SNPG en AVG

Inleiding

Veel mensen vinden informatiebeveiliging ‘gedoe’, totdat zij zelf slachtoffer zijn van een datalek of ongewenst slachtoffer worden van een hack en hun informatie in handen valt van personen die daar niets mee van doen hebben. Met de komst van de Algemene Verordening Gegevensbescherming (AVG) is het niet langer een keuze, maar een verplichting om daar als organisatie actief beleid op te maken.

De AVG is een Europese wet die al van kracht is, maar waarvan de handhaving start op 25 mei 2018. Vanwege de mogelijk grote impact voor wie niet voldoet aan de AVG (hoge boetes), zijn veel organisaties nu druk bezig met het actief implementeren van richtlijnen. Er is eigenlijk geen organisatie die niet te maken heeft met de implicaties van de AVG.

Informatiebeveiliging

Om u inzicht te geven in onze informatiebeveiliging informeren wij u hoe de verschillende aspecten van de AVG bij SNPG zijn geïmplementeerd.

In het kader van de AVG is er een register van verwerkingen opgesteld, waarin een splitsing is aangebracht tussen interne en externe werkomgeving (werkomgeving met de uitvoerders).

Vervolgens is per applicatie/systeem binnen beide werkomgevingen geïnventariseerd in welke systemen uw persoonsgegevens bij SNPG zijn opgeslagen, hoe deze zijn beveiligd en wie toegang heeft tot de gegevens. Gegevensverwerkingen hoeven niet meer door organisaties aan de Autoriteit Persoonsgegevens gemeld te worden. In plaats daarvan moeten organisaties vanuit het accountability principe (artikel 5 lid 2 AVG) naleving van de AVG aantoonbaar maken. Onderdeel hiervan is deze briefing aan u.

Waar slaan wij uw gegevens op?

Wij slaan uw persoonsgegevens op in drie systemen:

  • SNPG webapplicatie
  • SNPG e-mail
  • SNPG e-learning module

We leggen uit wat wij registeren, in welk systeem en om welke reden. Vervolgens gaan we in op de beveiliging van deze systemen. Daarna vertellen we wat u zelf kunt doen aan de beveiliging.

Wij beperken ons tot het vastleggen van zo min mogelijk gegevens. Wij letten daarbij op wat minimaal nodig is. Om een account aan te maken en in te kunnen loggen op de webapplicatie van SNPG, een bestelling te kunnen plaatsen en te kunnen declareren of opgave doen, hebben wij van u de volgende gegevens nodig: AGB-code, type organisatie of praktijk, aanhef, naam besteller, naam organisatie of praktijk, straat en huisnummer, postcode, woonplaats, land, telefoonnummer, faxnummer, emailadres besteller, emailadres organisatie of praktijk, IBAN-code en tenaamstelling IBAN-rekening (laatste 2 alleen bij huisartspraktijken). Voor het aanvragen van een account is ook een handtekening vereist van de aanvrager en er wordt gevraagd om een kopie van inschrijving van de Kamer van Koophandel.

Voor een veilig gebruik van uw account ontvangt u een unieke inlogcode en dient u een wachtwoord in te stellen van tenminste 8 karakters. Om de applicatie veilig te houden voor gebruikers wordt het volgende vastgelegd als u inlogt: het IP-adres waarvandaan u inlogt, de duur van uw sessie (hoelang u in het systeem bent ingelogd, om automatisch uitloggen mogelijk te maken) en wat u heeft gedaan binnen het systeem.

Email via Office 365

Wij hebben het beheer van onze e-mail in eigen handen. Uw ontvangen en verzonden e-mailberichten worden bewaard zolang u dat nodig acht. Eenmaal per twee weken wordt er een back-up gemaakt van onze data en de mailbox van SNPG in twee datacentra in Amsterdam. Deze back-ups worden per twee weken overschreven. Alle medewerkers van SNPG en de externe systeembeheerder hebben toegang tot de mailbox. Alle SNPG medewerkers beschikken over een Verklaring Omtrent Gedrag. De systeembeheerder heeft een geheimhoudingsovereenkomst, alsmede een verwerkersovereenkomst[1] ondertekend.

Webapplicatie SNPG

Wij hebben de Productieomgevingen (uw omgeving) gescheiden van de ontwikkeling- en testomgeving. Hierdoor kunnen we de toegang tot de productieomgeving beperken tot alleen de mensen waarvoor dat strikt noodzakelijk is.

Om het beheer van de klantomgevingen vanuit één systeem te kunnen realiseren is er een beheeromgeving. De enige mensen die recht hebben tot de beheeromgeving zijn twee medewerkers van SNPG, te weten de Coördinator en de Ondersteuner Automatisering en Serviceverlening. Beiden hebben speciale inlogrechten toegekend gekregen. De bouwer van de webapplicatie heeft toegang tot de webapplicatie. Deze leverancier heeft een geheimhoudingsovereenkomst en een verwerkersovereenkomst[2] ondertekend. Daarnaast is de hosting[3] van de webapplicatie geregeld. Hiervoor zijn SSL[4]-certificaten overeengekomen. Deze laatste leverancier heeft een geheimhoudingsovereenkomst en een verwerkersovereenkomst ondertekend.

Bewaartermijn

Als een  account-registratie wordt beëindigd, betekent dit dat het account een einddatum krijgt in het systeem. Een AGB-code wordt nooit definitief verwijderd uit het systeem.  Deze gegevens kunnen namelijk nog van belang zijn voor een eventueel overnemende praktijk en voor landelijke gegevens.

