Veelgestelde vragen
Hieronder staat een lijst van werkelijke vragen die we van deelnemers hebben ontvangen en beantwoord.
Wilt u dit eerst doorlezen, er staan leerzame dingen tussen.
Misschien staat uw vraag er ook tussen?
Comfort & Compleet
AVG portaal & ISO 27001/NEN 7510 portaal
De AVG is de Algemene Verordening Gegevensbescherming. De Engelse term is GDPR. De verordening is in werking en verplicht sinds 25 mei 2018. De Wbp (wet bescherming persoonsgegevens) is vervallen. Uw portaal biedt alle maatregelen die nodig zijn om aan de verplichte AVG te voldoen. Zie verder: https://www.waveland.nu/europese-privacy-verordening-verplicht-vanaf-25-mei-2018/
Het portaal is in te zien op alle soorten apparatuur.
U kunt eenvoudig via de website een inlog kopen.
U kunt altijd klikken op wijzig wachtwoord. U kunt dan zelf een wachtwoord aanmaken.
U kunt altijd klikken op wachtwoord vergeten. U krijgt dan een nieuw wachtwoord toegestuurd naar uw opgegeven e-mailadres.
Een verklaring waarin staat dat uw praktijk aantoonbaar aan de eisen van de AVG voldoet. De AVG verklaring wordt uitgegeven nadat u de 6 maatregelen in uw praktijk heeft ingevoerd.
Het comfort pakket levert u alle informatie over de AVG wetgeving. Dat gaat over privacy. Dat lijkt ons een goede start.
Het Compleet pakket behandelt de gehele norm ISO 27001. Dat is een totaal aanpak voor dataveiligheid, waarin op basis van de internationale norm ISO 27001 / NEN 7510 alle aspecten van een organisatie aan bod komen.
Het is mooi om met de AVG te beginnen (Comfort pakket) en eventueel door te stromen naar het Compleet pakket indien u meer onderwerpen wilt aanpakken.
Wij stellen voor om eerst de 7 AVG (of GDPR) onderwerpen af te werken. Ze zijn niet moeilijk in te voeren. Na afronding van deze 6 onderwerpen kunt u de belangrijkste overige onderwerpen kiezen. Om te voldoen aan de NEN 7510/ISO 27001 zijn alle onderwerpen van belang. Dit staat voor een totaal bedrijfs-organisatie-systeem. Het laat uw organisatie beter functioneren.
Als alle onderdelen op 100% staan. Dit houdt in dat u alle onderdelen van de AVG (of ISO 27001) hebt ingevuld. Het ‘Handboek Beleid’ komt dan automatisch beschikbaar, welke u in Pdf-formaat kunt downloaden. Houdt er wel rekening mee dat het portaal een levend systeem is, en regelmatig geüpdatet wordt wanneer er iets verandert in de wetgeving. U wordt hierover op de hoogte gehouden door Waveland via mails.
De bedoeling is om de vragen direct geheel aan te pakken voordat u het vinkje aanklikt. Op die manier verbetert u uw organisatie stap voor stap. Aan het eind van de lijst weet u dan ook wat de status is van de organisatie. Tijdens het werken in de lijst kunt u op ieder gewenst moment stoppen en later weer doorgaan.
We zorgen voor een mailtje als er actie van uw kant nodig is. We kunnen meekijken in uw portaal.
Voor het Compleet pakket: We kunnen interne audit rapporten en management reviews zien als die door u zijn ge-upload. Als ze niet zijn ge-upload geven we u tijdig een berichtje. Deze interne audits kunt u zelf uitvoeren. Om het certificaat te behouden moet u de interne audit en management reviews uitvoeren en de rapporten opslaan in uw portaal.
In het blokje ‘stel uw vraag’ kunt u iedere vraag per mail stellen. We zorgen dat we spoedig reageren. U kunt ook een mailtje met de vraag sturen aan: info@waveland.nu
U kunt zoveel vragen stellen als u wilt. Dat hoort binnen uw licentie bij Waveland.
