Overslaan naar inhoud

GEGEVENSBESCHERMINGSBELEID


INLEIDING

Nu meer dan ooit is informatie een van de belangrijkste pijlers van een organisatie. Informatie op zich, het beheer, de opslag en de verwerking ervan zijn echter onderhevig aan veiligheidsrisico’s. De zelfstandige thuisverpleegkundige is zich bewust van deze risico’s en neemt de nodige stappen om deze risico’s te beheersen. De beheersing van deze risico’s begint met het vaststellen van een gegevensbeschermings- en informatieveiligheidsbeleid. Dit document voorziet hierin.

De beleidsregels die in dit document zijn opgenomen moeten vervolgens ook toegepast worden binnen de organisatie. Waar nodig zal dit onder andere leiden tot specifieker beleid rond specifieke thema’s. 

BELANG VAN INFORMATIEVEILIGHEID EN GEGEVENSBESCHERMING

De zelfstandige thuisverpleegkundige staat garant voor het verzamelen en verwerken van de gegevens van cliënten en andere betrokkenen, medewerkers en derden met de grootst mogelijke zorgvuldigheid, op een professionele manier, en met aandacht voor het beschermen van de persoonlijke levenssfeer van de betrokkenen.

In het bijzonder willen we de gegevens beschermen tegen

  • Verlies: de gegevens zijn niet meer beschikbaar.
  • Lekken: gegevens komen in de verkeerde handen terecht.
  • Fouten: gegevens zijn niet correct (vb. verouderd of onvolledig).
  • Niet toegankelijk: op het moment van de zorg zijn gegevens niet toegankelijk.
  • Onterecht inkijken: ingekeken door personen die hiertoe niet gemachtigd zijn.
  • Ontbrekende verantwoording: het niet kunnen nagaan wie de gegevens inkeek, wijzigde of verwijderde.
  • Verwerkingen die niet in lijn liggen met regelgeving, richtlijnen en normen.

De zelfstandige thuisverpleegkundige wil beroep doen op iedereen die betrokken is bij het verwerken van persoonsgegevens om samen vanuit een gemeenschappelijke visie én vanuit onze gezamenlijke wil om kwaliteitsvolle dienstverlening aan te bieden de verwerking van de persoonsgegevens van alle betrokkenen correct te laten verlopen.

Dit beleid dient als norm voor het verwerken van persoonsgegevens. Het is een leidraad voor alle verwerkingsprocessen en biedt een referentie voor audit en controle. Het biedt elke cliënt, medewerker en derde een inzage in het veiligheidsbeleid en de manier waarop we omgaan met uw persoonsgegevens. Deze tekst draagt ook bij aan de bewustwording omtrent informatieveiligheid.

Het is opgesteld voor de zelfstandige thuisverpleegkundige en het kan gebruikt worden bij het ontwerpen van procedures en richtlijnen voor medewerkers en externen. De relevante onderdelen worden verwerkt in overeenkomsten met personeel en leveranciers.

RISICOBEHEER

De zelfstandige thuisverpleegkundige brengt enige hoge risico’s inzake gegevensbescherming in kaart aan de hand van een risicoanalyse. De bevindingen uit de analyse worden opgenomen in een actieplan om de gevonden risico’s te behandelen. Hierin onderkent vier mogelijk risicobehandelingen:

  • Accepteren: een risico wordt geaccepteerd, er worden geen aanvullende maatregelen genomen. De zelfstandige thuisverpleegkundige streeft er naar zo min mogelijk risico’s te accepteren.
  • Overdragen: een risico wordt overgedragen waardoor de verantwoordelijkheid ten aanzien van het risico niet langer bij de zelfstandige thuisverpleegkundige rust.
  • Beperken: De zelfstandige thuisverpleegkundige neemt de noodzakelijke maatregelen om een risico te beperken zodat het risico wordt teruggebracht tot een niveau waarop het te accepteren is.
  • Uitsluiten: De zelfstandige thuisverpleegkundige neemt maatregelen om te voorkomen dat een risico zich überhaupt kan voordoen.

