Terug naar Hoofdpagina

Wat heeft de Raphaëlstichting in 2020 gedaan op het gebied van informatiebeveiliging en privacy?

Algemeen
Corona heeft het jaar 2020 in grote mate beïnvloed. Veel activiteiten zijn daardoor op een laag pitje komen te staan.

Privacy aandachtsfunctionarissen
Vanaf half maart is de uitwisseling tussen de aandachtsfunctionarissen nagenoeg geheel digitaal geweest. Er is in 2020 maar één bijeenkomst geweest. Wel is er veel bilateraal contact geweest. Daarnaast zijn drie privacy-aandachtsfunctionarissen uit dienst gegaan en twee hiervan zijn nog niet vervangen.

Uitwisseling informatie collega zorgaanbieders
Helemaal in het begin van het jaar hebben we een interessante bijeenkomst met collega zorgorganisaties gehad waarbij contacten zijn gelegd en veel uitgewisseld is over allerlei AVG onderwerpen, zoals de inrichting van de functionaris gegevensbescherming (FG) functie, de mate waarin de organisaties voldoen aan NEN7510, gebruik maakten van beveiligde mail enzovoorts.

Communicatie
In onze interne berichtgeving hebben we na een bericht over de procedure bij vermissing of diefstal van apparatuur in februari, ons tijdens de eerste coronagolf en nasleep daarvan tot juli niet laten ‘zien’ in de nieuwsbrieven vanwege de vele informatie over en grote impact van corona. Daarna hebben we de volgende onderwerpen onder de aandacht gebracht:

  • beveiligd bestand delen en beveiligd mailen via de door onze ICT’er gemaakte veilige tool
  • oproep aan instellingsleiding om als dit nodig is meer (leen) laptops voor hun instellingen op het Centraal Bureau aan te vragen ten bate van de veiligheid omdat de Raphaëlstichting apparatuur zeer goed beveiligd is
  • autoreply als afwezigheidsmelder vrijhouden van cliënt- en medewerkersnamen (alleen afdeling plus contactgegevens afdeling), dit tevoren aan betrokkenen doorgeven of via afdeling
  • in mails voor bijvoorbeeld trainingen medewerkers geen persoonsgegevens meesturen en geen privé e-mailadressen in de cc maar alleen in de bcc wanneer de mail verder geen persoonsgegevens bevat
  • en de veiligheid van apps en babyfoons

AVG training
In november en december zijn online twee series van elk twee sessies AVG training gegeven aan privacy-aandachtsfunctionarissen en instellingsleiders door een externe trainer. De deelnemers gaven aan deze training informatief en waardevol te hebben gevonden en een aantal had ook behoefte aan een vervolg of uitbreiding. De deelnemers hebben nu een goede basis van waaruit in 2021 verbeteracties weer opnieuw opgepakt gaan worden.

Informatiebeheerder
In 2020 is ook onze informatiebeheerder zorgprocessen aangesteld, die zich overstijgend met de zorg-applicaties bezighoudt, en op het gebied van de persoonsgegevens onderzoekt en/of bewaakt dat in bestaande en nieuwe functionaliteiten de gegevens voldoende beschermd zijn. De medewerker informatiebeveiliging en de informatiebeheerder werken op veel dossiers/ onderwerpen intensief samen.

NEN7510
Naast de periodieke audits (zowel intern als extern), waarbij privacy en informatiebeveiliging aan de orde komen, hebben we dit jaar gewerkt aan een systematische manier van werken om de beveiliging van persoonsgegevens te waarborgen conform de NEN7510, een vereiste norm voor de zorg. Er is een inventarisatie gemaakt door een externe deskundige in hoeverre onze procedures en systemen hier al aan voldoen en waar we nog meer in de systematiek moeten borgen. In de loop van 2021 zullen we het rapport ontvangen en verbeteracties nemen op basis van het rapport van de inventarisatie.

