centraalnetwerkzorg.nl · Web view3.7 Verwijzing naar tips in hoofdstuk 5 toegevoegd. V1.1 9-5-2018...

INSTRUCTIEVOORBEREIDING AVG CENZO-DEELNEMER

V1.3 16 mei 2018

© Cenzo B.V. 2018

INHOUDSOPGAVEINHOUDSOPGAVE...............................................................................................................2Inleiding..............................................................................................................................31. Instructie aanschaffen Toolkit P3NL................................................................................42. Instructie in-/aanvullen standaard documenten..............................................................5

2.1 Instructie invullen verwerkersregister AVG................................................................52.2 Instructie aanvullen privacybeleid.............................................................................52.3 Instructie invullen verwerkersovereenkomst.............................................................5

3. Invullen Toolkit AVG-programma (P3NL).........................................................................63.1 Stap 1 Inloggen en voorbereiding..............................................................................63.2 Stap 2 Inventarisatie persoonsgegevens...................................................................73.3 Stap 3 Inventarisatie doelbinding..............................................................................93.4 Stap 4 Privacybeleid/-policy.....................................................................................113.5 Stap 5 Verwerkersovereenkomst.............................................................................123.6 Stap 6 Toegangsbeveiliging.....................................................................................133.7 Stap 7 Software en antivirussoftware up-to-date.....................................................143.8 Stap 8 Opslaan binnen de EU..................................................................................153.9 Stap 9 Data Back-up................................................................................................153.10 Stap 10 Geautoriseerde medewerkers...................................................................163.11 Stap 11 Vernietigen persoonsgegevens................................................................173.12 Stap 12 Toestemming Direct marketing en bij minderjarigheid.............................183.13 Papieren documenten en beveiliging....................................................................193.14 Stap 14 Datalekken...............................................................................................193.15 Stap 15 Medewerkers geïnstrueerd.......................................................................203.16 Verklaring en disclaimer........................................................................................21

4. Checklist overige zaken................................................................................................234.1 Beveiliging fysiek en digitaal...................................................................................23

5. Tips...............................................................................................................................241. Identificatieplicht.......................................................................................................242. Tips ten aanzien van beveiliging...............................................................................243. E-mail gebruik...........................................................................................................24

Bijlagen.............................................................................................................................26A. Verwerkersregister.................................................................................................26B. Privacybeleid..........................................................................................................26C. Voorbeeld overzicht leveranciers...........................................................................26D. Verwerkersovereenkomst Cenzo............................................................................26E. Aangepast Cenzo-deelnemershandboek................................................................26F. Cenzo-deelnemers-privacyreglement.....................................................................26G. Voorbeeld verwerkersovereenkomst......................................................................26

InleidingDit document dient als leidraad om door alle verplichtingen van de Algemene Verordening Gegevensbescherming (AVG) heen te lopen en daarmee aan deze nieuwe wet te voldoen.

document.docx pagina 2 van 27

Belangrijk om te weten is dat het een dynamisch proces is waarbij we nu de basis leggen om verantwoord om te blijven gaan met persoonsgegevens. Het eist van ons continue alert te zijn op de privacy van betrokkenen en ook continue te evalueren in welke mate je aan de AVG blijft voldoen.Dit document is uit een aantal fases opgebouwd. De eerste stap is het aanvragen van het AVG-programma (ook wel Toolkitgenoemd) (hoofdstuk 1). Het is belangrijk dat je hier als eerste mee begint omdat het doorgaans vijf werkdagen duurt alvorens je de inloggegevens van je account ontvangt.Zodra je de toegang tot de Toolkit hebt ontvangen kun je via de Toolkit tal van documenten downloaden. Een aantal daarvan hebben wij voorbereid en zo veel mogelijk voor je ingevuld.In afwachting van de activatie van je account bij de online Toolkit, kun je starten met het verder opstellen en aanvullen van de standaard verplichte en reeds door ons aangevulde documenten:

1. Verwerkersregister;2. Inventarisatie leveranciers;3. Afsluiten verwerkersovereenkomsten;4. Privacybeleid;5. Privacyreglement/-verklaring;6. Aanpassen van je website.

In de hoofdstuk 2 zijn specifieke instructies gegeven voor het invullen van de standaard documenten. Zodra je de toegang tot de online Toolkit hebt ontvangen kun je starten met het invullen van het stappenplan uit de Toolkit. In hoofdstuk 3 wordt je volledig door dit online stappenplan geloodst en geven wij precies aan wat vervolgens ingevuld kan worden. Houd er rekening mee dat wij vanuit Cenzo niet precies weten hoe jouw individuele situatie is. Het kan dus altijd zijn dat er nog elementen aan moeten worden toegevoegd óf anders moeten worden verwoord. Het is daarom raadzaam om alles goed door te lezen en stap voor stap te doorlopen.

Revisie

Versie Datum WijzigingV1.0 30-4-2018 BasisdocumentV1.1 9-5-2018 3.2 Bijzondere persoonsgegevens, kopie paspoort uit

gevinkt en toelichting ‘bijzondere persoonsgegevens’ toegevoegd.3.7 Verwijzing naar tips in hoofdstuk 5 toegevoegd.