Ook kunnen we helpen met deskundige adviseurs die daadwerkelijk komen helpen. De VvAA en Waveland hebben helpende handen beschikbaar. De kosten daarvoor zijn € 150,- per uur exclusief BTW en reiskosten. Dit kan een goede keus zijn als u echt niet toekomt aan de invoering van de acties. Zie hiervoor https://www.waveland.nu/helpende-handjes/
ALLE documenten die u nodig kunt hebben in het kader van de AVG staan in uw portaal. Documenten die u kunt gebruiken zijn bijvoorbeeld: "Informatie cliënten" en "Verwerkerscontract" voor derden die in uw opdracht persoonsgegevens kunnen inzien. Dit zijn bijvoorbeeld IT leveranciers of derden die in uw opdracht persoonsgegevens verwerken.
De documenten die u kunt invullen zijn "Registratie dataveiligheids incidenten", en voor het Compleet pakket zijn dat bijvoorbeeld "interne audits" en management reviews". Deze documenten download u eerst uw computer. Maak een verkenner map aan met de naam "Documenten Dataveiligheid". Hier kunt u de gedownloade documenten tijdelijk opslaan en bewerken. Na invullen kunt u ze uploaden in het portaal. De datum kan automatisch erbij gezet worden of u kunt een andere datum kiezen. Dan worden de documenten allemaal gerangschikt bewaard.
Ieder apparaat waar persoonsgegevens/ medisch dossier/ informatie op staat en ieder apparaat dat data verstuurt of ontvangt is dat data verwerkende apparatuur.
Dat kunnen zijn computers, laptops, telefoons, de bedrijfsserver, of de server in de Cloud. Ook papier en mappen met informatie op papier bevatten data.
Het doel van deze maatregel is dat bezoekers niet per ongeluk (of expres) gegevens kunnen zien op het scherm op de balie. U kunt dat controleren door er eens langs te lopen alsof u een bezoeker bent van uw eigen praktijk. Mocht het nodig zijn kunt u een opstelling maken die meekijken voorkomt.
Ook (het tweede balkje) kunt u controleren of de baliecomputers niet zo makkelijk bereikbaar zijn dat bezoekers met een USB stickje gegevens kunnen verkrijgen/op een stickje kunnen zetten. Bijvoorbeeld als de balie even niet bemand is.
Nee. Gratis e-mail diensten zijn niet veilig omdat gebruikers er indirect mee akkoord gaan in hun contract dat alles wat zij met die mail versturen, eigendom wordt van de provider. Dus ook bijzondere gegevens. Dit is ontoelaatbaar volgens de AVG.
Zorgmail zorgt in principe voor veilig transport van gegevens via de mail. Het is goed om ook de bestaande bestanden en gegevens op uw server (en in de cloud) goed te beschermen. Dat doet u met een firewall en met een goed anti-virus pakket.
U kunt natuurlijk iedereen die u vertrouwt, en wil betrekken bij het invoeren van dataveiligheid toegang geven via de inlogcode. Hoe meer mensen van de organisatie betrokken zijn bij de invoering van maatregelen die de veiligheid verhogen hoe mooier. Het is prachtig om medewerkers onderdelen van de invoering te laten doen.
Het gaat om de contracten met je Internet Provider voor vervoer van mails. De voorwaarden zijn meestal op de site van de provider te vinden. Ook gaat het om pakketpost en papieren brieven. De voorwaarden voor dat vervoer zijn ook op de site van de dienstenleverancier te vinden.
Inhoudelijke vragen over de AVG invoering
Verwerkersovereenkomst
De verwerkersovereenkomst is de overeenkomst die de verwerkingsverantwoordelijke overeenkomt met een verwerker die namens hem en in zijn opdracht verwerking uitvoert van de persoonsgegevens waar de verwerkingsverantwoordelijke voor verantwoordelijk is.
Dit betekent in normale mensentaal dat een verwerkingsverantwoordelijke alleen een verwerker opdracht geeft iets met de persoonsgegevens te doen als hij een schriftelijke overeenkomst sluit waarin de verwerker zich contractueel verbindt om ‘goed’ met die persoonsgegevens om te gaan.
(dit zijn verschillende antwoorden op de vragen over de verwerkersovereenkomst:)
- De verwerkersovereenkomst is alleen nodig als u een partij vraagt in uw opdracht iets te doen waarbij ze uw persoonsgegevens van de patiënten kunnen inzien. Bv de accountant of een mailingbedrijf. Vooral niet teveel, normaal zijn het er 2-4 partijen.
