Ongeveer driekwart van de ondervraagde zorgbestuurders heeft aangegeven een adequaat plan te hebben voor de invoering van de Algemene Verordening Gegevensbescherming (AVG). Dit meldt EY vanuit onderzoek en een ronde tafel bijeenkomst over AVG in de zorg. Dit betekent ook dat een kwart van de ondervraagden nog niet beschikt over een plan, waarmee aan de AVG wetgeving wordt voldaan. Deze laatste groep kan altijd terecht bij de specialisten van Power of 4 voor ondersteuning bij het privacy- en toekomstbestendig maken van hun organisatie.

Belangrijkste aandachtspunten voor de zorg

Uit de ronde tafel bijeenkomst van EY kwamen voor Monique van Dijen van EY vijf belangrijke aandachtspunten voor de zorg naar voren.

1. Stel privacybeleid op. Beleg verantwoordelijkheden goed en implementeer een robuust identificatie en access management. Stel een functionaris voor gegevensbescherming (FG) aan. Power of 4 kan de rol van functionaris gegevensbescherming ook (tijdelijk) voor je vervullen. De functionaris gegevensbescherming houdt onder andere toezicht op het naleven van privacywetgeving. Hij is aanspreekpunt voor medewerkers, cliënten, verwanten en andere belanghebbenden, waaronder de Autoriteit Persoonsgegevens.
2. De AVG is niet alleen technologie. Het is voor een groot deel bewustzijn over data privacy en gegevensbescherming. Medewerkers spelen een cruciale rol bij het zorgvuldig omgaan met privacy. Met de gestructureerde en persoonlijke communicatieaanpak van Power of 4 helpen wij om privacy en informatiebeveiliging op de juiste manier onder de aandacht te brengen bij medewerkers, cliënten en verwanten.
3. Breng gegevensstromen in kaart en focus op persoonsgegevens in bedrijfsprocessen en IT-systemen. Leg een verwerkingsregister aan, waarin je vastlegt waar welke persoonsgegevens verwerkt worden. Power of 4 biedt een hulpmiddel, waarmee je eenvoudig alle wettelijke verplichte informatie vastlegt. Hiermee kun je aantonen dat de organisatie aan de privacywetgeving voldoet. Dit register is zo ontwikkeld dat het ook geschikt is voor andere privacy compliance activiteiten. Daarnaast moet je een Privacy Impact Assessment uitvoeren. Met een Privacy Impact Assessment (PIA) beoordeelt Power of 4 het effect van de verwerkingsactiviteiten op de bescherming van persoonsgegevens. Hiermee geven wij inzicht in de gegevensverwerkingen en de risico’s en adviseren wij over de maatregelen om de risico’s op te lossen of te beperken.
4. Maak afspraken met leveranciers die persoonsgegevens verwerken en leg dit vast in verwerkersovereenkomsten. Bijvoorbeeld een verplichte meldtermijn van 24 uur, om zelf te kunnen voldoen aan de meldtermijn van 72 uur. Eis zekerheid rondom privacy. Power of 4 beoordeelt de huidige verwerkersovereenkomsten en ondersteunen bij eventuele aanpassingen en onderhandelingen met leveranciers. Ook stellen wij een standaard verwerkersovereenkomst op die voldoet aan alle wettelijke eisen.
5. Preventieve beveiligingsmaatregelen voldoen niet langer. Daarom is het belangrijk de belangrijkste onderdelen van je informatiehuishouding goed te beschermen. Power of 4 beoordeelt met een interne audit de status van de informatieveiligheid volgens de NEN7510 norm. Onze specialisten geven deskundig advies over de organisatorische inrichting en invulling van de beveiligingsmaatregelen. Daarnaast is het nodig noodzakelijke maatregelen te nemen om datalekken snel te detecteren en de schade te beperken. Power of 4 beoordeelt of sprake is van een datalek en wij melden dit voor onze klanten bij de Autoriteit Persoonsgegevens. Daarbij adviseren wij over de verdere afhandeling van het incident, zoals het treffen van maatregelen en de communicatie aan betrokkenen.

Bron: EY