V1.1 9-5-2018 5. Tips Tip omtrent kopie legitimatie aangepast en instructie mail-gebruik opgenomen.

V1.2 16-5-2018 Toelichting bijzondere persoonsgegevens aangevuld met hoe te registreren én doelbinding toe te lichten in 3.2 en 3.3


1. Instructie aanschaffen Toolkit P3NLWanneer je lid bent van P3NL kun je je aanmelden voor het AVG-programma dat uit vijftien stappen bestaat aan de hand waarvan je geholpen wordt om klaar te zijn voor de AVG. Dit kost € 25,00 per jaar (gereduceerd tarief, prijspeil 2018).

- Ga naar https://www.p3nl.nl/avg/aanmelden om je aan te melden voor het AVG-programma (ook wel AVG-toolkit genoemd). Na het invullen van het aanmeldformulier ontvang je binnen maximaal vijf dagen een vouchercode waarmee je toegang krijgt tot het programma.

- Zodra je de vouchercode hebt ontvangen ga je naar: https://www.avg-programma.nl/avg/pub/Login.php

- Log in met je vouchercode


https://www.avg-programma.nl/avg/pub/Login.php


https://www.p3nl.nl/avg/aanmelden

2. Instructie in-/aanvullen standaard documenten2.1 Instructie invullen verwerkersregister AVG

- Open het sjabloon van het verwerkingsregister dat je van Cenzo hebt ontvangen. Neem rustig de tijd om het te bekijken en door te lezen voordat je ermee gaat werken. Boven elke kolom in dit sjabloon staat een grijs gearceerd veld, waarin een toelichting wordt gegeven op hoe je de kolom eronder dient in te vullen.

- Bedenk voor je zelf welke stakeholders (met wie werk je samen) je kunt benoemen. De belangrijkste zijn reeds in het Excel-bestand dat we je gestuurd hebben opgenomen. Per regel wordt in de eerste kolom een stakeholder benoemd. Loop het gehele bestand door en vul eventuele stakeholders die voor jou/jouw praktijk ontbreken aan in het bestand (voeg daarvoor per nieuwe stakeholder/groep van soortgelijke stakeholders een nieuwe regel toe).

- Geel gearceerde vakken moeten in ieder geval door jou worden in-/aangevuld.- Regels met alleen rode tekst zijn waarschijnlijk niet voor jou of jouw praktijk van

toepassing. Als dat het geval is dan kun je deze regels verwijderen. Indien ze wel van toepassing zijn dan laten staan en nog aanvullen.

- Vul in de kolom ‘Technische en organisatorische maatregelen’ in welke maatregelen je hebt getroffen, denk hierbij aan:Technische maatregelen: Bijvoorbeeld firewalls, virus-scanners, encryptie, gebruiken van beveiligde netwerkverbindingen, back-up’s, met sterke wachtwoorden beschermde accounts. Denk hier ook aan eventuele ISO/NEN certificeringen etc.

Organisatorische maatregelen: Bijvoorbeeld het registreren van bezoekers, het screenen van nieuwe medewerkers, het afsluiten van ruimtes en panden, beveiligde toegang van locaties en apparatuur, toegangsbeveiliging zodat persoonsgegevens alleen toegankelijk zijn voor geautoriseerd personeel.

2.2 Instructie aanvullen privacybeleidAan de hand van het door jou voltooide verwerkersregister kun je jouw privacybeleid opstellen. Zie hiervoor het voorbeeld/sjabloon dat wij jou hebben gestuurd. Deze tekst is het beleid zoals Cenzo dat voor zichzelf heeft opgesteld. Een deel hiervan zal ook voor jou en jouw praktijk gelden, een deel dien je te wijzigen en aan te vullen met zaken die specifiek gelden voor jou en jouw praktijk en afwijken van de beschrijving in het sjabloon.

2.3 Instructie invullen verwerkersovereenkomstMaak een overzicht van alle leveranciers die voor jou gegevens verwerken van jouw cliënten (zie voor een voorbeeld het leveranciersoverzicht dat we je gestuurd hebben). LET OP: Hier valt Cenzo dus ook onder! Verder moet je denken aan partijen waar je bijvoorbeeld data opslaat van je cliënten (hosting, softwareleveranciers etc.). Nadat je dit hebt gedaan kun je de verwerkersovereenkomst aanvullen. (voorbeeld verwerkersovereenkomst).


3. Invullen Toolkit AVG-programma (P3NL)

3.1 Stap 1 Inloggen en voorbereidingGa naar : https://www.avg-programma.nl/avg/pub/Login.php en log in met je eigen account onder ‘Inloggen bestaande gebruikers’.

Klik vervolgens op het window ‘Stappenplan voor MKB’:

De volgende inhoudsopgave ontvouwt zich:



Klik nu op stap/regel 1.Lees de instructies goed door. Zodra je dit gedaan hebt klik je rechts onderin de pagina op ‘volgende pagina’.

