Waarnemer account mét zomerkorting!

Blog: Goed idee, die AVG!

Gegevensbescherming in de eerstelijns zorgpraktijk Een nieuwe afkorting Zorgondernemers worden de laatste maanden overspoeld met berichtgeving over de nieuwe Algemene verordening gegevensbescherming, in het kort AVG. Deze Europese richtlijn die in mei 2018 van kracht zal worden, volgt de Wet bescherming persoonsgegevens (de WBP) op. De AVG geniet veel media-aandacht en dankt een groot deel […]

Blog: “Katalysator van bewegingen”

Abakus gebruikers over Physitrack

Ondersteuning Jaarwerk

De allerbeste wensen voor 2017!

Voor de overgang naar het nieuwe jaar is het belangrijk dat u binnen Abakus Compleet het jaarwerk uitvoert. Heeft u behoefte aan ondersteuning bij het uitvoeren van het jaarwerk? Of heeft u nog vragen? Abakus kan u begeleiden tijdens dit proces:

Webinar Jaarwerk
In de komende periode organiseren wij een webinar waarin het jaarwerk zal worden besproken. U kunt online deelnemen aan een webinar, gewoon vanaf uw computer op de praktijk, thuis of waar dan ook. Deelname is geheel kosteloos. Er is een beperkt aantal plaatsen beschikbaar, dus meld u snel aan!

Consultancy
Geeft u de voorkeur aan persoonlijke begeleiding? Een consultant kan samen met u stap-voor-stap het jaarwerk 2017 doorvoeren binnen Abakus Compleet. Neem contact met ons op voor meer informatie en een offerte.

Abakus in MoveMens magazine

Privacy in de Zorg

Door: Edwin van Leeuwen en Michel Pasman

Bescherm ik de privacy van mijn patiënten voldoende?

Datalekken, het (on)opzettelijk openbaar stellen van beveiligde informatie aan onbevoegden, is hot vanwege de vernieuwde Wet bescherming persoonsgegevens. Sinds 1 januari 2016 geldt er een meldplicht bij datalekken en de Autoriteit Persoonsgegevens mag zelfstandig forse boetes opleggen. Wat betekent dit voor u als praktijkhouder?

Patiëntgegevens op straat

Begin dit jaar ontdekte het tv-programma Meldpunt! dat de gegevens van 200.000 patiënten van Nederlandse en Belgische ziekenhuizen ruim een maand lang toegankelijk zijn geweest voor onbevoegden. Het Belgische scanbedrijf iGuana dat zich bezighield met het digitaliseren van patiëntgegevens, gebruikte een onbeveiligde link voor het verzenden van data naar de ziekenhuizen.

iGuana heeft na het klokkenluiden direct actie ondernomen om het datalek te herstellen en stuurde een brief naar de betrokken ziekenhuizen waarin de fout werd erkend. Hieruit blijkt dat iGuana de nodige veiligheidsmaatregelen had getroffen en dat data versleuteld verzonden werd via beveiligde verbindingen: “Voor uitzonderingsgevallen hebben wij een speciale webserver ingericht. Deze was uiteraard beveiligd. Bij de migratie naar een andere webserver is deze beveiliging door een menselijke fout niet mee overgegaan.”

In Nederland waren patiënten van het St. Anna Ziekenhuis en het Canisius Wilhelmina Ziekenhuis betrokken bij dit voorval. Beide ziekenhuizen hebben een melding datalekken gedaan bij de Autoriteit Persoonsgegevens (AP) en de betrokken patiënten geïnformeerd.

Kans op datalek minimaliseren

Had deze situatie voorkomen kunnen worden? Het lijkt erop dat iGuana de nodige veiligheidsmaateregelen in acht heeft genomen, maar door een menselijke fout ontstond er toch een datalek. Binnen de Wet bescherming persoonsgegevens (Wbp) is diegene die de informatie over patiënten vastlegt, de zorgverlener, verantwoordelijk voor de beveiliging van de patiëntgegevens.

In Artikel 13 van de Wbp staat omschreven dat de verantwoordelijke passende technische en organisatorische maatregelen moet treffen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Deze maatregelen garanderen een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.

De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Een datalek is nooit helemaal uit te sluiten, maar de kans hierop is wel te minimaliseren. Welke maatregelen moet een zorgondernemer in ieder geval nemen om de privacy van zijn patiënten te waarborgen?