- Met het tandtechnische laboratorium hoeft u geen verwerkersovereenkomst te sluiten.( zij gaan met de behandeling verder en niet met de persoonsgegevens)
- Met het incasso bureau sluit u wel een verwerkersovereenkomst omdat u het bureau opdracht geeft gegevens te verwerken.
- Personeelsgegevens zijn ook persoonsgegevens. Door het uitvoeren van de boekhouding kan de accountant wellicht ook gegevens zien over uw patiënten. Die zullen als factuur in uw boekhouding voorkomen. Ook in dat geval is een verwerkerscontract met de boekhouder wel aangewezen door de wetgeving AVG. De accountant ziet misschien wel gegevens van de loonadministratie ( kan geen kwaad hem/haar ook een verwerkersovereenkomst te sturen).
- U hoeft alleen Verwerkersovereenkomsten te sluiten met partijen die in uw opdracht een handeling gaan uitvoeren met de persoonsgegevens van uw patiënten. Zorgverleners waarnaar u verwijst vallen daar niet onder. Die vallen onder het behandelcontract in de zin van de WGBO.
- Onder de mogelijke partijen waarmee u een verwerkerscontract sluit vallen de accountant, IT bedrijven die uw database bewerken en onderhouden.
- Een school is zelf verwerkingsverantwoordelijke. Die moet dus zelf ook goed met de persoonsgegevens omgaan. Zij zouden bijvoorbeeld ook kunnen werken met ons portaal. U geeft de school geen opdracht om de persoonsgegevens te verwerken. U levert ze alleen een verslag als uitvloeisel van uw contract (WGBO) met de leerling.
- Verzekeraars: de verwerking valt onder hun wettelijke taak en het contract van u en uw patiënt, en vervolgens onder uw afspraak met de verzekeraar. Datzelfde geldt voor ziekenhuizen. Voor die partijen is de verwerkersovereenkomst dus niet nodig.
- Voorbeelden waar verwerkersovereenkomsten nodig zijn: Accountant, mailingbedrijf, incassobureau.
- Als de VVAA uw administratie doet, dan zijn zij verwerker namens u. Dan is verwerkersovereenkomst de aangewezen weg.
- Een verwerkersovereenkomst met Waveland is niet nodig. Wij hebben dat gedekt door onze algemene voorwaarden waarin toestemming en beperking van onze rechten op informatie die wij kunnen inzien regelen. Artikel 9 in de Algemene voorwaarden (zie onze site).
Nee, als kunt aantonen dat u er mee bezig bent is dit voldoende.
De verwerkersovereenkomst heeft ook werking ten opzichte van de opvolgende leverancier van de leverancier etc. Dat betekent dat uw leverancier op zijn beurt verplicht wordt een verwerkerscontract te sluiten met iemand die hij weer inschakelt.
Een verwerkerscontract met mensen die ten dienste staan in de uitvoering van de behandeling is niet nodig. Het behandelcontract in de zin van de WGBO dekt dat af.
Verwerkingsregister
Het verwerkingsregister is een vastlegging van de instanties waarmee u persoonsgegevens uitwisselt. Dit is een overzicht dat aantoonbaar moet zijn. Het is ook een goed overzicht voor uzelf, dat gebruikt kan worden als een datalek zich voordoet. Ook is het goed om een overzicht te maken van de instanties waarmee u uitwisselt voor uw eigen bewustwording en overzicht.
Een volledig verwerkingsregister is in het portaal opgenomen. En er zijn al wat voorbeelden vooraf ingevuld.
Onderdeel 3/7 Comfort pakket (19/37 Compleet pakket) is uw volledige verwerkersregister. Het meeste hebben we al voor u ingevuld. Uw verwerkingsregister staat (ingevuld) in uw portaal in afdeling 3/7 Comfort pakket (19/37 Compleet pakket). Alle gegevens die u nodig hebt op basis van de eisen van de wetgeving zijn door ons voor u ingevuld. Dat staat in de tekst boven de tabel. De tabel kunt u eventueel aanvullen indien u dat nodig vindt. In de tabel vraagt de wet om categorieën van organisaties waarmee u persoonsgegevens deelt. Die kunt u aangeven.