3.2 Stap 2 Inventarisatie persoonsgegevensJe geeft in dit deel van de Toolkit aan welke persoonsgegevens je registreert. Dit zijn de persoonsgegevens waar je uiteindelijk maatregelen voor moet treffen om ze verantwoord te registreren. Dit zijn persoonsgegevens die gaan over bijvoorbeeld cliënten, eventuele medewerkers of andere betrokkenen, zoals verwijzers etc..Op de volgende pagina zijn middels printscreens de persoonsgegevens weergegeven die Cenzo-psychologen registreren aan de hand van de automatiseringsapplicaties Cenzo City en Careweb t.a.v. alle betrokken stakeholders. Dit komt waarschijnlijk grotendeels overeen met jullie eigen registratie, maar loop dit wel zelf goed door om te kijken of er gegevens niet zijn aangevinkt die jullie wel registreren. Vink deze dan alsnog aan. Vraag jezelf ook hardop af in hoeverre die gegevens echt geregistreerd moeten worden en of je daar wellicht mee kunt stoppen. Indien je een medewerker in loondienst hebt (voor administratie bijv.) dan zal je in ieder geval ‘salarisgegevens’ aan moeten vinken.

Persoonsgegevens die Cenzo registreert:


>>Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.


Toelichting bijzondere persoonsgegevens

In de zorg zijn we verplicht om het BSN nummer van cliënten te registreren. Meer informatie hierover vind je op https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/burgerservicenummer-bsn/bsn-in-de-zorg. Daarnaast kennen we de identificatieplicht. Omtrent deze plicht bestaat veel verwarring. We hebben dit uit laten zoeken. Concreet moet een zorgverlener de identiteit van een cliënt vaststellen en vervolgens het type identificatiedocument én het nummer van het identificatiedocument vastleggen. In de zorg mogen we geen kopie van het document maken noch archiveren. Meer informatie hierover vind je op https://www.sbv-z.nl/veelgestelde-vragen/ict-leveranciers.

Overige bijzondere persoonsgegevensWe hebben vragen gekregen over het wel of niet registreren en dus wel of niet aanvinken van bijvoorbeeld religie, etnische afkomst, seksuele geaardheid etc. In de regel moet je voor jezelf nagaan of je (soms) deze informatie registreert. Als je dit überhaupt nooit vastlegt dan kun je dit leeglaten. Maar als je soms of vaker deze informatie registreert doe dit dan alleen als je dat in het kader van je behandeling nodig acht. Vink het dan aan en omschrijf in het veld ‘Aantekeningen bijzondere persoonsgegevens’ dat je dit alleen doet als dat voor de behandeling noodzakelijk is, maar dat je dit dus niet standaard registreert.

3.3 Stap 3 Inventarisatie doelbindingIn dit deel van de toolkit gaan we aangeven met welk doel we persoonsgegevens verwerken. Dit wordt ‘doelbinding’ genoemd. Het is belangrijk dat je persoonsgegevens alleen verwerkt (dus opslaat en gebruikt) voor de doeleinden waarvoor je deze hebt verkregen.

Vink ‘Klant of leverancier’ aan en vul bij ‘Beschrijf hieronder kort uw situatie’ de volgende tekst in:“Ik heb mijn eigen psychologenpraktijk. Ik ben aangesloten bij Cenzo. Bij het uitvoeren van mijn eigen psychologenpraktijk heb ik met diverse leveranciers afspraken gemaakt voor het aanleveren van bijvoorbeeld kantoorartikelen (briefpapier etc.), maar werk ik ook samen met een aantal leveranciers die gegevens voor mij verwerken. Denk hierbij o.a. aan Cenzo. Cenzo verzorgt voor mij de administratie, facturatie, contractering met zorgverzekeraars, ICT etc. Voor het uitvoeren van een verantwoorde administratie registreer ik de NAWTE gegevens van deze leveranciers.”


https://www.sbv-z.nl/veelgestelde-vragen/ict-leveranciers

https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/burgerservicenummer-bsn/bsn-in-de-zorg

https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/burgerservicenummer-bsn/bsn-in-de-zorg

Vink ‘Klant en BSN’ aan en vul bij ‘Beschrijf hieronder kort uw situatie’ de volgende tekst in: “Ik ben GZ-psycholoog. Ik registreer een BSN-nummer van mijn cliënten. Daarnaast kan ik, indien dit in het kader van de behandeling noodzakelijk is, aanvullende bijzondere persoonsgegevens registreren, zoals <zelf aanvullen wat van toepassing is>. Dit is nodig om de zorg te kunnen declareren in het kader van de Zorgverzekeringswet bij de zorgverzekeraar van mijn cliënten. Bij de opstart van een behandeling is er sprake van een overeenkomst in het kader van de WGBO. Daarnaast stel ik een behandelplan op dat door cliënt wordt ondertekend en een toestemmingsformulier met behandelwoorden die bij aanvang van de behandeling door cliënt wordt ondertekend.”

Vink ‘Prospect, stakeholder-/lobbycontacten en geïnteresseerden’ aan en vul bij ‘Beschrijf hieronder kort uw situatie’ de volgende tekst in: “Van diverse functioneel betrokkenen registreer ik persoonsgegevens. Denk hierbij aan collega-hulpverleners, waarmee ik samenwerk zoals psychotherapeuten, psychiaters, fysiotherapeuten etc..”Vink eventuele andere ‘groepen’ aan indien dat voor jou van toepassing is. Denk hierbij bijvoorbeeld aan ‘Medewerkers’ indien je iemand in loondienst hebt.

