wbp) is heel duidelijk over wat wel en wat niet is toegestaan. Het doel waarvoor gegevens worden opgeslagen staat centraal. “Ons doel is ervoor zorgen dat onze klanten hun eigen praktijkadministratie zorgvuldig, efficiënt en betrouwbaar kunnen voeren en in overeenstemming met de geldende wetgeving en beroepsrichtlijnen. Persoonlijke gegevens of patiëntgegevens van onze klanten worden niet voor andere doeleinden gebruikt.”

“Maak duidelijke afspraken over persoonsgegevens”
Handelen in strijd met deze regel kan u verplichten tot het melden van een datalek bij de Autoriteit Persoonsgegevens en kan leiden tot hoge boetes. “Wij raden onze klanten altijd aan om met alle relaties (die beschikking krijgen over persoonsgegevens) schriftelijke afspraken te maken over welke werkzaamheden worden verricht en met welk doel de persoonsgegevens worden vastgelegd.” Soms is dit al voor u geregeld, bijvoorbeeld bij de contracten met zorgverzekeraars. Uw verwijzers vallen onder de WGBO waarin dat is geregeld. ”Bij Incura zijn deze afspraken vastgelegd in onze SLA / Bewerkersovereenkomst. Dat is voor onze klanten en hun patiënten weer een zorg minder.”

“Wees je bewust van risicovol gedrag”
Alleen afspraken maken met leveranciers is niet voldoende. Informatiebeveiliging heeft voor een groot deel te maken met gedrag. “Incura en Abakus werken vanuit de cloud en nemen zo een groot deel van de verantwoordelijkheid voor gegevensbescherming op zich. Gebruikers dienen zelf te zorgen voor onder andere goed wachtwoordbeheer, installatie en updates van het besturingssysteem en van hun antivirussoftware. Bij lokaal geïnstalleerde software draagt een zorgverlener aanzienlijk meer verantwoordelijkheid bij de bescherming van persoonsgegevens.”

“Voorkom een boete onder de AVG”
De Wbp wordt op 25 mei 2018 vervangen door de AVG. Vanaf dat moment dient iedereen die persoonsgegevens verwerkt de handelingen op het gebied van informatiebeveiliging meer te structureren en vast te leggen. ”Graag helpen we logopedisten verder met eventuele vragen over informatiebeveiliging. De veiligheid waarborgen van privacygevoelige informatie voelen wij als een gedeelde verantwoordelijkheid. Het is daarbij belangrijk dat u maatregelen neemt die passend zijn bij het risico dat wordt gelopen en bij de mogelijke impact van een onverhoopt incident.”

Houdt u zich niet aan de nieuwe regels onder de AVG? Dan riskeert u een boete van maximaal 20 miljoen euro of 4% van uw wereldwijde jaaromzet. “De eerste stap is bewustwording. Reflecteren op uw eigen gedrag zodat inzichtelijk wordt welke risico’s op een bepaald veiligheidsincident bestaan. Tijdens de parallelsessie ‘Gegevensbescherming’ op het NVLF-congres ga ik samen met onze productmanager Hilde Lamberts hierover in gesprek. Wat houdt de AVG in? Logopedisten krijgen zo meer inzicht in deze complexe materie en ontdekken welke maatregelen ze nog moeten nemen.”

Parallelsessie Gegevensbescherming op NVLF-congres
Meer weten over de AVG? Volg dan de parallelsessie 'Gegevensbescherming' tijdens ronde 1 op het NVLF-congres. Er is een beperkt aantal plaatsen beschikbaar. Meld u nu aan!

Meld u aan