Vlaams Artsensyndicaat vzw

Afd. Antwerpen, Limburg en Vlaams-Brabant

Login

  1. Home
  2. STAP 4 - Zorg voor voldoende beveiligingsmaatregelen

STAP 4 - Zorg voor voldoende beveiligingsmaatregelen

In stap 4 gaan we meer in detail bekijken op welke manier u de persoonsgegevens die u verwerkt, beveiligt.

Persoonsgegevens moeten immers beschermd worden tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

De GDPR verplicht u om ‘passende technische en organisatorische maatregelen te nemen’ bij de verwerking van persoonsgegevens. Bij de beoordeling van het passende beveiligingsniveau wordt rekening gehouden met de risico’s van de verwerking, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

TO DO

Vooraleer u de vragen hieronder beantwoordt, maakt u best een overzicht van de volgende twee vragen:

Waar houdt u uw gegevens bij?  Het kan zijn dat u bepaalde gegevens bijhoudt in een Excel of Access bestand (op uw computer, een externe harde schijf, een USB-stick, …), maar het kan ook zijn dat u gegevens bijhoudt in een Cloud-oplossing of specifieke software (mailingprogramma’s, boekhoudpakketten,…), of gewoon op papier.

Controleer daarnaast ook wie juist toegang heeft tot die gegevens. Bijvoorbeeld als u gegevens bijhoudt op papier; wie kan dan allemaal in de kast waar die papieren bewaard worden? Wie heeft een account op het boekhoudprogramma waar u mee werkt? Wie kan inloggen in het patiëntendossier? Etc.

 

Beveiliging in functie van...
Praktisch – voorbeelden van beveiligingsmaatregelen
Beperking interne toegang als onderdeel van beveiliging
Gegevens doorgeven aan derden
Doorgifte aan derde landen

Beveiliging in functie van …

Welke beveiligingsmaatregelen u dus precies moet nemen, hangt af van een aantal factoren:

A. De risico’s die aan de verwerking verbonden zijn
B. De stand van de techniek
C. De uitvoeringskosten

A. De risico’s die aan de verwerking verbonden zijn

Hoe groter het risico, hoe beter de beveiliging moet zijn. Die risico’s hangen dan weer af van de omstandigheden van de verwerking: de aard, omvang, context en doeleinden van de verwerking.

  • Zo zullen bijvoorbeeld de verwerkingen die betrekking hebben op patiëntengegevens, meer risico’s inhouden voor de betrokkenen dan de verwerkingen die betrekking hebben op het ‘leveranciersbeheer’ en dus een betere bescherming vragen.
  • Hou er ook hier weer rekening mee dat de verwerking van gevoelige gegevens een hoger beschermingsniveau zal vragen. Desgevallend neemt u contact op met een IT-leverancier om te weten welke mogelijkheden er zijn.
  • Ook de omvang van de verwerking speelt een rol. Of er sprake van enkele honderden patiënten dan wel van tienduizenden patiënten zal mee de te nemen maatregelen bepalen.

 

B. De stand van de techniek

Bij het bepalen van de maatregelen om de risico’s te beheren en beheersen moet rekening worden gehouden met de stand van de techniek. Dat betekent dat wat vandaag een goede beveiligingsmaatregel is, dat morgen niet meer noodzakelijk is.

C. De uitvoeringskosten

Bij het bepalen van de maatregelen om de risico’s te beheren en beheersen mag rekening worden gehouden met de uitvoeringskosten. Die kosten worden mee bepaald door de context. Zo is het duidelijk dat de kosten inzake beveiliging voor een privépraktijk heel wat lager zullen zijn dan de kosten voor de beveiliging van een ziekenhuis. Dat betekent ook dat niet noodzakelijk altijd de duurste oplossing moet worden gekozen.

Wat met certificeringsnormen, zoals ISO 27000?

Inzake beveiliging kan een beroep worden gedaan op bepaalde certificeringsnormen, zoals ISO 27000. Ondernemingen die deze certificering kunnen voorleggen, mogen ervan uitgaan dat de genomen beveiligingsmaatregelen passend zijn.