U heeft gelijk: het voelt een beetje dubbelop. Toch is er een verschil: in het verwerkingsregister 3/7 registreert u alle organisaties waarmee u persoonsgegevens deelt. U sluit niet met AL die organisaties een verwerkersovereenkomst. In 6/7 Comfort (19/37 Compleet) registreert u de leveranciers (ook dienstenleveranciers) waarmee u daadwerkelijk een verwerkersovereenkomst sluit. Dat zijn er misschien maar 2 of 3. Die lijst houdt u hier dan bij. We maken expres het verschil omdat dat de bewustwording verhoogt. Delen van persoonsgegevens is 1, daadwerkelijk een verwerkerscontract sluiten is 2. Als we alles in 1 hoofdstuk zouden doen is de kans op verwarring wellicht groter.
De organisaties waarmee u persoonsgegevens uitwisselt kunt u hier noemen. In het verwerkingsregister hoeft u alleen categorieën op te nemen waarmee u persoonsgegevens deelt.
Praktijksamenstelling
Het is natuurlijk niet ‘verplicht’ iedereen erin te zetten. Het is wel handig als u direct met uw medewerkers wilt communiceren over bijvoorbeeld het onderwerp privacy, of uw beleid. Het werkt vooral goed als uw organisatie de gehele NEN 7510 gaat invoeren. In die module komt het gehele kwaliteitssysteem ten aanzien van dataveiligheid aan bod. Voor een grote organisatie is dat wel een belangrijk sturingsmodel (en het zit geheel in de Compleet module).
Ter overweging: we bieden ook een op maat gemaakte ‘Management module’: het kan zijn dat uw organisatie in feite bestaat uit een aantal verschillende ‘organisatorische eenheden’. Die moeten wellicht op hun eigen manier omgaan met privacy & dataveiligheid. De management module maakt het mogelijk centraal aan te sturen, maar per eenheid individueel de bewustwording en de procedures bij een incident te regelen.
Functionaris Gegevensbescherming
De FG is intern en wordt volledig ondersteund door de juristen van Waveland als u werkt met een licentie in het AVG portaal of het ISO 27001/NEN 7510 portaal. U hoeft niets aan te melden. Dat doet Waveland voor u. We hebben een aantal Collectieve Functionarissen Gegevensbescherming, en die zijn aangemeld bij de AP.
Waveland heeft die functies gelijkgeschakeld. Er is geen verschil in die functies als je werkt met het Waveland portaal.
De dataverantwoordelijke / FG is INTERN en wordt benoemd/aangewezen door de organisatie. Deze is verantwoordelijk voor het interne Privacy beleid en het juridische kwaliteitssysteem dataveiligheid op basis van de AVG of de ISO 27001/NEN 7510. U hebt in uw praktijk een dataverantwoordelijke/FG die intern aangewezen kan worden als centraal aanspreekpunt voor dit onderwerp.
Uw interne FG wordt volledig juridisch en praktisch ondersteund door de juristen en ITers van Waveland als u een licentie hebt van Waveland. Bijvoorbeeld in het geval van een datalek helpt Waveland u stap voor stap op weg als u er niet uitkomt.
Formulier informatie aan patiënten
Strikt genomen (de wet) stuurt u de brief MET goedkeuring naar een persoon waarvan u wel persoonsgegevens verwerkt (dus bv opslaat) maar die u niet behandelt. Daarmee ontstaat namelijk geen behandelcontract in de zin van de wet WGBO. De toestemming voor de verwerking van gegevens is alleen nodig in die gevallen waarin u wel de gegevens bewaart, maar geen behandeling (meer) uitvoert. U heeft gelijk: dat is bijna nooit. Maar we moeten het wel vermelden in onze portaal omdat we de wet goed moeten weergeven (anders krijgen we later te horen dat we iets niet hebben gemeld, en dat willen we niet!).
Het hoeft geen brief te zijn die u stuurt overigens: het mag ook een mailtje zijn of een stapeltje informatie brieven op uw balie of iets dergelijks. De informatieplicht blijft immers bestaan. De toestemming hoeft (bijna) nooit. Hiervoor kunt u het stukje uit 1/7 onder het kopje privacy beleid te gebruiken daarvoor.