Vraagbaak
Daarnaast ontvangen we het jaar rond steeds meer vragen vanaf de locaties, zoals verzoeken om een cliëntdossier te mogen vernietigen, vragen over beveiligd mailen enzovoorts. Het bewustzijn van en kritisch kijken naar de omgang met persoonsgegevens neemt toe. Vanaf de in werking treding van de AVG, valt ons al op dat de zorgvuldigheid bij medewerkers zeer groot is. Wij proberen het bewustzijn daarbij nog te vergroten, door mensen te informeren over de eisen die de wet stelt, risico’s aan te wijzen. Waar AVG onderwerpen complex worden, reiken we procedures aan, die de medewerkers moeten helpen de juiste stappen te nemen, zoals bij het verlenen van toegang tot het ECD aan externen (zie hieronder).

Aanscherping richtlijnen, procedures, overeenkomsten met externe partijen
Toegang verlenen tot dossiers van gezamenlijke cliënten in ONS door de Raphaëlstichting voor externe zorgverleners zoals bijvoorbeeld de tandarts of ergotherapeut, is één van de situaties waarvoor wij als Raphaëlstichting dit jaar (verbeterde) overeenkomsten en/of procedures hebben opgesteld. De nadruk ligt steeds op de combinatie geheimhouding en zo veilig mogelijk omgaan met de soft- en hardware en bewust omgaan hiermee.
Een ander voorbeeld is dat wij de afspraken en overeenkomsten met verwerkers (verwerkersovereenkomsten) controleren en waar nodig wijzigingen of aanvullingen opnemen.

Datalekmeldingen
In 2019 waren er (slechts) 4 meldingen van een datalek. In 2020 is dit aantal gestegen naar 26 meldingen. De reden voor deze stijging lijkt gelegen in een groter bewustzijn op dit onderwerp bij zowel eigen medewerkers als externe leveranciers. Dit is een voorlopige aanname van de stijging van het aantal meldingen. De meldingen kunnen als volgt worden onderverdeeld naar aard van de melding:

  • 8 x Software beveiligingsincident. Hierbij gaat het om kleine, tijdelijke mankementen in de software, die doorgaans door de leverancier zelf opgemerkt, hersteld en gemeld worden en die in ernst geen een keer als datalek konden worden gemerkt.
  • 2 x Software constructie mankement. Hierbij gaat het om structurele kwetsbaarheden in de software die ernstiger risico’s zouden kunnen vormen. Bij deze meldingen was evenmin sprake van een situatie die als datalek aangemerkt diende te worden.
  • 2 x Software door externe leverancier met verkeerde data gevuld.
  • 6 x Diefstal en/of vermissing apparatuur.
  • 5 x Menselijke fout: bijvoorbeeld het in cc versturen van mails die niet alle mailadressen mochten prijsgeven, het sturen van gegevens via de mail waarvoor geen toestemming was gevraagd, en het sturen van een mail aan de verkeerde ontvanger.
  • 3 x Overig: zoals traagheid van een printer op een locatie, waardoor de documenten pas (veel) later alsnog blijken te worden afgedrukt, maar de medewerker dit al niet meer verwacht en de documenten blijven op de printer achter. Ook organisatorisch niet goed ingeregelde zaken kunnen tot AVG-onveilige verwerking leiden (tijdelijke maatregelen om invalkrachten toegang te verlenen tot fysieke en digitale voorzieningen). En als laatste kan onvoldoende bewustzijn van de risico’s worden genoemd, waardoor mensen inlognaam en wachtwoord op onveilige manier bewaren.

Wat gaan we in 2021 doen?

NEN7510
In 2021 ronden we de inventarisatie af en zullen we een plan opstellen om binnen alle processen conform NEN7510 te werken binnen een PDCA cyclus en alle NEN7510 issues te integreren in ons kwaliteitsmanagementsysteem.

Communicatie
We zorgen dat we met grote regelmaat informatie over het naleven van de AVG in de nieuwsbrief laten plaatsen. Ook hebben we de privacy pagina van ons intranet nog wat informatiever gemaakt en wordt gewerkt aan een trefwoordenregister waarin medewerkers kort en bondig informatie vinden, met links naar eventueel benodigde procedures en formulieren.

RODE DRAAD:
GA ZORGVULDIG OM MET PERSOONSGEGEVENS EN WEES JE BEWUST VAN WAT JE DOET

Training
In vervolg op de online trainingen in het najaar van 2020, zullen we met de aandachtsfunctionarissen verbeterplannen opstellen en in 2021 opnieuw trainingen aanbieden.

Terug naar Hoofdpagina