Vanaf 25 mei 2018 is de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) in Europa van kracht. Deze vernieuwde wetgeving heeft als doel om een gepaste bescherming en beveiliging van persoonsgegevens te kunnen bieden. Zeker binnen de zorgsector is het van groot belang dat er op een correcte manier met persoonsgegevens wordt omgegaan. We geven u dan ook graag een overzicht van de voornaamste aandachtspunten hierbij, zowel binnen uw applicatie als voor uw praktijkwerking in het algemeen.
Wat zijn voor mij de aandachtspunten in de Corilus-applicaties?
Onze applicaties helpen u al een heel eind op weg om in orde te zijn met de GDPR, maar dit wil niet zeggen dat u automatisch voldoet aan alle GDPR voorwaarden. Vergelijk het met een kluis waarin u gevoelige informatie bewaart. Enerzijds is het belangrijk dat u een stevige kluis heeft met een slot dat moeilijk te kraken valt, maar als u de kluis voortdurend open laat staan of de code aan iedereen doorgeeft, heeft die beveiliging nog weinig nut. Daarom overlopen we even enkele aandachtspunten om uw gebruik van onze applicatie in lijn te brengen met de GDPR.
Gebruikers
Zorg dat iedere medewerker binnen uw praktijk een persoonlijke gebruiker heeft. Zo kan u éénduidig opvolgen wie tot welke gegevens toegang heeft in het programma. Iedere gebruiker dient een wachtwoord in te stellen. Hier raden we aan om multi-factor authenticatie te gebruiken, zoals eID of Corilus Passport. Bij het gebruik van wachtwoorden, moet dit sterk genoeg zijn, namelijk met minimaal 8 karakters waaronder zowel cijfers, kleine letters, hoofdletters en speciale tekens (bv. % ! ? * # @ +). Wijzig op geregelde basis uw wachtwoord. We adviseren om dit jaarlijks te doen.
eHealth
Idealiter heeft elke zorgverlener een persoonlijk certificaat waarmee hij/zij van de eHealth-diensten gebruik maakt. Ga zorgvuldig om met dit bestand.
Communicatie
eHealthbox
Dit is de aangewezen werkwijze voor communicatie naar collega zorgverstrekkers. Zowel communicatie naar artsen met een eHealth-certificaat als communicatie naar artsen in een ziekenhuis is mogelijk.
E-mail
Indien mogelijk raden we aan om zoveel mogelijk communicatie via de eHealthbox te voeren. Als u dan toch nog via e-mail communiceert raden we aan om met een e-mailaccount te werken die beveiligd is met authenticatie én encryptie. Als er gemaild wordt zonder authenticatie en encryptie, loopt u namelijk het risico dat e-mails gemakkelijker onderschept kunnen worden en dat iemand met slechte bedoelingen e-mails kan versturen in uw naam.
Belangrijk om weten is dat de encryptie van een e-mail enkel van toepassing is op de inhoud van het bericht en dus niet op het onderwerp. Probeer daarom het onderwerp steeds zo neutraal mogelijk te houden en vermijd het vermelden van patiëntgegevens in het onderwerp (dus niet “RX-foto’s Jean Van Steenkiste”, maar bv. “Artsenpraktijk Vroman”).
Communicatie naar de patiënt
Het gebruik van persoonsgegevens in communicatie naar de patiënt zoals afspraakherinneringen vormt geen probleem als het gaat om gegevens zoals de naam van de patiënt, datum en uur van de afspraak, e-mailadres, enzoverder.
We raden wel sterk af om via e-mail medische gegevens te communiceren naar de patiënt (bv. Voorschriften, RX-foto’s, verwijsbrieven, enz.) aangezien dit gevoelige gegevens zijn. Als verwerkingsverantwoordelijke blijft u aansprakelijk voor het bezorgen van deze gegevens aan de patiënt. Er blijven namelijk steeds risico’s verbonden aan communicatie via e-mail, ook als u deze met encryptie verstuurt. Wilt u toch medische gegevens doormailen naar de patiënt? Hou dan rekening met volgende aandachtspunten:
- Zorg dat u zeker bent dat de contactgegevens van de patiënt juist zijn. Vermijd het doorgeven van een e-mailadres over de telefoon, beter is om dit te vragen als de patiënt fysiek aanwezig is in de praktijk.
- Hou het onderwerp van de e-mail zo neutraal mogelijk.
- Zet geen andere ontvangers in CC.
- Informeer de patiënt over de risico’s die genomen worden bij het versturen van medische gegevens via e-mail.
- Zorg dat u bijhoudt dat de e-mail verstuurd werd naar de patiënt.
Exporteren van patiëntendata
Bij het exporteren en/of afdrukken van patiëntgegevens en patiëntenoverzichten (bv. naar een PDF-bestand) hou je best rekening met volgende aandachtspunten:
- Boekhoudgegevens: vermijd of verwijder patiëntgegevens in de overzichten die u aan uw boekhouder bezorgt.
