GDPR een stand van zaken

2 maart 2018

Deze nieuwe wet bouwt verder op de basisprincipes die we al kennen van de Belgische privacywet van 1992. De GDPR zal nog meer slagkracht hebben door de introductie van duidelijke verplichtingen en eventuele sancties. De vernieuwing komt er vooral om een gepaste bescherming en beveiliging van persoonsgegevens te kunnen bieden in een steeds verder digitaliserende maatschappij waar het verwerken van persoonsgegevens onmisbaar is geworden.

Ook binnen de zorgsector zijn persoonsgegevens van cruciaal belang. We staan dan ook voor een grote uitdaging op juridisch, operationeel en technologisch vlak. Maar we benaderen dit vooral uit een positieve hoek: correct handelen en beschermen van kwaliteitsinformatie ondersteunt uitstekende zorg en kwaliteitsvolle dienstverlening. Dat is de visie die Corilus heeft!

Ook wij krijgen meer en meer vragen over hoe Corilus en onze software omgaat met GDPR.  Uiteraard is GDPR één van onze prioriteiten. Maar om te beginnen bij het begin, even de algemene principes op een rij.

 

De 7 basisprincipes van GDPR

  1. Transparantie: breng de persoon van wie de gegevens verwerkt worden op de hoogte en maak het uitoefenen van zijn/haar rechten mogelijk.
  2. Doelbeperking: verzamel de persoonsgegevens alleen voor een welbepaald gewettigd doel en niet voor andere zaken. 
  3. Gegevensbeperking: verzamel alleen persoonsgegevens die voor het beoogde doel noodzakelijk zijn. 
  4. Juistheid: de persoonsgegevens moeten correct zijn en blijven.
  5. Bewaarbeperking: bewaar persoonsgegevens niet langer dan nodig. 
  6. Integriteit en vertrouwelijkheid: bescherm de persoonsgegevens tegen toegang door onbevoegden, verlies of vernietiging. 
  7. Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen (documentatieplicht).

GDPR & Corilus

Om klaar te zijn voor 25 mei 2018 hebben we de handen in elkaar geslagen met ervaren privacy-experten om samen de nodige stappen te ondernemen. Een kort overzicht van onze lopende activiteiten:

  1. Bewustwording: Intern zorgen we voor de nodige bewustwording en voorzien we een duidelijk beleid op het vlak van informatieveiligheid. Om de GDPR-verplichtingen juist te kunnen inschatten moeten al onze medewerkers minstens de algemene principes en juiste terminologie onder de knie hebben. We organiseren hiervoor verplichte interne trainingen.
  2. Register van verwerkingsactiviteiten: We brengen in kaart welke persoonsgegevens we verwerken voor u en met welk doel we dit doen, wie deze eventueel ontvangt of verwerkt en hoe we deze beschermen.
  3. Omgang met verwerkers: We maken duidelijke contractuele afspraken met onze partners, die in sommige gevallen de persoonsgegevens van uw patiënten verwerken (bijv. hosting, online agenda of andere koppelingen vanuit uw software).
  4. Data Protection Impact Assessment: Indien we nieuwe (innoverende) projecten starten, zullen we een extra beoordeling uitvoeren om zeker te zijn dat we overeenstemmen met de basisprincipes en voldoende alle risico’s afdekken.
  5. Datalekken: We introduceren procedures zodat het melden van een mogelijk datalek binnen 72u na het vaststellen, kan gebeuren (zoals verplicht in de GDPR).
  6. Rechten van de betrokkene: Voor alle betrokkenen (patiënten, medewerkers, zorgverleners, bezoekers, …) waar we persoonsgegevens van verwerken, zullen we de nodige rechten ondersteunen zodat men o.a. transparante informatie ontvangt en een inzage / verbetering kan verzoeken. We houden hierbij rekening met de bestaande patiëntenwet van 2002.
  7. Functionaris voor gegevensbescherming: Corilus heeft sinds 2017 een functionaris aangesteld om op te treden als intern en extern aanspreekpunt. Deze persoon neemt vooral een coachende, stimulerende, adviserende en documenterende rol aan en zal rechtstreeks aan het directiecomité rapporteren.

Analyse van onze huidige processen en aanpassingen indien nodig

De eerste concrete stap was een grondige analyse van onze huidige aanpak en procedures voor het beheren en beschermen van persoonsgegevens binnen Corilus. Bij deze analyse namen we onderstaande stappen in acht: 

  1. Een inventarisatie van de huidige processen, diensten en goederen waarbij persoonsgegevens worden aangemaakt, verwerkt en opgeslagen.
  2. In kaart brengen welke persoonsgegevens verwerkt worden, met welk doel we dit doen, waar deze gegevens vandaan komen, met wie we ze delen en wie er toegang toe heeft. 
  3. Nagaan in welke mate de rechten van de betrokkenen worden gerespecteerd waaronder het recht op inzage, het recht op correctie en verwijdering en het recht op de overdraagbaarheid van persoonsgegevens.
  4. Controleren in welke mate Corilus op dit moment persoonsgegevens al voldoende beschermt en beheert volgens de privacyregels.

Door deze grondige analyse van onze huidige procedures weten we precies waar we nog aanpassingen moeten doen zodat Corilus conform de GDPR handelt. Tevens vormt deze analyse het vertrekpunt voor het aanmaken en bijhouden van een dataregister van persoonsgegevens. Naast het respecteren van de basisprincipes (zoals hierboven beschreven) garanderen we ook de beveiliging van de verwerking van persoonsgegevens.

 

In een volgende communicatie bezorgen we u meer informatie over het actieplan dat we voor praktijk hebben uitgewerkt om tegemoet te komen aan GDPR. Mocht u ondertussen vragen hebben, raden we u aan om u te informeren via uw beroepsvereniging, de website van de privacy commissie of een specialist in de materie.