Hou er wel rekening mee dat (op dit ogenblik) deze certificeringsnormen vooral gericht zijn op de technische aspecten van informatieveiligheid en niet zozeer op het ruimere kader van de bescherming van persoonsgegevens. Dat betekent dat ze slechts een gedeeltelijke oplossing bieden op het vlak van de (globale) naleving van de GDPR.

 

Specifiek voor zorgverstrekkers geldt dat op het vlak van beveiliging rekening moet, mag en kan worden gehouden met de mate waarin bepaalde toepassingen of programma’s zijn erkend door de overheid. Zo’n erkenning van toepassingen of programma’s door de overheid, in het bijzonder het e-Health platform, houdt immers rekening met de risico’s die aan de verwerking via die toepassingen of programma’s zijn verbonden en dus ook met de vereiste beveiliging.

terug

Praktisch – voorbeelden van beveiligingsmaatregelen

Hieronder worden een aantal voorbeelden gegeven van mogelijke beveiligingsmaatregelen. Zoals gezegd, volstaat het niet om deze lijst gewoon over te nemen: u moet steeds in functie van de gegevens die u verwerkt, nagaan welke maatregelen passend zijn.

Technische maatregelen

  • Gegevens via een algoritme tijdelijk onleesbaar maken ( ‘versleuteling’)
  • Toegang tot gegevens enkel mogelijk maken via een combinatie van 2 of meer persoonlijke elementen ( gebruikersnaam + paswoord; identiteitskaart + paswoord; …)
  • Periodieke back-ups
  • Logging (het bijhouden van wie welke gegevens opzoekt)
  • Firewalls
  • Virusscanners
  • Software die attendeert op het dreigend verstrijken van een bewaartermijn.

 

Opmerking: Ten aanzien van zorgverstrekkers is het zeker aangewezen om beroep te doen op bepaalde technische maatregelen zoals logging, versleuteling, dubbele authenticatie. Indien u veel gevoelige gegevens verwerkt, doet u best beroep op een IT-leverancier om de mogelijkheden te bekijken.

Organisatorische maatregelen

  • Het afsluiten van de kasten waarin papieren dossiers worden bewaard
  • Het afsluiten van de archiefruimte
  • Het afsluiten van de gebouwen en/of de ruimtes waar zich de servers bevinden
  • Een stelsel van gebruikers- en toegangsbeheer
  • Een vertrouwelijkheidsverklaring die moet worden ondertekend door alle medewerkers die persoonsgegevens (mogen) verwerken
  • Het sensibiliseren van medewerkers (creëren van informatieveiligheidsbewustzijn) via allerlei richtlijnen
  • Richtlijnen over het opnemen van persoonsgegevens op draagbare informatiedragers zoals USB-stick of laptops
  • Richtlijnen over het afdrukbeleid
  • Richtlijnen over het meedelen van gegevens aan derden
  • Richtlijnen over de omgang met vragen om informatie
  • Het opstellen van duidelijke procedures voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten

terug

Beperking interne toegang als onderdeel van beveiliging

Elke onderneming moet ervoor zorgen dat enkel die medewerkers die de gegevens nodig hebben voor de uitoefening van hun taken of voor de behoeften van hun dienst, er toegang toe hebben. Dit wordt omschreven als het beginsel “need to know”. Voor zorgverstrekkers is dit des te belangrijker, toch voor wat betreft de gevoelige gegevens die ze verwerken.

Dit beginsel heeft een dubbele reikwijdte, zowel personeel als qua voorwerp.

  • Eerst en vooral geeft het aan wie toegang mag hebben.
  • Daarnaast bepaalt het ook tot welke gegevens die personen toegang mogen hebben.

 

Bijvoorbeeld: de medewerkers van de dienst “loonadministratie” moeten (mogen) geen toegang hebben tot de detailgegevens van de evaluatie of afwezigheid van een werknemer. Het volstaat dat zij toegang hebben tot het resultaat of feit als zodanig om hun taken te kunnen uitoefenen.

Gezien de gevoelige gegevens die u als zorgverstrekker verwerkt, raden we aan om in elk geval een gegevensbeschermingsbeleid op te stellen, waarin u ook duidelijk aangeeft welke medewerkers toegang hebben tot welke gegevens. Medewerkers die geen behandelrelatie hebben met de patiënt, mogen in principe geen toegang hebben tot het dossier van die patiënt.

