0 of 15 Vragen completed
Vragen:
Je hebt de procesonderdeel al eerder voltooid. Daarom kun je hem niet meer opnieuw starten.
Procesonderdeel is aan het laden…
Je moet inloggen of inschrijven om de procesonderdeel te starten.
U moet eerst het volgende invullen:
De tijd is verstreken
Waar draait uw HIS/KIS?
De gegevens in het HIS zijn de kroonjuwelen van de praktijk. Die moeten goed beheert en beschermt worden. Bovendien stelt de geautomatiseerde uitwisseling met zorgketen partners hoge eisen aan beschikbaarheid en beveiliging.
De eisen die de NEN7510 en de AVG stelt aan het elektronisch patiëntdossier op het vlak van fysieke beveiliging zijn in een praktijk niet meer uit te voeren. Een professioneel datacentrum is passend voor dergelijke informatie.
Evenzo is goed ICT beheer van de HIS applicatie en de servers een zodanig specialistische taak dat deze door professionele ICT moet worden uitgevoerd. Hiertoe behoort o.a. 24 uur monitoring op ‘rare signalen’ die kunnen duiden op storing, malware of hack.
Bovendien moet de dienstverlening jaarlijks geëvalueerd worden op grond van objectieve rapportages.
Hoe is de toegang tot uw digitale systemen geregeld?
Toegang tot Patiëntgegevens hoort op persoonlijke titel te zijn, vanwege de traceerbaarheid van handelingen rond het dossier. Dit is een logisch gevolg van de patiënten rechten beschreven in WBP en WGBO, namelijk dat de patiënt recht heeft op inzage en te weten wie tot zijn dossier toegang heeft gehad. Het HIS en KIS lossen dat op met logging, maar dat werkt alleen als op persoonlijk titel wordt gewerkt.
Voor toegang op afstand is two factor authenticatie nodig. Vecozo zal voor declaraties binnen afzienbare tijd ook two factor authenticatie gaan eisen bij gebruik van haar diensten. Denk aan de verzekeringscheck.
Een vooruitstrevende organisatie heeft zicht alle mensen die toegang hebben, medewerkers intern, extern en beheerders.
De UZI pas is een vorm van two-factor authenticatie. UZI pas is geen verplichting vanuit informatiebeveiligingen oogpunt, er zijn alternatieven die ook veilig zijn.
We kennen strikte afspraken over het geheimhouden van je wachtwoord. Je deelt je wachtwoord met niemand. Je gebruikt een ander wachtwoord voor werk dan voor privé. Geldt dit ook zo bij u in de praktijk?
In de gedragscodes voor zorgprofessionals staat geheimhouding als een belangrijke regel. In het digitaal tijdperk betekent geheimhouding van patiëntgegevens dat je de toegang tot die gegevens geheim houdt en beschermt.
Een scheiding tussen werk en privé hoort daarbij. Wachtwoorden voor social media en gratis email diensten zijn redelijk eenvoudig te hacken. In het geval dat een medewerker dat overkomt wil je niet dat de hacker dan ook toegang heeft tot HIS of werkomgeving.
Aanspreken op gedrag houdt elkaar scherp en is een teken van hogere volwassenheid. Consequenties verbinden aan het niet naleven van deze geheimhouding is in ziekenhuizen al gebruikelijk aan het worden.
Alle medewerkers binnen de praktijk zijn zich goed bewust van de vertrouwelijke aard van de persoonsgegevens die worden verwerkt en handelen daarnaar.
Zijn hier afspraken over gemaakt?
In de gedragscodes voor zorgprofessionals staat geheimhouding als een belangrijke regel. Een organisatie behoort dat te handhaven, allereerst door elkaar aan te spreken. Disciplinaire maatregelen zijn passend voor mensen die hier moeite mee hebben. In ziekenhuizen is best practice, eenmaal informeel, eenmaal formeel aanspreken, daarna volgt ontslag.
Is er back-up van HIS / KIS en ICT omgeving?
Is er een test of het terugzetten van de back-up goed lukt en leidt tot een goed werkend systeem?
Het testen of de back-up teruggezet kan worden is noodzakelijke toets of het systeem goed werkt. ICT zet een backup terug en kan beperkt kijken of een systeem goed werkt. Enkel een zorgprofessional kan toetsen of het systeem goed werkt.
De tijd nodig voor het terugzetten van de back-up is een belangrijk gegeven voor de calamiteitenplanning. In geval van ASP dienstverlening is het van belang met de leverancier af te spreken dat testen van backup jaarlijks plaatsvind. De verantwoordelijkheid hiervoor ligt bij de praktijkhouder, die is eindverantwoordelijk voor de data. Vraag het maar eens na.
Worden nieuwe versies van het HIS / KIS getest?
Het is van belang om vast te stellen dat HIS en KIS software goed werkt alvorens te gebruiken. De praktijk is eindverantwoordelijk voor de juiste werking van HIS en KIS volgens de WBP (Privacy wet). Testen kan prima worden uitbesteed aan een gebruikersgroep of zorggroep.