Het doel is dat de risicoanalyse regelmatig wordt herzien.

HET TOEPASSINGSGEBIED VAN HET GEGEVENSBESCHERMINGSBELEID

Het beleid is van toepassing op de verwerking van persoonsgegevens. We verstaan hieronder niet alleen de persoonsgegevens van cliënten, maar ook bijvoorbeeld van medewerkers, al dan niet in dienstverband, bezoekers, derden, … . 


De Algemene Verordening Gegevensbescherming is niet van toepassing op geanonimiseerde gegevens, dit zijn gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is.


Het beleid strekt zich uit tot elke (semi-)geautomatiseerde verwerking en tot handmatige verwerkingen indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Het beleid is van toepassing op alle verwerkingsdoeleinden. 


Deze beleidstekst is geschreven voor iedereen die al dan niet in opdracht van de zelfstandige thuisverpleegkundige persoonsgegevens verwerkt. Deze tekst wordt via verschillende kanalen uitgedragen.


BELEIDSDOELSTELLINGEN VOOR GEGEVENSBESCHERMING


ALGEMENE DOELSTELLINGEN

De zelfstandige thuisverpleegkundige in haar rol als verwerkingsverantwoordelijke:

  1. Is transparant over de persoonsgegevens die het verwerkt en het verwerkingsdoel, zowel naar de betrokkene als naar de toezichthouders toe. De gevoerde communicatie is eerlijk, eenvoudig toegankelijk en begrijpelijk. Het transparantieprincipe is ook van toepassing wanneer persoonsgegevens worden uitgewisseld.
  2. Verwerkt enkel de gegevens die relevant zijn voor het uitvoeren van haar taken. Elke taak waarbij persoonsgegevens worden verwerkt, is rechtmatig. Dit betekent onder meer dat de verwerking in overeenstemming is met de wettelijke en statutaire doelen van de zelfstandige thuisverpleegkundige. Dit wordt telkens geëvalueerd bij een nieuw verwerkingsdoel, waar nodig aan de hand van een gegevensbeschermingseffectbeoordeling.
  3. Verwerkt enkel de persoonsgegevens die strikt noodzakelijk zijn voor de uitvoering van de activiteiten zoals benoemd in de privacy policy. Zo worden identificatoren die horen bij de persoonsgegevens tot een minimum herleid.
  4. Kijkt toe op de integriteit van de persoonsgegevens tijdens de volledige verwerkingscyclus.
  5. Bewaart gegevens niet langer dan noodzakelijk. De noodzakelijkheid is afgetoetst tegenover wettelijke verplichtingen en de rechten en vrijheden van de betrokkenen
  6. Voorkomt inbreuken die voortvloeien uit het verwerken van persoonsgegevens. Informatieveiligheid, gegevensbescherming door ontwerp en privacy-vriendelijke standaardinstellingen zijn hiervoor hulpmiddelen. Wanneer een inbreuk plaatsvindt, wordt hierover gerapporteerd in lijn met de regelgeving ter zake
  7. Is in staat om alle geldende rechten van een betrokkene, zoals het recht op inzage, afschrift en eventueel ook schrapping, uit te voeren. De zelfstandige thuisverpleegkundige waakt hierbij over de eventuele beperkingen die op deze rechten van toepassing zijn

VERPLICHTINGEN VAN DE VERWERKINGSVERANTWOORDELIJKE

Los van de algemene verplichtingen zijn er ook een aantal specifieke verplichtingen die de GDPR oplegt:

  • Het afsluiten van gepaste verwerkersovereenkomsten: De zelfstandige thuisverpleegkundige draagt zorg voor de gepaste verwerkersovereenkomsten met alle verwerkers en ziet toe op de naleving van de voorwaarden die hierin zijn opgenomen.
  • Het houden van een register van verwerkingsactiviteiten: De zelfstandige thuisverpleegkundige beheert een register van alle activiteiten waarbij persoonsgegevens worden verwerkt.
  • Maatregelen ter beveiliging van de verwerking: Persoonsgegevens mogen slechts verwerkt worden indien er passende technische en organisatorische maatregelen zijn genomen voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van de verwerkte persoonsgegevens.
  • Melden van inbreuken in verband met verwerking van persoonsgegevens: Uit de AVG volgt een plicht voor de zelfstandige thuisverpleegkundige om een incidentmeldingssysteem voor de interne registratie van inbreuken te hebben die betrekking heeft op het verwerken van persoonsgegevens
  • Het uitvoeren van een gegevensbeschermingseffectenbeoordeling Zie rubriek Gegevensbescherming en informatieveiligheid
  • Aanstellen van een functionaris voor de gegevensbescherming (DPO): Iedere verwerkingsverantwoordelijke is verplicht om een Data Protection Officer (DPO) aan te stellen indien de kerntaak een grootschalige verwerking van bijzondere categorieën van persoonsgegevens is.
  • Naleving van de rechten van de betrokkene: De zelfstandige thuisverpleegkundige dient gedocumenteerde bedrijfsprocessen op te stellen die voorzien in het naleven van de rechten van de betrokkene (het recht op inzage, afschrift, gegevenswissing, rectificatie, beperking van de verwerking, kennisgeving, overdraagbaarheid).

VERPLICHTINGEN BIJ GEDEELDE VERANTWOORDELIJKHEID VOOR VERWERKING

 Wanneer er sprake is van een gezamenlijke verantwoordelijkheid, dan zullen de respectievelijke verantwoordelijkheden van de zelfstandige thuisverpleegkundige en eventuele gezamenlijke verwerkingsverantwoordelijken op een transparante wijze worden beschreven. Hieronder verstaan we ook de uitoefening van de rechten van de betrokkene en de respectieve verplichtingen inzake het verstrekken van informatie. 


Dit zal worden opgenomen in de onderlinge regeling tussen de zelfstandige thuisverpleegkundige en de medeverantwoordelijke(n). In deze regeling zal duidelijk blijken welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding is met de betrokkenen. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld. We zullen hierbij rekening houden dat, ongeacht deze regeling, de betrokkene zijn rechten kan uitoefenen bij iedere verwerkingsverantwoordelijke.


De zelfstandige thuisverpleegkundige zal aan alle verplichtingen voldoen voor de verwerkingsprocessen waarvoor zij in deze situatie de verantwoordelijkheid draagt.

VERPLICHTINGEN VAN DE ZELFSTANDIGE THUISVERPLEEGKUNDIGE ALS VERWERKER

In geval van verwerkingen waarbij de zelfstandige thuisverpleegkundige verwerker (en geen verwerkingsverantwoordelijke), is het bijstand verlenen verplicht aan de verwerkingsverantwoordelijke.

Zo dient de verwerker de verwerkingsverantwoordelijke zonder onredelijke vertraging te informeren zodra hij kennis heeft genomen van een inbreuk in verband met de persoonsgegevens. Tevens dient de verwerker er zich in een verwerkersovereenkomst toe te verbinden om de verwerkingsverantwoordelijke waar nodig bij te staan bij de verdere afhandeling van de meldingsprocedure (door bv. informatie te verstrekken over de feiten omtrent het incident) en moet hij de nodige maatregelen nemen op niveau van gegevensbeveiliging om het incident te verhelpen.

Daarnaast staat de zelfstandige thuisverpleegkundige de verwerkingsverantwoordelijke bij in het naleven van de rechten van de betrokkene en bij vragen van de verwerkingsverantwoordelijke met het oog op het uitvoeren van een gegevensbeschermingseffectenbeoordeling.

Ingeval de zelfstandige thuisverpleegkundige optreedt als verwerker, zal het de noodzakelijke bijdrage leveren aan de beveiliging van de verwerking en zal het een register van verwerkingsactiviteiten aanleggen vanuit de rol van verwerker. Het toezicht van de DPO zal ook van kracht zijn op de verwerkingsactiviteiten waarvoor de zelfstandige thuisverpleegkundige als verwerker optreedt.