E-learning

Voor de e-learning wordt een splitsing gemaakt tussen bouw, beheer en de accreditatie.
Via onze website kan ingelogd worden in de e-learning module. Het beheer van de module hebben wij in eigen hand. De Ondersteuner Automatisering en Serviceverlening heeft de rechten tot de beheeromgeving.
De bouwer van de e-learning module heeft een geheimhoudingsverklaring en een verwerkersovereenkomst ondertekend.
Daarnaast is de hosting van de e-learning geregeld door middel van SSL-certificaten. De leverancier waarmee de SSL-certificaten zijn overeengekomen heeft een geheimhoudingsovereenkomst en een verwerkersovereenkomst ondertekend.

Bewaartermijn

Gegevens van geregistreerde personen binnen de e-learning die de e-learning volledig hebben afgerond kunnen op uw verzoek verwijderd worden. Als dit verzoek niet wordt gedaan, dan zullen uw gegevens bewaard blijven binnen de e-learning.

Accreditatie

De accreditatie van de module Griepvaccinatie in de praktijk wordt toegekend door KABIZ, de KNMG, de NVvPo en V&VN. Alle accreditatieorganisaties hebben een verwerkers-overeenkomst ondertekend. Deze organisaties hebben zelf de verantwoordelijkheid voor het beheer van uw gegevens met betrekking tot het toekennen en beheren van accreditatiepunten.

SNPG is ISO: 9001:2015 gecertificeerd en binnen deze ISO normen worden bovenstaande aspecten van de beveiliging geregeld en gedocumenteerd. SNPG wordt hier jaarlijks op geauditeerd. Wij nemen daarmee passende technische en organisatorische maatregelen om de verwerking van persoonsgegevens te beveiligen.

Uw rechten en onze plichten

Hieronder treft u een opsomming aan van uw rechten en onze plichten. U dient zich te realiseren dat u zich als huisartspraktijk of organisatie in eenzelfde positie bevindt. U dient ten behoeve van de gegevensbescherming van uw patiënten/cliënten ook vóór 28 mei 2018 te voldoen aan de AVG. Dit kan onder andere door een verwerkersovereenkomst met derden te sluiten. Een verwerkersovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke (de opdrachtgever) en de verwerker (de leverancier). U wordt als verwerkingsverantwoordelijke aangemerkt wanneer u persoonsgegevens verwerkt. De verwerker is de organisatie die namens u de persoonsgegevens verwerkt.

De AVG geeft u een aantal rechten, deze zijn in grote lijnen:

  • U heeft het recht uw gegevens op te vragen die wij hebben opgeslagen.
  • U heeft het recht om uit het systeem te worden verwijderd.
  • U heeft het recht uw informatie te laten aanpassen.
  • U heeft het recht op overdraagbaarheid van uw gegevens (dataportabiliteit).
  • U heeft het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP).

Onze plichten onder de AVG

  • Het documenteren van datalekken.
  • Het melden van de in de verordening vermelde datalekken bij de toezichthouder.
  • Het documenteren van gegevensverwerkingen.
  • Het niet langer dan strikt noodzakelijk bewaren van verzamelde data.
  • Het zo minimaal mogelijk verzamelen van data.
  • Het bieden van voldoende veiligheidsmaatregelen, zodat u met onze applicatie en e-learning module kunt voldoen aan de gestelde eisen.
  • Het opstellen van een transparante Privacyverklaring.

SNPG heeft externe leveranciers die over uw data kunnen beschikken, nl.:

  • Systeembeheer
  • Webapplicatiebeheer
  • E-learningbeheer
  • Host e-learning, webapplicatie en website
  • Data-centra
  • Onderzoeksbureau
  • Verzendhuis
  • Opslag en distributeur van griepvaccins

Alle leveranciers hebben een verwerkersovereenkomst ondertekend. Indien data verzonden wordt naar leveranciers, geeft de verwerkingsovereenkomst de plicht aan onze leveranciers om op de juiste wijze om te gaan met de data. Bovendien versturen wij data door middel van beveiligde documenten of versleutelde berichten.

Om aan de AVG eisen te voldoen heeft SNPG beleid gemaakt dat is uitgewerkt in procedures. Er zijn hulpmiddelen ontwikkeld die er voor zorgen dat wij aan de bovengenoemde rechten en plichten kunnen voldoen.

Als centraal aanspreekpunt in de organisatie is een Functionaris Gegevensbescherming (FG) aangesteld.

[1] Zodra een organisatie verwerking van persoonsgegevens uitbesteedt, moeten er volgens de AVG afspraken worden gemaakt over de verwerking. Die afspraken moeten ‘schriftelijk’ worden gemaakt. Dat mag ook ‘elektronisch’, per e-mail bijvoorbeeld. Het document waarin deze afspraken worden vastgelegd noemen we vaak een ‘verwerkersovereenkomst’.

[2] Zodra een organisatie verwerking van persoonsgegevens uitbesteedt, moeten er volgens de AVG afspraken worden gemaakt over de verwerking. Die afspraken moeten ‘schriftelijk’ worden gemaakt. Dat mag ook ‘elektronisch’, per e-mail bijvoorbeeld. Het document waarin deze afspraken worden vastgelegd noemen we vaak een ‘verwerkersovereenkomst’.

[3] Hosting betekent dat een website via een server in verbinding staat met het internet. Een website wordt gehost op een server, wat eigenlijk een gewone computer is die 24 uur per dag aan staat en aangesloten is op het internet.

[4] Een SSL-verbinding is een gecodeerde verbinding tussen de server en bezoeker. Een SSL-verbinding kunt u eenvoudig herkennen aan de URL (https://domein.nl). Daarnaast geeft een goede browser ook aan dat de lijn beveiligd is door middel van een klein slotje voor de URL of een groene balk.

 

Kunt u niet vinden wat u zoekt of heeft u een andere vraag?
Stuur een bericht