Bescherming computer

De kans op een datalek is veel groter dan de meeste zorgverleners denken. De behandelkamer verlaten terwijl de patiënt wacht tot de fysiotherapeut terug is, is daar een goed voorbeeld van. De computer met persoonsgegevens is op dat moment zonder toezicht toegankelijk voor onbevoegden.

Elena Hermsen is fysiotherapeut en praktijkhouder van Fysiotherapie Ede Veldhuizen: “Wij hebben op elke computer inlogcodes, na 30 seconden activeert het softwareprogramma een schermbeveiliger en na 1 minuut op de computer zelf. Onze software heeft sinds kort een nieuwe en beter beveiligde inlogsystematiek.” Niet alle zorgverleners zijn zich altijd even bewust van de risico’s en de te nemen maatregelen.

Lucien Fratello is IT-professional in de gezondheidszorg en ziet gemixte signalen: “De meeste zorgverleners weten dat persoonsgegevens beschermd moet worden en blijven, maar het schort hen ook aan inzicht en kennis in de eigen hard- en software. Daar zijn IT-professionals, die systemen soms complexer maken dan nodig is, medeverantwoordelijk voor.

Zorgvuldige werkwijze

Het zorgvuldig vastleggen van de geheimhoudingsplicht is één van de belangrijkste maatregelen om datalekken te voorkomen. Niet zelden komen patiëntgegevens, bijvoorbeeld door het delen van een casus, terecht op social media. Belangrijk is om bewustzijn te creëren in alle lagen van de organisatie over het belang van de geheimhoudingsplicht en in elke vorm van samenwerking de plicht te documenteren. Elena Hermsen: “Ons personeel heeft een huishoudelijk reglement ondertekend waarin zij een geheimhoudingsplicht hebben over patiëntengegevens en privégegevens. Ook stagiaires en waarnemers moeten deze ondertekenen.”

Naleving van de geheimhoudingsplicht blijft een aandachtspunt, maar is ook vrij voor interpretatie. Het is bijvoorbeeld veilig om via ZorgMail patiëntgegevens versleuteld te delen, maar via een regulier e-mailprogramma is dit doorgaans een risico. Lucien Fratello: “Defecte of verouderde usb-sticks of harde schijven moeten op de juiste wijze vernietigd worden en niet zomaar aan de straat gezet worden. Bedenk ook goed aan wie je je PC ter reparatie aanbiedt en documenteer ook voor hen een geheimhoudingsplicht”.

Onzorgvuldig omgaan met inloggegevens is een punt van aandacht voor zorgverleners. Eric de Boer, directeur Abakus en Incura en bestuurslid Vereniging van Organisaties voor ICT in de Zorg (OIZ): “Ik zie in praktijken wel eens monitors volgeplakt met post-its met inloggegevens, of in een agenda die zichtbaar op een bureau wordt bewaard. Dit is een potentieel risico, hetzelfde geldt voor wachtwoorden die gemakkelijk te raden zijn. Er zijn al wel technische oplossingen die in combinatie met een wachtwoord ingezet kunnen worden, maar deze vormen weer een extra belasting voor de zorgverlener qua gebruiksgemak en kosten.”

privacy databeveiliging zorg

Virusbescherming en firewall

Naast een wachtwoord om uw computer te beschermen tegen onbevoegden, is het tegenwoordig vanzelfsprekend dat de computer of uw netwerk beschermd wordt voor invloeden van buitenaf. Dit wordt bereikt door middel van een firewall en antivirus software. Een firewall blokkeert ongewenst internetverkeer maar is niet in staat om bedreigingen te identificeren en te verwijderen. Een antivirus programma is wel in staat om bedreigingen te detecteren en preventief te verwijderen.

Even belangrijk is het om de firewall en antivirus vervolgens up-todate te houden. De Boer: “Het is belangrijk om zorgvuldig met een computer om te gaan. Door het downloaden van gratis software (zoals games) loop je het risico om een trojan horse binnen te halen. Deze vorm van malware geeft een onbevoegde mogelijk toegang tot jouw computer en gegevens die je bekijkt. Wees je daar bewust van. Wie is de leverancier van de gratis software? Zijn er bijvoorbeeld reviews van andere gebruikers?

Ransomware komt tegenwoordig ook veel voor, een programma dat een computer (of gegevens die erop staan) blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te ‘bevrijden’. Zorg daarom dat je bewust omgaat met e-mails van onbekende afzenders of verdachte berichten.”