- Zelf gedefinieerde patiëntenlijsten: Als u hiervan gebruik maakt, vermijd dan zoveel mogelijk om gevoelige patiëntgegevens op te nemen in deze lijsten (bv. INSZ, openstaand saldo, verzekeringswijze, enz.).
- Algemeen: Zorg dat de afgedrukte/geëxporteerde patiëntgegevens enkel toegankelijk zijn voor de personen die hier noodzakelijk toegang toe nodig hebben. Bewaar uw papieren bijvoorbeeld achter slot en grendel en plaats digitale bestanden op een beveiligde locatie.
- Algemeen: Bewaar de afgedrukte/geëxporteerde patiëntgegevens niet langer dan nodig. Tip: gebruik een papierversnipperaar voor papieren dossiers die u niet langer nodig heeft.
Wat zijn de aandachtspunten wanneer ik de Corilus Helpdesk contacteer??
Hou rekening met volgende 3 tips wanneer u onze Helpdesk contacteert:
- Vermijd het versturen van e-mails bij vragen of problemen. We raden aan om zoveel mogelijk onze online helpdesk te gebruiken. Voor dringende problemen neemt u best telefonisch contact op.
- Vermeld zo weinig mogelijk persoonlijke patiëntgegevens in uw vraag. Gebruik waar mogelijk het patiëntnummer in plaats van de naam van de patiënt.
- Vermijd bij het maken van screenshots die u meestuurt dat er persoonlijke informatie zichtbaar is. Eventueel kan u deze informatie onleesbaar maken op de screenshot.
Wat zijn de aandachtspunten voor mijn praktijkwerking in het algemeen?
Het verwerken van persoonsgegevens gaat breder dan enkel uw software voor patiëntenbeheer. Voor een uitgebreid advies over hoe u uw praktijk helemaal in regel stelt met de GDPR wetgeving, neemt u best contact op met uw beroepsvereniging of een specialist in de materie. Corilus helpt u wel al graag op weg met volgende tips & tricks:
Organisatorisch
- Voorzie een fysieke beveiliging voor uw praktijk (dossiers achter slot en grendel, alarmsysteem, kantoor op slot).
- Maak uw interne medewerkers bewust van de risico’s en het belang van gegevensbescherming.
- Vermijd dat de patiënt steeds kan meekijken op uw computerscherm. Als u toch iets wil tonen aan de patiënt, zorg dan dat er geen gegevens van andere patiënten zichtbaar zijn.
- Respecteer de privacy van uw patiënten, bespreek geen dossiers als uw wachtzaal dit kan horen.
- Stel een privacyverklaring op die toont hoe u omgaat met de persoonsgegevens van uw patiënten. Informeer de patiënten hierover via een poster of brochures in uw wachtzaal. Voor meer info over het opstellen van deze documenten, neemt u best contact op met uw beroepsvereniging.
- Implementeer een procedure voor het jammerlijke geval dat de persoonsgegevens van uw patiënten worden gelekt. Uw beroepsvereniging kan u hiermee verder op weg helpen.
- Zorg dat datadragers zoals harde schijven, USB-sticks, geheugenkaartjes, … geëncrypteerd en/of beveiligd zijn. Gooi gebruikte USB-sticks, PC’s en harde schijven niet zomaar weg. Deze zullen nog vaak persoonsgegevens bevatten. Zorg eerst dat alle gegevens hierop gewist zijn.
- Verleen geen onbekende(n) toegang tot uw netwerk. Zorg dat uw WiFi-netwerk beveiligd is, en dat als u WiFi aanbiedt voor uw patiënten dit op een gescheiden WiFi-netwerk gebeurt.
Technisch
- Open geen verdachte e-mails, wees gezond achterdochtig over e-mails, zeker over bestemmelingen die u niet kent.
- Beveilig de toestellen binnen uw praktijk met behulp van een firewall en antivirus. Mocht u hierin geïnteresseerd zijn, kan Corilus u hierbij helpen. Neem hiervoor contact op met uw vertegenwoordiger.
- Zorg steeds dat persoonsgegevens opgeslagen zijn in Europa. Vermijd niet-Europese hostingbedrijven (bv. Dropbox) voor het opslaan van uw informatie. Dit is ook van toepassing voor wie met een online back-up werkt. De online back-up die Corilus u kan aanbieden wordt bewaard op Belgische servers. Uw vertegenwoordiger helpt u graag verder als u hierin geïnteresseerd bent.
- Voorzie een verplichting van een wachtwoord bij het opstarten van uw PC.
- Geef uw medewerkers niet meer toegangsrechten tot uw systemen dan noodzakelijk voor de uitoefening van hun job.
Wat als ik nog verdere vragen heb rond GDPR?
Voor algemene vragen rond hoe u ervoor zorgt dat uw praktijkwerking volledig in regel met GDPR is, neemt u best contact op met uw beroepsvereniging of met een specialist in de materie. Hebt u specifieke vragen over uw applicatie, dan helpen we u graag verder via onze helpdesk.