! Let op! Deze ‘extra’ groepen’ zijn door ons niet meegenomen in de stukken ‘Verwerkersregister’ en ‘Privacybeleid’. Deze dien je zelf dan nog aan deze documenten toe te voegen!


Als je alle doelgroepen hebt aangevinkt die van toepassing zijn én een korte beschrijving hebt toegevoegd kun je onderaan de pagina op ‘Antwoorden opslaan’ klikken als je wenst te stoppen of op ‘Volgende pagina’ om verder te gaan.

3.4 Stap 4 Privacybeleid/-policyOm aan de wet te voldoen moet je een privacypolicy (privacybeleid) hebben. Dit privacybeleid hebben we al zo veel mogelijk voor je uitgeschreven en zoveel mogelijk ingevuld conform de samenwerking die Cenzo met de Cenzo-psychologen heeft. Uiteraard is het mogelijk dat er nog aanvullingen in gedaan moeten worden die specifiek voor jouw praktijk van toepassing zijn. De eventuele extra ‘groepen’ die je benoemd hebt in de vorige stap ‘Inventarisatie doelbinding’ dien je dus als aparte hoofdstukken toe te voegen aan je eigen privacybeleid. Ons advies is om deze goed te lezen. De mensen van wie je de persoonsgegevens hebt opgeslagen, dan wel gaat opslaan, moet je goed informeren over hun rechten. Dit doe je met je eigen privacybeleid. Mensen moeten die dan ook makkelijk kunnen vinden zodat ze op de hoogte kunnen zijn van hun rechten. Plaats je privacybeleid daarom op jouw website!

>> Klik op de optie:

‘Wij als organisatie hebben onze privacy policy zichtbaar gemaakt op onze website.’En vul bij ‘Beschrijf hieronder kort uw situatie’ het volgende in:“Ik heb mijn privacybeleid op mijn website gepubliceerd.”>> Klik op de optie:

‘Wij als organisatie verwijzen in al onze documenten (contract, overeenkomst, aanmeldingsformulieren, etc.) waarin persoonsgegevens staan naar onze privacy policy op de website van de organisatie’.En vul bij ‘Beschrijf hieronder kort uw situatie’ het volgende in:


“In eventuele contracten en de online-aanmeldformulieren wordt verwezen naar mijn privacybeleid.”>> Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.

3.5 Stap 5 VerwerkersovereenkomstAls ‘organisatie’ mag je persoonsgegevens nooit doorgeven aan een andere partij als je met die partij geen zogeheten verwerkersovereenkomst hebt. Zo’n overeenkomst regelt niet alleen wat de ander met de gegevens mag doen maar ook vooral wat de ander niet mag doen. Je mag trouwens de gegevens alleen met derden delen als dit noodzakelijk is voor de uitvoering van de doeleinden waarvoor je deze hebt verkregen.Het is belangrijk dat je een inventarisatie maakt van alle leveranciers met wie je samenwerkt en die worden ingezet om persoonsgegevens voor jou te verwerken. Cenzo is hier bijvoorbeeld een hele belangrijke in. Denk hierbij bijvoorbeeld ook aan de softwareleveranciers waar je mee samenwerkt en in wiens software je cliëntgegevens opslaat. Voor de softwareleveranciers die Cenzo faciliteert hoef je geen verwerkersovereenkomst te regelen, deze vallen nl. onder de verwerkersovereenkomst die Cenzo met jullie afsluit. Indien je zelf rechtstreeks met een leverancier afspraken hebt dan dien je een verwerkersovereenkomst met deze leverancier af te sluiten. Wanneer moet je nu wel een verwerkersovereenkomst afsluiten en wanneer niet?

Een verwerkersovereenkomst sluit je alleen af indien jij voor iemand anders óf iemand anders voor jou persoonsgegevens verwerkt. Indien een cliënt wordt ‘overgedragen’ van A naar B (bijv. van huisarts naar psycholoog) is er geen sprake van een verwerker. Want het was de patiënt van de huisarts en het wordt de cliënt van de psycholoog. Het is niet zo dat je namens de huisarts gegevens van zijn patiënt gaat registeren.Kortom als het stokje wordt overgedragen hoef je geen verwerkersovereenkomst af te sluiten. Maar als het de cliënt blijft van een ander en je gaat een deel van de zorg regelen/faciliteren dan wel.De Cenzo-psycholoog besteedt werkzaamheden uit aan Cenzo. Cenzo registreert en factureert zaken omtrent de cliënt van de Cenzo-psycholoog. Dus: Cenzo verwerkt persoonsgegevens voor de Cenzo-psycholoog en is daardoor verwerker. Cenzo sluit op haar beurt weer verwerkersovereenkomsten met Careweb, BergOp, Formdesk (onlineformulieren), CSN (hosting Cenzo City) etc.. Dat is de verantwoordelijkheid van Cenzo en die leggen wij dan ook in de verwerkersovereenkomst met de Cenzo-psychologen vast. Zo ontstaat er dus een soort ‘keten’. Hierdoor hoef je als Cenzo-psycholoog niet apart met alle partijen waar Cenzo afspraken mee heeft zelf afspraken te maken.Invullen toolkit:


Vink de bovenste optie aan: ‘Wij als organisatie verklaren dat wij nooit persoonsgegevens doorgeven aan…’En vul bij ‘Beschrijf hieronder kort uw situatie:’ de volgende tekst in:“Ik heb een inventarisatie van mijn leveranciers gedaan die voor mij persoonsgegevens verwerken. Met deze leveranciers heb ik verwerkersovereenkomsten afgesloten.”>> Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.