Aangezien het in de praktijk niet altijd mogelijk is om de toegang voor bepaalde personen te beperken, is het minstens aangewezen dat er een systeem van ‘logging’ wordt voorzien, waarin u van elke medewerker (die daar toegang toe heeft) bijhoudt wanneer hij/zij en van welke patiënt een dossier heeft bekeken.

terug

Gegevens doorgeven aan derden

Beveiliging betekent niet alleen beperking van de interne toegang (eigen medewerkers), maar ook beperking van personen buiten de praktijk die toegang krijgen tot de gegevens. U moet er met andere woorden zorg voor dragen dat gegevens enkel worden meegedeeld of doorgegeven aan derden die daartoe gerechtigd zijn.

Als gegevens ter beschikking worden gesteld van derden die daartoe niet gerechtigd zijn, is of kan er sprake zijn van een beveiligingsinbreuk of een gegevenslek.

In de volgende gevallen zal het doorgeven van gegevens aan een derde geen probleem stellen:

  • De doorgifte wordt voorgeschreven of opgelegd door de wetgever
  • De doorgifte gebeurt aan een verwerker die passend is en waarmee een verwerkersovereenkomst is gesloten
  • De doorgifte is verenigbaar met het doeleinde waarvoor de gegevens oorspronkelijk zijn verzameld en/of verkregen
  • De doorgifte is gesteund op de uitdrukkelijke toestemming van de betrokkenen waar het over gaat

 

Indien u gegevens doorgeeft aan derden, en u zich niet op één van deze gronden kan beroepen, kan het nuttig zijn om de doorgifte als een afzonderlijk ‘doeleinde’ op te nemen.

terug

Doorgifte aan derde landen

De GDPR geldt enkel voor landen die behoren tot de Europese Economische Ruimte (EER). Om de veiligheid van persoonsgegevens te waarborgen, bepaalt de GDPR dat u persoonsgegevens enkel in bepaalde gevallen kan doorgeven aan landen buiten deze EER (men spreekt dan van ‘derde landen’).

U zal misschien denken dat dit een ‘ver van uw bed’-show is, en dat u geen gegevens doorgeeft aan landen buiten de EER. Nochtans doet u dat misschien sneller dan u denkt. Indien u heeft vastgesteld dat u bepaalde gegevens bijhoudt in een Cloud-oplossing of een specifieke software, is het niet gegarandeerd dat de leverancier van die oplossing zijn servers binnen de EER heeft staan. Staan die servers buiten de EER, dan geeft u wel degelijk gegevens door aan een derde land.

U doet er dan ook best aan om aan deze leveranciers na te vragen waar zij hun servers hebben staan. Van grote internationale spelers zal u waarschijnlijk geen antwoord krijgen, maar zelf moeten gaan zoeken in hun privacybeleid of algemene voorwaarden. 

Indien u vaststelt dat er effectief een doorgifte is aan een derde land (bijvoorbeeld omdat de servers buiten de EER liggen), dan moet u een aantal zaken nagaan:

  1. Voor 12 landen heeft de EU beslist dat zij veilig genoeg zijn om gegevens aan door te geven zonder dat u daar toestemming voor moet vragen aan de Gegevensbeschermingsautoriteit. U vindt deze landen hier terug.
  2. Voor wat betreft de VS moet u nagaan of uw leverancier voorkomt op de Privacy Shield list. Is dat het geval, dan mag u gegevens doorgeven zonder dat u daar toestemming voor moet vragen aan de Gegevensbeschermingsautoriteit.

 

Kan u geen beroep doen op één van deze twee mogelijkheden, dan mag een doorgifte aan een derde land enkel gebeuren als u extra maatregelen neemt. Die maatregelen zijn echter heel technisch en ingewikkeld, waardoor u zich in dat geval best verder bevraagt bij een jurist.

terug

terug naar het overzicht

Het Vlaams Artsensyndicaat is er voor u!

Uw steun en belangen doorheen uw loopbaan als arts

Bekijk wat we voor u als syndicaat kunnen doen