Back-up en herstel van gegevens 

Het verliezen van gegevens wordt ook beschouwd als een datalek. Het is dus belangrijk om een back-up te maken van patiëntgegevens. Lucien Fratello: “Laat een expert controleren of je back-ups goed zijn. Het is van groot belang om de juiste gegevens op de juiste plek op te slaan, maar sla ook weer niet te veel gegevens op want dit wordt in de Wbp beschouwd als de onrechtmatige verwerking van patiëntgegevens.”

Binnen sommige online software kan de zorgverlener niet alles opslaan in het patiëntdossier, een deel van de gegevens moet dan lokaal opgeslagen worden. Deze spreiding van gegevens vormt een potentieel risico van verlies of verspreiding van privacygevoelige gegevens. De Boer: “Zorgverleners zien de risico’s vaak niet. Een praktijkhouder wellicht eerder, maar personeel binnen de praktijk nog minder. Ze vinden privacy wel belangrijk, maar het besef is er nog niet. Het gaat nog te vaak goed. Ik merk dat binnen de GGZ-branche dit besef er vaak wel is, vermoedelijk vanwege de gevoelige aard van de gegevens.”

Fysieke beveiliging

Wanneer u bijvoorbeeld met een laptop werkt waarop de gegevens staan dan is het potentiële risico zeer groot. Het gaat dan vooral om de fysieke beveiliging van de gegevens tegen brand en diefstal en voldoende back-up procedures. Wanneer uw laptop onverhoopt gestolen zou worden of ter reparatie aangeboden wordt dan is er in formele zin al sprake van een datalek.

Volgens de wet is het niet van belang of onbevoegden daadwerkelijk patiëntgegevens inzien, het feit dat zij de mogelijkheid daartoe hebben is al een overtreding die boeteplichtig is. Door data op te slaan in een beveiligde cloud in plaats van lokaal op uw computer kunt u een datalek door diefstal gemakkelijk voorkomen.

werken in de cloud

Cloud of lokaal?

Binnen de Wet bescherming persoonsgegevens (Wbp) is diegene die de informatie over patiënten vastlegt, de zorgverlener, verantwoordelijk voor de beveiliging van de patiëntgegevens. Om de kans op datalekken te minimaliseren, is het goed om de volgende maatregelen treffen:

  • Bescherm de computer tegen ongewenste gebruikers
  • Bewustwording van geheimhouding onder personeel
  • Virusbescherming en firewall
  • Back-up en herstel van gegevens
  • Fysieke bescherming tegen brand en diefstal

Werken ‘in the cloud’, zoals bij Abakus en Incura, biedt u meer gemak en veiligheid dan lokaal geïnstalleerde zorgsoftware. Mocht er onverhoopt iets gebeuren met uw computer, dan heeft u na herinstallatie of via een andere computer nog steeds toegang tot patiëntgegevens in de cloud. Ook uw back-ups zijn gewaarborgd. De database kan tijdens onderhoud gewoon op dezelfde plaats blijven staan en is daar alleen bereikbaar voor diegene met de rechten daartoe. Mocht een onbevoegde toch toegang hebben tot de gegevens, dan is dat naderhand altijd te blokkeren. Maar vergeet niet: al staan uw patiëntgegevens op de best beveiligde servers in datacentra met de hoogste beveiligingsniveaus, het begint bij zorgvuldigheid van de gebruiker.

Beveiliging zo sterk als zwakste schakel

Ook al staan uw patiëntgegevens op de best beveiligde servers in datacentra met de hoogste beveiligingsniveaus, het begint bij zorgvuldigheid van de gebruiker. Het is aan te raden om een datalek-protocol op te stellen zodat u weet welke stappen gezet moeten worden mocht de situatie zich onverhoopt voordoen. Elena Hermsen: “Wij hebben een klachtenprotocol en verbeterrapport. Incidenten worden dan genoteerd en er wordt indien nodig naar gehandeld. Het is bij ons nog niet voorgekomen dat we de patiënt hebben moeten informeren over een datalek.” De wetgeving omtrent de privacy van persoonsgegevens is niet nieuw.