3.6 Stap 6 ToegangsbeveiligingHier geven we aan hoe we alle systemen waarin persoonsgegevens staan opgeslagen verantwoord zijn beveiligd. Voor medische gegevens of andere bijzondere persoonsgegevens geldt dat het beveiligingsniveau hoger ligt dan voor de ‘normale’ persoonsgegevens.

Vink de bovenste optie aan: ‘Wij als organisatie hebben persoonsgegevens altijd opgeslagen achter de…’Vul bij ‘Beschrijf hieronder kort uw situatie:’ in:


“Ik werk met een EPD (elektronisch patiëntendossier). Ik sla persoonsgegevens op van mijn cliënten en daarmee samenhangend ook van verwijzers en andere functioneel betrokkenen. De systemen waar ik mee werk worden beveiligd met een factor-2- authenticatie (inlognaam, wachtwoord én sms-code). Mijn laptop, mobiele telefoon en tablet zijn beveiligd met een wachtwoord. De fysieke dossiers worden in een (afgesloten) kast in mijn praktijk bewaard. Deze kast zit standaard op slot.”

! Let op! Bovenstaande tekst kan per praktijk verschillen! Pas dit dus aan waar nodig!

>> Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.

3.7 Stap 7 Software en antivirussoftware up-to-date

Vink de bovenste optie aan: ‘Wij als organisatie hebben de persoonsgegevens alleen opgeslagen op computers/servers met…’Vul bij ‘Beschrijf hieronder kort uw situatie:’ in:“Alle apparaten die ik gebruik (laptop,pc, mobiele telefoon en/of tablet) zijn beveiligd met beveiligingssoftware. Zowel besturingssysteem als beveiligingssoftware worden automatisch geüpdatet.”Internet/E-mail

Website

Indien je een eigen website hebt én je registreert persoonsgegevens op deze website (aanmeldformulieren) dan moet je website goed zijn beveiligd met tenminste een SSL-certificaat te herkennen aan een adres dat begint met ‘https’ en het groene slotje:

Dit kun je regelen bij de leverancier die jouw website host. Indien je reeds een SSL-certificaat hebt dan kun je via https://www.ssllabs.com controleren of dit naar behoren werkt.

E-mail


https://www.ssllabs.com/

In de praktijk wordt veel vertrouwelijke informatie via e-mail gedeeld. Het is van belang dat dit veilig en verantwoord gebeurt. Zorg ervoor dat je e-mailverkeer beveiligd is met tenminste een TLS-SSL of STARTTLS-verbinding. Je kunt dit controleren via internet.nl. Zie ook de tips in hoofdstuk 5 van deze instruktie.>> Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.

3.8 Stap 8 Opslaan binnen de EUDe AVG heeft betrekking tot de EU-lidstaten. Binnen de EU is het niveau van gegevensbescherming dus gelijk. De wetgever is extra streng als je persoonsgegevens buiten de EU verwerkt/opslaat of laat verwerken/opslaan. Geef dus aan dat je geen persoonsgegevens buiten de EU opslaat/verwerkt en controleer dit. Denk hierbij aan een partij die de hosting voor je regelt maar zijn servers niet binnen de EU heeft staan. We raden je aan dit aan te passen als er wel persoonsgegevens voor of door jou verwerkt of opgeslagen worden buiten de EU.

Vink de bovenste optie aan: ‘Wij als organisatie verklaren dat wij nooit persoonsgegevens overdragen aan of opslaan bij…’>> Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.

3.9 Stap 9 Data Back-upAutomatisch back-ups maken is de slimste manier om je te beschermen tegen ransomware, verlies, diefstal of brand. Cenzo heeft met al haar hostingpartijen goede afspraken gemaakt over het maken van een back-up. Denk hierbij aan BergOp, Careweb en Cenzo City.


Vink de bovenste optie aan: ‘Wij als organisatie hebben de opgeslagen persoonsgegevens beveiligd met een back-up.’Vul bij ‘Beschrijf hieronder kort uw situatie:’ in:“Ik werk met een EPD. Van software-systemen waar ik mee werk worden standaard back-ups gemaakt en gegevens kunnen op elk gewenst moment worden teruggezet of -gehaald.”>> Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.

3.10 Stap 10 Geautoriseerde medewerkersDit is voor de doorsnee ZZP-praktijk minder van toepassing. Dit gaat over wie je autoriseert om welke persoonsgegevens in te zien, te verwerken en te wijzigen.

Vink de bovenste optie aan: ‘In onze organisatie hebben alleen geautoriseerde personen toegang tot de persoonsgegevens van de organisatie.’


De volgende velden hoeven niet precies te worden ingevuld. Vul het aantal personen in inclusief jijzelf.Geef vervolgens een inschatting van het aantal personen waar je persoonsgegevens voor registreert. Denk daarbij aan verwijzers, cliënten, leveranciers, etc.>> Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.

