Richtsnoeren inzake veiligheid en gegevensbescherming
De Vlaamse overheid heeft een aantal richtsnoeren inzake veiligheid en gegevensbescherming gecommuniceerd, die uw voorziening dient na te leven. We lichten hier toe hoe dit in Geracc is geïmplementeerd.
Identiteitsbeheer
Geracc laat toe om de toegang van individuele gebruikers te beveiligen met een gebruikersnaam en wachtwoord.
Dit wachtwoord wordt nooit in plain text doorgestuurd. Indien u een wachtwoordreset nodig heeft, krijgt u een mail met een tijdelijke token. Een nieuwe gebruiker moet altijd zelf zijn wachtwoord wijzigen voor hij voor het eerst in Geracc kan aanmelden.
Via het gebruikersbeheer kan je de toegang tot Geracc ook afsluiten.
Het ehealthcertificaat kan alleen worden opgeladen door een gebruiker die hiervoor de toestemming heeft gekregen van de directie van het WZC. Om het certificaat op te laden, moet de gebruiker zich aanmelden met zijn of haar eID. Het certificaat wordt bewaard in een beveiligde vault. De verbinding tussen Geracc en de opslagplaats voor het certificaat is geëncrypteerd.
Toegangsbeheer
In Geracc kan de toegang tot elk scherm beveiligd worden door middel van beveiligingsniveaus. Zo is het mogelijk om toegang af te schermen tot schermen waar gewone eindgebruikers geen toegang tot mogen hebben, zoals het gebruikersbeheer, het scherm waar de link met het eHealthcertificaat wordt gelegd en het scherm waar het rekeningnummer van de voorziening wordt bewaard.
Bij aanpassingen aan de software houdt Corilus rekening met de impact op deze beveiligingsniveaus en worden de aanpassingen ook getest.
In de praktijk: Waar moet ik op letten voor eWZCfin?
Zorg ervoor dat toegang tot de volgende schermen voor onbevoegden wordt afgesloten:
- Tools > Parameters: Hier voert u de gegevens in voor de link met het eHealthcertificaat
- Bestanden > Configuratiegegevens > Instelling > Dossier: Hier voert u het rekeningnummer in waarop de tegemoetkoming zal worden gestort
- Tools > Beveiliging > Gebruikers
- Tools > Beveiliging > Beveiligingsniveaus
Relatie met de betrokkene
Geracc laat toe om de toegang tot bepaalde groepen van zorgvragers (afdelingen) af te schermen.
Logging
Geracc houdt logging bij voor de volgende elementen:
- Persoonsgegevens (residenten, medewerkers): logging op creatie, wijzigen en verwijderen van deze gegevens
- Zorggegevens: logging op raadplegen, creatie, wijzigen en verwijderen van deze gegevens.
We houden de volgende gegevens bij:
- Welk item is gewijzigd, door wie en wanneer.
- Welke actie is ondernomen: creatie, wijzigen of schrappen
- Welke gegevens zijn toegevoegd, gewijzigd of geschrapt.
Omgang met medewerkers en leveranciers
Corilus onderneemt stappen om met elke klant een verwerkersovereenkomst af te sluiten. Alle personeelsleden van Corilus hebben een opleiding over GDPR en informatieveiligheid gekregen. Hierbij komt ook de te volgen procedure in het geval van datalekken aan bod.