Wat is GDPR?
Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) of - in het Nederlands - de Algemene Verordening Gegevensbescherming (AVG) in voege. De GDPR is een Europese wetgeving met als doel de verwerking van persoonlijke gegevens te reguleren binnen alle lidstaten van de EU.
GDPR en ATX/DentAdmin
Enkele maanden geleden nam ATX/DentAdmin drie GDPR experten onder de arm. Hun doel? Samen met alle DentAdmin medewerkers volledige GDPR conformiteit bereiken tegen 25 mei. De eindspurt werd ingezet. Graag laten wij u even weten wat ATX/DentAdmin zoal onderneemt omtrent de veiligheid van uw persoonsgegevens.
- Interne trainings: in het kader van bewustwording krijgt elke ATX/DentAdmin medewerker meerdere verplichte trainingsessies aangeboden. Elke medewerker kent de basisprincipes van GDPR en wordt opgeleid om uw gegevens met de nodige zorg en veiligheid te behandelen.
- Proces beschrijvingen: Bij ATX/DentAdmin komen wij dagelijks in contact met persoonlijke data. Data die u als klant verzamelt. Denk maar aan interventies via teamviewer. Of de migratie van oude software naar DentAdmin. Al deze processen werden sterk aangescherpt naar veiligheid toe en vervolgens minutieus gedocumenteerd. Zo weet elke medewerker meteen hoe veilig om te gaan met uw data.
- Register van verwerkingsactiviteiten: Hierbij documenteren we welke persoonsgegevens we van u bijhouden, met welk doel we deze bijhouden en waar we deze bijhouden.
- Contracten met partners: Soms worden uw persoonlijke gegevens verwerkt door een derde partij. Bv bij hosting, online back-up, etc... Met deze partners worden overeenkomsten afgesloten waarbij zij dienen aan te tonen eveneens volledig GDPR conform te werken. Partners die geen GDPR conformiteit kunnen aantonen tegen 25 mei worden onverbiddelijk aan de kant geschoven.
- Functionaris voor gegevensbescherming: ATX/DentAdmin stelde een functionaris aan voor gegevensbescherming. Deze is het interne aanspreekpunt voor alle vragen omtrent GDPR. Hij volgt het hele proces op de voet en voert op regelmatige tijdstippen interne audits uit binnen alle business units van CGM.
- Technische en organisatorische maatregelen: Onze gebouwen en kantoorruimtes werden uitgerust met een elektronisch toegangssysteem. Hierdoor wordt de toegang tot ruimtes waar eventueel persoonlijke informatie bewaard wordt afgesloten voor onbevoegden. Dit naast de camerabeveiliging die reeds aanwezig was in al onze kantoren.
- Gegevensbeschermingseffectbeoordeling: Bij de ontwikkeling van nieuwe innoverende projecten zal een onderzoek verricht worden naar de veiligheid en betrouwbaarheid van het systeem en de gebruikte technologie. Eventuele zwakke plekken dienen aangepakt te worden.
- Procedure voor het rapporteren van een datalek: Zou het voorvallen dat er een datalek optreedt? Dan wordt een officiële procedure in gang gezet, waarbij de privacycommissie binnen 72u op de hoogte gesteld zal worden.
- Procedure voor de rechten van de betrokkene: Wanneer een betrokkene zich beroept op één of meerdere rechten, zullen wij de nodige procedures in gang zetten om hieraan te voldoen.
- Tips voor onze klanten: Op onze website publiceerden we een FAQ pagina omtrent GDPR. Deze zal op regelmatige tijdstippen bijgewerkt worden. Heeft u een vraag? Stuur deze gerust naar support@dentadmin.com en help ons om de FAQ pagina uit te breiden.
GDPR en u, de tandarts
Als uw software leverancier zijn wij graag uw helpende hand bij het behalen van GDPR conformiteit. Daarom stelden we alvast een to-do lijstje op:
- Leg een register van verwerkingsactiviteiten aan. Dat mag gerust in de vorm van een eenvoudig Excel document waarbij u documenteert welke persoonlijke data u bijhoudt, op welke basis (consent, contractueel, wettelijke verplichting, levensbelangrijke reden,...), met welk doel en hoe lang u deze data bijhoudt.
- Tip 1: Een patiënt geeft impliciet zijn consent voor de verwerking van zijn persoonlijke gegevens wanneer hij de praktijk binnenkomt en vraagt om tandzorgen. U hoeft dus niet nogmaals expliciet zijn goedkeuring te vragen. De basis voor het verwerken van patiëntgegevens is dan ook: consent.
- Tip 2: Let erop dat u meer dan alleen patiëntengegevens verzamelt. Ook persoonlijke gegevens over collega zorgverstrekkers, assistenten, leveranciers, labo's,... dienen opgenomen te worden in het register.
- Contacteer partners en leveranciers die in aanraking komen met persoonlijke data die u verzamelt en vraag hen naar hun verwerkersovereenkomst. Zo weet u dat zij de door u verzamelde data correct zullen behandelen. Ook van ons kreeg u reeds een e-mail met onze verwerkersovereenkomst en de vraag deze digitaal te ondertekenen. Deed u dit nog niet? Doe het dan snel. Zo bent u ingedekt en weet u dat uw data veilig is in onze handen!
- Beveilig uw data. Zorg er steeds voor dat uw data zo veilig mogelijk bewaard wordt. En dat binnen "redelijke" grenzen. U hoeft dus uw tandartspraktijk niet om te bouwen tot een beveiligd fort! Enkele kleine maatregelen kunnen al een groot verschil maken:
- Plaats uw server op een veilige plaats, die niet bereikbaar is voor derden.
- Voorzie in een veilige (geëncrypteerde) back-up. Vermijd back-ups op USB stick of externe harde schijf. Deze worden niet als veilig beschouwd. Indien gewenst kan ATX/DentAdmin u hierbij helpen via onze beveiligde online back-up oplossing.
- Gebruik veilige wachtwoorden (minstens 8 karakters, liefst met cijfers, letters en één of meer vreemde tekens).
- Laat een computer waarop u bent ingelogd als verstrekker nooit onbeheerd achter.
- Laat uw scherm automatisch vergrendelen en laat deze ontgrendelen via een sterk wachtwoord.
- Encrypteer de harde schijf van uw servercomputer.
- Gegevenslek: Diefstal? Verlies van een externe harde schijf? Verwittig dan binnen 72u na vaststelling van het lek de privacy commissie. Deze zal u verdere instructies geven voor de afhandeling van het lek.
- Informeer uw patiënten. Hang een informatieblad in de wachtkamer. Vermeld welke stappen u onderneemt in het kader van GDPR en vermeld dat u enkel werkt met GDPR conforme systemen zoals DentAdmin. Zo weten uw patiënten dat u en uw team GDPR conform werken en er alles aan doen om hun persoonlijke data zo goed mogelijk te beschermen. Vermeld eventueel ook dat u hun persoonlijke gegevens enkel zal gebruiken in het kader van gezondheidszorg en dat u deze nooit zal aanwenden voor andere doeleinden. Geen inspiratie? Gebruik gerust onze template.
Veel tips en informatie kunt u terugvinden op de website van de privacycommissie in België. Deze organisatie zal worden hernoemd tot de Gegevensbeschermingsautoriteit (GBA) en is officieel belast met uitgebreide bevoegdheden voor het toepassen van EU GDPR in België.
Met vriendelijke groeten,
Jouw DentAdmin-team.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.