3.11 Stap 11 Vernietigen persoonsgegevensPersonen hebben het recht om een verzoek in te dienen tot vernietiging van hun gegevens. Daar zijn echter wel een aantal regels aan verbonden. Hoe lang gegevens moeten worden bewaard verschilt. Zie ook het voorbeeld verwerkersregister en privacybeleid.

Vink de bovenste optie aan: ‘Wij als organisatie verklaren dat wij alle persoonsgegevens vernietigen als de overeenkomst...’Vul bij ‘Beschrijf hieronder kort uw situatie:’ in:“De persoonsgegevens die ik bewaar worden vernietigd als de grond waarvoor ze verkregen zijn is verlopen of de toestemming is ingetrokken. Voor de financiële administratie bewaar ik alleen die gegevens die nodig zijn en niet langer dan zeven jaar. Daarnaast registreer ik persoonsgegevens in een medisch dossier en daarvoor is de wettelijk bewaartermijn 15 jaar. Deze gegevens worden dus na 15 jaar vernietigd óf indien de toestemming is ingetrokken. In die gevallen waarbij dit uit de zorg van een goed hulpverlener voortvloeit bewaar ik het medisch dossier langer.”>> Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.


3.12 Stap 12 Toestemming Direct marketing en bij minderjarigheidCenzo maakt geen gebruik van direct marketing.

Vink de onderste optie aan: ‘Wij als organisatie maken geen gebruik van digitale direct marketing...’

Ook levert Cenzo in principe geen jeugdzorg. Het kan voorkomen dat individuele Cenzo-psychologen en -praktijken wel wel jeugdzorg leveren, maar dan buiten Cenzo om. In het verleden zijn minderjarige cliënten wel door Cenzo-psychologen behandeld. Dit was toen jeugdzorg nog bij zorgverzekeraars gedeclareerd kon worden.

Vink de bovenste optie aan: ‘Wij als organisatie verklaren dat wij alleen persoonsgegevens van minderjarige verwerken als daarvoor schriftelijk...’>> Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.


3.13 Papieren documenten en beveiliging

Vink de bovenste optie aan: ‘Wij als organisatie hebben papieren documenten, waarop de persoonsgegevens staan, opgeslagen achter slot en grendel..’Vul bij ‘Beschrijf hieronder kort uw situatie:’ in:“Papieren met persoonsgegevens zijn veilig opgeborgen in een afsluitbare kast die standaard op slot zit. Ik ben de enige die toegang heeft tot die kast en de sleutel van die kast beheert.”Nb. Bovenstaande tekst kan per individuele praktijksituatie verschillen. Pas aan waar nodig! >> Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.

3.14 Stap 14 DatalekkenHet is belangrijk dat je weet wat een datalek is en hoe je moet handelen als daar sprake van is. Cenzo heeft hiervoor een procedure beschikbaar. Omdat je ZZP-er bent ben je voornamelijk op jezelf aangewezen, maar in samenhang met Cenzo haak je aan op onze gezamenlijke procedure.

Vink de bovenste optie aan: ‘Binnen onze organisatie is iedereen op de hoogte...’Vul bij ‘Beschrijf hieronder kort uw situatie:’ in:“Ik weet wat een datalek is. Ik kan dit in samenspraak met Cenzo oppakken. Het datalek moet worden gemeld bij het 'Meldloket datalekken Autoriteit Persoonsgegevens'. Cenzo heeft een procedure waarin is vastgelegd hoe we dat intern adequaat afhandelen en documenteren.”


>> Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.

3.15 Stap 15 Medewerkers geïnstrueerdDe meeste praktijken hebben geen medewerkers. Je hoeft daarom in dit onderdeel niet perse iets aan te vinken. Dit onderdeel gaat met name over het beveiligingsbewustzijn van eventuele medewerkers. Wees je er van bewust dat je met persoonsgegevens te maken hebt en dat je hier veilig en verantwoord mee omgaat. Organisaties moeten dit stimuleren bij hun medewerkers. In dit geval stimuleer jij jezelf al mede door het AVG-proof krijgen van je eigen praktijk. Daarnaast wordt je geïnformeerd door Cenzo en andere leveranciers.Je kunt in het onderstaande overzicht de methodes aanvinken die Cenzo jou faciliteert. Te weten:

- Alle medewerkers (lees Cenzo-deelnemers) hebben de video van Stichting AVG voor Verenigingen bekeken (doe je via de Toolkit)

- We hebben met alle medewerkers een workshop over privacybescherming gevolgd. (is al gedaan vanuit WBP, AVG zal worden herhaald)

- We hebben een nieuwsbrief voor alle medewerkers.. (hier wordt vanuit Cenzo ook aandacht aan besteed)

Tekst in het veld ‘Hieronder is ruimte om te beschrijven…’:“Ik ben in mijn praktijk op mijzelf aangewezen. Ik heb er voor gezorgd dat mijn praktijk de aanpassing heeft gedaan van de WBP naar de AVG. In dit proces ben ik me ten zeerste bewust van de AVG en waar ik me met betrekking tot het beschermen van de persoonsgegevens bewust van moet zijn. Mijn praktijk is aangesloten bij Cenzo. Cenzo ondersteunt mij bij relevante wetswijzigingen. Zij hebben mij geholpen bij het AVG-proof krijgen van mijn praktijk. Ik volg een workshop die via Cenzo wordt gefaciliteerd. Zij informeren mij o.a. middels een nieuwsbrief.”>> Klik onderaan de pagina op ‘Antwoorden opslaan’ indien je wenst te stoppen en tussentijds je antwoorden wenst op te slaan of klik op ‘Volgende pagina’ indien je verder wilt gaan.