De actualiteit is momenteel hoog doordat de AP vanaf 1 januari dit jaar zelfstandig boetes mag opleggen die zeer fors zijn van omvang; maximaal € 820.000 of 10% van uw jaaromzet. In de meeste gevallen van datalekken zal de AP de zorgverlener eerst de ruimte geven om maatregelen te treffen. Is er sprake van een datalek door kwade opzet of ernstige nalatigheid? Dan kan er direct een boete worden uitgeschreven. Kijkend naar de categorieindeling van de boetebeleidsregels lijkt de AP voornemens de hoogste boetes uit te schrijven voor het ongeautoriseerd verwerken van bijzondere persoonsgegevens. In mei dit jaar verklaarde de AP aan de NOS dat zij het aantal datalek meldingen vindt tegenvallen, maar ook dat zij te weinig mankracht heeft om voldoende lekken te onderzoeken.

De boetebevoegdheid geeft de privacywaakhond de lang verwachte autoriteit. In het verleden werd de AP wel eens omschreven als ‘tandeloze tijger’, maar zonder extra budget is het de vraag of de AP haar tanden ook kán laten zien. De Boer: “De AP mag dan te maken hebben met onderbezetting, het is zeer waarschijnlijk dat zij een voorbeeld zullen stellen aan gemelde voorvallen van datalekken. Je loopt dus als zorgverlener en zorgorganisaties een reëel risico op een forse boete als je niet kunt aantonen dat je de vereiste veiligheidsmaatregelen hebt getroffen. Je bent ook strafbaar als je geen melding hebt gemaakt van een datalek.”

Als er één groep ondernemers (zorgverleners) is die uiterst nauwgezet en stipt omgaat met klanten (patiënten), zijn het wel zorgondernemers. Het is al een automatisme dat je zorgvuldig omgaat met lijf en klachten van de patiënt, eenzelfde automatisme zou er moeten zijn bij de bescherming van hun gegevens. Als wettelijk verantwoordelijke voor de beveiliging van patiëntgegevens, moet gegevensbeveiliging ingebakken zitten in het ondernemen én handelen van elke therapeut.

Klik hier om het artikel als PDF te bekijken

Abakus aanwezig op Dag van de Fysiotherapeut

Op vrijdag 4 november is De Dag van de Fysiotherapeut. De dag waarop ook het KNGF-congres plaatsvindt in DeFabrique in Utrecht. Met verschillende sprekers, inspirerende sessies, workshops, een volle beursvloer en de uitreiking van Fysio in Beeld aan dé fysiotherapeut van het jaar. Ook Abakus is aanwezig tijdens deze bijzondere dag.

Led Wereld KlokWat staat er op het programma?

  • Toptennister Esther Vergeer vertelt over omgaan met tegenslagen en doorzettingsvermogen.
  • David Abbink geeft een presentatie over het exoskelet, reflexen en tastzin.
  • Nathan Skwortsow over Physitrack en Richard van Hooijdonk vertellen ons over de toekomst van de gezondheidszorg.
  • Tijdens workshops gaat u aan de slag met de richtlijnen voor Parkinson of voor nekpijn.
  • Op de beursvloer ontdekt u de nieuwste producten en diensten.

Komt u langs?
Uiteraard is Abakus ook aanwezig tijdens De Dag van de Fysiotherapeut. Komt u langs op stand 41/42? Op onze stand laten wij u graag de mogelijkheden van onze software zien. Daarnaast maakt u kans op deze bijzondere design klok, een echte eye-catcher voor in uw praktijk of instelling!

Klik hier voor het complete programma en inschrijving

Graag tot dan!

Datalekken en boeterisico voor zorgverleners?

Per 1 januari 2016 is de Wet bescherming persoonsgegevens gewijzigd. De meest besproken wijziging is de invoering van de zogenaamde meldplicht bij datalekken en het feit dat de Autoriteit Persoonsgegevens zelfstandig boetes mag opleggen die kunnen oplopen tot € 810.000. Binnen de zorg is het gevoeligheidskarakter van de informatie op het hoogste niveau en daarom worden bij schending van de regels ook de hoogste boetes opgelegd. Wat betekent dit nu voor praktijkhouders?

Binnen de wetgeving is degene die de informatie over patiënten vastlegt verantwoordelijk voor de beveiliging van de patiëntgegevens. Als zorgverlener bent u dus verantwoordelijk. Wat betekent die verantwoordelijkheid voor u en welke maatregelen dient u te nemen om de bescherming van de gegevens te waarborgen?

BeveiligingsmaatregelenIMG_1266
Ter bescherming van de patiëntgegevens dient iedere zorgverlener in ieder geval de volgende veiligheidsmaatregelen te nemen.