Het bespreken van wijzigingen in HIS en KIS op de werkvloer zorgt dat medewerkers in staat zijn de software goed te gebruiken, ook na wijzigingen. Enkel bij grote veranderingen is bijscholing nodig.
Is er een scenario voorhanden hoe te handelen bij datalek?
Heeft de praktijk een continuïteitsplan dat beschrijft hoe te handelen bij een calamiteit?
De zorg leunt meer en meer op de digitale gegevens van HIS en KIS. Weet hoe te handelen wanneer deze systemen niet beschikbaar zijn. Er valt prima zorg te verlenen zonder HIS, maar misschien niet alle zorg. Denk bijvoorbeeld aan contra-indicatie bij medicatie die tegenwoordig zwaar leunt op software systemen. Een kabelbreuk bij graafwerkzaamheden is eens in de 10 jaar te verwachten, wat te doen zonder de vaste internetverbinding?
Het LSP eist dat de aansluiting niet langer dan 24 uur mag wegvallen. Zonder noodscenario’s gaat dat niet lukken.
Hebt u de beschikbaarheid van uw HIS dossiers voor het LSP geregeld?
Het LSP eist dat de aansluiting niet langer dan 24 uur mag wegvallen. Zonder noodscenario’s gaat dat niet lukken.
Stuurt u patiëntgegevens via de email en andere communicatie tools (bijv. WhatsApp of Siilo)?
Email is in niet geschikt voor vertrouwelijke gegevens. Email is als een ansichtkaart in de post, iedereen die het in handen krijgt kan meelezen.
Beveiligde email en andere beveiligde communicatie tools (Flymail, Siilo) zorgen dat het meelezen niet meer mogelijk is. Verzender en ontvanger moeten wel samen op dit systeem zijn aangesloten. Dat geldt vaak wel voor ketenpartners, maar patiënten niet.
De WGBO en de WBP geven patiënten echter ook het recht om op te vragen wie er met hun gegevens hebben gewerkt (traceerbaarheid). Het HIS/KIS houdt hiertoe logging bij. Op het moment dat gegevens in de email zijn is niet meer traceerbaar wie er met de zorggegevens hebben gewerkt. Tot slot worden emailberichten vaak niet weggegooid en blijven ze jaren achter in een mailbox. Deze zaken maken email slecht geschikt voor zorgcommunicatie.
Alternatieven voor de email zijn echter lang niet altijd aanwezig. Er zijn echter meestal goede alternatieven om structurele inzet van email in de zorgketen te vermijden. Denk aan LSP en andere digitale koppelingen met HIS/KIS.
Heeft U een Functionaris Gegevensbescherming aangesteld?
De Autoriteit Persoonsgegevens ziet de huisartsenpraktijk als gegevensverwerker indien de praktijk meer dan 10.000 patiënten heeft ingeschreven. In dat geval dient u een functionaris gegevensbescherming aan te stellen. Op grond van paragraaf 1.b. is een huisartspraktijk verplicht een FG aan te wijzen.
• De aard van de verwerking: Het primair proces omvat patiënt gegevens, dit zijn bijzondere en gevoelige persoonsgegevens.
• Het verwerken van patiënt gegevens is stelselmatig, het is het primair proces.
• De schaal van verwerking zal als ‘groot’ geïnterpreteerd worden. Een normpraktijk omvat al 2150 patiënten, maar de duur van de verwerking is minimaal 15 jaar (bewaartermijn patientdossiers).
De combinatie van aantal patiënten, primair proces en de bewaartermijn maakt dat alle huisartspraktijken in de criteria vallen voor het aanstellen van een FG.
De FG mag niet iemand van het management zijn. U kunt als eigenaar deze taak niet zelf oppakken, helaas. Er is al jurisprudentie op dit punt in Europa. In Duitsland is een boete opgelegd door de toezichthouder omdat de aangestelde FG ook een management functie had en niet onafhankelijk genoeg was.
Is er een overzicht van alle verwerkingen. Dat zijn informatie systemen, papieren informatieverzamelingen.
Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:
a) de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming; ,
b) de verwerkingsdoeleinden;
c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties; ,
e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen; ,
f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
Is er in uw praktijk transparante informatie over de verwerking persoonsgegevens, doorgifte en rechten van uw patiënten aanwezig?
Een privacyverklaring voor patiënten geschreven in begrijpelijke taal is verplicht. Hierin hoort te zijn beschreven welke persoonsgegevens, met welk doel, en voor welke termijn worden verwerkt. De partijen aan wie gegevens worden doorgegeven behoren transparant te zijn. De rechten van patiënten behoren te zijn beschreven en hoe deze kunnen worden afgeroepen.
Is er in uw praktijk transparante informatie over de verwerking persoonsgegevens, doorgifte en rechten van uw medewerkers aanwezig?
Een privacyverklaring voor medewerkers geschreven in begrijpelijke taal is verplicht. Hierin hoort te zijn beschreven welke persoonsgegevens, met welk doel, en voor welke termijn worden verwerkt. De partijen aan wie gegevens worden doorgegeven behoren transparant te zijn. De rechten van medewerkers behoren te zijn beschreven en hoe deze kunnen worden afgeroepen.