3.16 Verklaring en disclaimerJe bent nu door alle vragen heen gelopen en het moment van indienen is daar. Verzeker je ervan dat je alle bijlagen (standaard documenten) goed hebt ingevuld en dat deze aansluiten op de informatie die je in deze online Toolkit hebt ingevuld.Via e-mail kun je een AVG-verklaring aanvragen en ontvangen. Deze is onderdeel van het AVG-dossier van de organisatie.Wij raden je aan een map aan te leggen met onderstaande indelingen en die te vullen en te onderhouden zoals hieronder beschreven is. AVG-dossier

1. AVG-verklaring (krijg je van de stichting AVG na indienen verzoek via Toolkit);2. Inventarisatie:

o Overzicht persoonsgegevens (onderdeel van de online Toolkit);o Overzicht doelbinding: persoonsgegevens, overeenkomst, verwerkingen,

bewaartermijn; (onderdeel van privacybeleid én verwerkersregister);3. Privacybeleid;4. Verwerkersovereenkomsten met derden en leveranciers;5. Geheimhoudingsverklaringen van medewerkers (voor de meeste n.v.t.);6. Overeenkomsten:

o Lidmaatschapsovereenkomsten;o Lijst van online inschrijvingen en verwijzing naar rapport ICT-systeem met

online inschrijvingen (gekoppeld aan Nieuwsbrief, voor de meeste n.v.t.);7. Datalekken rapportages (zie standaard procedure Cenzo, kun je zelf aanpassen en

hierop laten aansluiten);8. AVG-gerelateerde procedures:

o Back-up van persoonsgegevens;o Verwijderen van persoonsgegevens;o Autorisatiebeleid (omdat je op jezelf aangewezen bent is hetgeen je online

in het stappenplan hebt ingevuld voldoende);o Sleutelbeleid (omdat je op jezelf aangewezen bent is hetgeen je online in

het stappenplan hebt ingevuld voldoende)9. Verwerkingsregister

o Type persoonsgegevens;o De verwerkingsdoeleinden;o Bron van de persoonsgegevens;o Met welke partijen worden persoonsgegevens gedeeld;o Bewaartermijn;


Vul de gegevens onder 16.3 in. En klik op ‘Indienen’ om het ingevulde stappenplan naar de Stichting AVG te sturen. Binnen twee werkdagen ontvang je via de e-mail een AVG-verklaring.


4. Checklist overige zaken4.1 Beveiliging fysiek en digitaalZorg dat je in de verwerkersovereenkomst goed hebt benoemd welke beveiligingsmaatregelen je hebt getroffen om de persoonsgegevens veilig te verwerken. Cenzo heeft hiervoor maatregelen getroffen door de systemen juist te beveiligen (zie voor gevulde teksten het verwerkersregister). Je kunt denken aan:Technische maatregelenTechnische maatregelen zijn bijvoorbeeld firewalls, virus-scanners, encryptie, gebruiken van beveiligde netwerkverbindingen, back-up’s, met sterke wachtwoorden, beschermde accounts. Denk hier ook aan eventuele ISO/NEN certificeringen etc.

Organisatorische maatregelenOrganisatorische maatregelen zijn bijvoorbeeld het registreren van bezoekers, het screenen van nieuwe medewerkers, het afsluiten van ruimtes en panden, beveiligde toegang van locaties en apparatuur, toegangsbeveiliging zodat persoonsgegevens alleen toegankelijk zijn voor geautoriseerd personeel.Overige tips:

a. Blokkeer altijd je beeldscherm bij het verlaten van je werkplek;b. Laat documenten met persoonsgegevens nooit onbeheerd achter op bureaus of bij

de printer;c. Kies nooit voor automatisch opslaan van inloggegevens op je computer;d. Besef dat openbare netwerken niet veilig zijn;e. Let op wat je deelt via sociale media;f. Bedek altijd je webcam om 'meekijken' te voorkomen;g. Gebruik nooit de inloggegevens van een collega en geef je eigen inloggegevens niet

door aan collega’s;h. Zorg ervoor dat je mobiele telefoon beveiligd is met een inlogcode of

vingerherkenning.


5. Tips1. IdentificatieplichtMaak geen kopie van een legitimatiebewijs, maar controleer het document als volgt:

a. Controleer eerst of sprake is van een wettelijk identiteitsdocument;b. Controleer vervolgens of het identiteitsdocument nog niet verlopen is;c. Vergelijk de cliënt met de foto op het identiteitsdocument;d. Leg tenslotte de aard en het nummer van het identiteitsdocument vast in de

administratie.

2. Tips ten aanzien van beveiliginge. Blokkeer altijd je beeldscherm bij het verlaten van je werkplek;f. Laat documenten met persoonsgegevens nooit onbeheerd achter op bureaus of bij

de printer;g. Kies nooit voor automatisch opslaan van inloggegevens op je computer;h. Besef dat openbare netwerken niet veilig zijn;i. Let op wat je deelt via sociale media;j. Bedek altijd je webcam om 'meekijken' te voorkomen;k. Gebruik nooit de inloggegevens van een collega en geef je eigen inloggegevens niet

door aan collega’s;l. Zorg ervoor dat je mobiele telefoon beveiligd is met een inlogcode of

vingerherkenning.