  1. Bescherming van de computer tegen ongewenste gebruikers (gebruikersnaam, wachtwoord, schermbeveiliging etc.)
  2. Zorgvuldige werkwijze omtrent geheimhouding ook voor personeel, indien van toepassing
  3. Virusbescherming en Firewall
  4. Back up en herstel van gegevens
  5. Fysieke beveiliging van de gegevens tegen brand en diefstal

Er zijn ruwweg twee mogelijkheden waar u als zorgverlener mee te maken kunt krijgen; u heeft declaratie en/of EPD software die u op uw computer of server installeert of u maakt gebruik van declaratie en/of EPD software via internet, zogenaamde SaaS (Software as a Service) toepassingen.

Wanneer de software op uw eigen computer is geïnstalleerd dan zult u alle bovengenoemde veiligheidsmaatregelen moeten nemen. Dat lijkt makkelijker dan het is. Wanneer u bijvoorbeeld met een laptop werkt waarop de gegevens staan dan is het potentiële risico zeer groot. Het gaat dan vooral om de fysieke beveiliging van de gegevens tegen brand en diefstal en voldoende back-up procedures. Wanneer uw laptop onverhoopt gestolen zou worden of ter reparatie aangeboden wordt dan is er in formele zin al sprake van een datalek. Volgens de wet is het niet van belang of onbevoegden daadwerkelijk patiëntgegevens inzien, het feit dat zij de mogelijkheid daartoe hebben is al een overtreding die boeteplichtig is. U doet er verstandig aan om met een IT-adviseur de potentiële risico’s in kaart te brengen en de nodige veiligheidsmaatregelen te nemen. Naast de technische veiligheidsmaatregelen dient u ook een bewerkersovereenkomst te sluiten met eventuele systeembeheerders inzake de geheimhouding van de patiëntgegevens.

Het is ook mogelijk dat u met een SaaS leverancier werkt. In dat geval heeft u de opslag en het beheer van de software en de opslag van de data uitbesteed. U zult dan nog steeds punt 1 tot en met 3 moeten borgen binnen uw organisatie. Punt 4 en 5 dienen dan door de leverancier geborgd te worden. U bent als verwerker echter nog steeds verantwoordelijk, ook voor de data bij externe partijen.

Bewerkersovereenkomst en certificering
Wanneer u via een SaaS leverancier ‘in the cloud’ werkt, of op een andere manier uw gegevens extern heeft geplaatst, dan bent u als gegevensverwerker nog steeds verantwoordelijk voor de borging van de privacy van uw patiëntgegevens. U dient dus vast te stellen of uw leveranciers voldoende veiligheidsmaatregelen hebben genomen om die patiëntgegevens te beschermen tegen  lekken. Voor het vaststellen of een leverancier voldoende beveiligingsmaatregelen heeft genomen is geen eenduidig kader in de wet gedefinieerd. De leverancier heet in dit kader de ‘gegevensbewerker’. Als verantwoordelijke voor de gegevens doet u er verstandig aan om een bewerkersovereenkomst met uw leverancier te sluiten waarin de beveiligingsmaatregelen en geheimhouding zijn vastgelegd. Indien u kunt vaststellen dat uw leverancier voldoet aan bepaalde objectieve normen op het gebied van veiligheid en geheimhouding, zoals bijvoorbeeld NEN 7510 of ISO 27001 dan heeft u voldoende aan uw plicht voldaan om te onderzoeken of uw leverancier voldoende beveiligingsmaatregelen heeft genomen. Als u dus werkt met een SaaS leverancier die voldoet aan de gestelde veiligheidsnormen dan bespaart u dat een hoop rompslomp.

De beveiliging is zo sterk als de zwakste schakel
De wetgeving omtrent de privacy van persoonsgegevens is niet nieuw. De actualiteit is momenteel hoog doordat het CPB vanaf 1 januari dit jaar zelfstandig boetes mag opleggen die zeer fors zijn van omvang. Daarnaast heeft VECOZO aanvullende eisen gesteld die per 1 januari 2017 van kracht worden om de veiligheid te waarborgen. Ook al staan uw patiëntgegevens op de best beveiligde servers in datacentra met de hoogste beveiligingsniveaus het begint bij zorgvuldigheid van de gebruiker. De geheimhouding van gebruikersnaam en wachtwoord blijft het meest essentiële aspect evenals een vergrendeling van uw computer als u even van uw werkplek bent.