3. E-mail gebruikOp de website van de Autoriteit persoonsgegevens vind je meer informatie over de wijze waarop je e-mail beveiligd moet zijn om verantwoord persoonsgegevens te kunnen versturen én ontvangen.Zie https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/beveiliging-van-persoonsgegevens. In de wet staat niet omschreven hoe je e-mailverkeer moet beveiligen maar wel dat je passende maatregelen moet treffen. De Autoriteit geeft hier een aantal voorbeelden voor. In de regel hanteren wij vanuit Cenzo het volgende:

1. Standaard moet je e-mailverkeer worden verstuurd vanuit een beveiligde SMTP-server (SMTPS). De meeste ‘moderne’ internetproviders en cloudproviders zijn hier reeds op ingesteld. Denk hierbij aan Ziggo, KPN, Gmail, Hotmail etc.. Voorbeelden van beveiligde verbindingen (SSL) zijn: STARTTLS, SPF, DKIM. Om te controleren of je e-mailverkeer inderdaad plaatsvindt via een beveiligde SMTP-server kun je op de website www.internet.nl je mailadres invoeren en dit controleren. Indien je zeker wilt zijn dat het in orde is adviseren we je contact op te nemen met de provider van je e-mail(server).NB. Een provider kan een goed beveiligde mailserver gebruiken, maar de gebruiker moet op zijn ‘cliënt’ (de lokaal geïnstalleerde software waarmee je e-mail verstuurt, zoals Outlook) wel de juiste manier zijn e-mail hebben ingesteld.

2. In geval van het versturen van ‘bijzondere persoonsgegevens’ is het aan te raden om dit op een nog veiligere manier te doen. Er zijn software oplossingen voor te krijgen zoals ‘cryptshare’. Echter heb je dan weer te maken met een leverancier die deze gegevens ergens opslaat. Bovendien moet elke ontvangende partij deze


http://www.internet.nl/

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/beveiliging-van-persoonsgegevens

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/beveiliging-van-persoonsgegevens

software dan ook installeren én met je een licentie hiervan aanschaffen.Wij kiezen er voor om in het geval van het versturen van ‘bijzondere persoonsgegevens’ een ZIP-bestand aan te maken en dit te beveiligen met een wachtwoord. Voordelen hiervan zijn:

a. Veilig;b. Praktisch (er hoeft geen software door de ontvangende partij te worden

geïnstalleerd of accounts te worden aangemaakt) Standaard kunnen de moderne computers deze zip-bestanden openen (mits je het wachtwoord hebt) en is hier geen aparte software voor nodig. Echter om een beveiligd zip-bestand te kunnen maken is er wel aanvullende software nodig. Onze software leverancier CSN heeft ons geadviseerd om hiervoor het gratis te downloaden programma 7-Zip te gebruiken. Dit programma kun je downloaden op https://www.7-zip.org.

Nadat je dit programma hebt geïnstalleerd kun je vrij eenvoudig een beveiligd zip-bestand aanmaken. Dit doe je als volgt:

1. Je gaat via ‘Verkenner’ naar je bestand en klikt met je rechter muisknop op het bestand. Vervolgens selecteer je ‘7-zip’ en daarna kun je twee dingen doen:

a. Je selecteert ‘Toevoegen aan archief’. Je maakt dan een nieuw zip-bestand aan

b. Je selecteert ‘Comprimeer en verstuur’. Je maakt dan een nieuw zip-bestand en dit wordt direct in een bijlage van een nieuw mailbericht geplaatst.

2. Een venster opent zich. a. Selecteer boven in het venster de locatie waar je wilt dat het bestand

wordt opgeslagen, klik op de knop met de drie puntjes (rechts bovenin het venster)

b. De eerste keer moet je het archief-formaat nog aanpassen van ‘7z’ naar ‘zip’.

c. Rechts in het venster kun je onder ‘Codering’ een wachtwoord opgeven.d. Klik op ‘OK’

3. Het versturen van een mailbericht met ZIP-bestand doe je in twee stappen:a. Je stuurt het bericht met het ZIP-bestand onder vermelding dat het

wachtwoord voor het bestand separaat wordt aangeleverd.b. Je stuurt daarna apart een mailbericht met daarin de vermelding van

het wachtwoord.


https://www.7-zip.org/

BijlagenA. VerwerkersregisterB. PrivacybeleidC. Voorbeeld overzicht leveranciersD. Verwerkersovereenkomst CenzoE. Aangepast Cenzo-deelnemershandboekF. Cenzo-deelnemers-privacyreglementG. Voorbeeld verwerkersovereenkomst


centraalnetwerkzorg.nl · Web view3.7 Verwijzing naar tips in hoofdstuk 5 toegevoegd. V1.1 9-5-2018...

Documents

Transcript of centraalnetwerkzorg.nl · Web view3.7 Verwijzing naar tips in hoofdstuk 5 toegevoegd. V1.1 9-5-2018...