GEGEVENSBESCHERMING EN INFORMATIEVEILIGHEID

ONDERSCHEID GEGEVENSBESCHERMING EN INFORMATIEVEILIGHEID

Informatieveiligheid is een belangrijk onderdeel binnen gegevensbescherming, beiden zijn echter wel degelijk verschillend.

Gegevensbescherming omvat alle aspecten zoals benoemd in de GDPR/AVG over de wijze waarop persoonsgegevens mogen worden verwerkt. Het betreft in feite de principes zoals deze ook benoemd zijn in dit hoofdstuk. Een onderdeel hiervan is de beveiliging van de gegevens, maar gegevensbescherming is dus breder dan enkel het beveiligen van gegevens.

Informatieveiligheid betreft de beveiliging van alle soorten informatie binnen een organisatie, waaronder persoonsgegevens. Dit is waar informatieveiligheid relevant is voor gegevensbescherming, en waar de twee elkaar ontmoeten: informatieveiligheid omvat het beveiligen, naast alle andere informatie, van persoonsgegevens en gegevensbescherming omvat dan weer alle aspecten rond de omgang met persoonsgegevens, waaronder de beveiliging.

DOELSTELLINGEN VOOR INFORMATIEVEILIGHEID

Beheer bedrijfsmiddelen: De zelfstandige thuisverpleegkundige beheert een overzicht van alle in gebruik zijnde bedrijfsmiddelen en wie deze in gebruik heeft, het betreft voornamelijk laptops.

Logische toegangscontrole:

  • Authenticatiegegevens voor informatieverwerkende systemen (bv. gebruikersnaam en wachtwoord) zijn persoonlijk en dienen niet doorgegeven te worden.
  • Gebruikers hebben de verantwoordelijkheid om op een veilige manier om te gaan met authenticatiegegevens zoals wachtwoorden en zijn hiervan op de hoogte gebracht door de zelfstandige thuisverpleegkundige
  • Het toekennen van authenticatiegegevens gebeurt op een veilige manier waarbij, voor systemen die dit ondersteunen, gebruikers zelf hun wachtwoord wijzigen na toekenning.

Cryptografie: De zelfstandige thuisverpleegkundige heeft haar website beveiligd met een https-verbinding, en heeft alle mobiele informatieverwerkende systemen (laptops) voorzien van full disk encryption.

Fysieke veiligheid & bescherming van de omgeving: Camerabewaking is voorzien bij alle toegangswegen. Alarmen zijn voorzien, zowel bij de burelen als bij het archief. Er is een automatische schermvergrendeling actief op de werkstations van de medewerkers. Medewerkers worden geacht geen onnodige gegevens (op papier dan wel digitaal) op hun werkplek achter te laten.

Operationele veiligheid: Back-ups zijn voorzien door de externe dienstverlener. Logging in de applicaties is voorzien. Monitoring van servers vindt plaats door de externe dienstverlener. Antivirus, firewall, spamfilter zijn voorzien. Updates & patching worden uitgevoerd door de externe dienstverlener, zowel voor werkstations als voor de server.

Communicatieveiligheid: 

  • Netwerk is aangelegd en onderhouden door de externe dienstverlener en voorzien van een firewall inclusief spamfilter. Er is een wifi beschikbaar maar dit is niet verbonden met het kantoornetwerk.
  • Voor e-mail beschikt het kantoor over een eigen Exchange server die in onderhoud is bij de externe dienstverlener.

Ontwikkeling en onderhoud van systemen: De zelfstandige thuisverpleegkundige ontwikkelt zelf geen software en maakt gebruik van de software van de externe dienstverlener die in het kader van de verwerkersovereenkomst gehouden is aan het voldoende beveiligen van de gebruikte software.

Leveranciersrelaties: Toegang van leveranciers tot informatie of informatieverwerkende systemen van de zelfstandige thuisverpleegkundige zal beperkt zijn tot hetgeen de leverancier nodig heeft voor de invulling van het contract of de gemaakte afspraken. De gemaakte afspraken bevatten gepaste organisatorische en technische maatregelen ter beveiliging, waar nodig vastgelegd in een verwerkersovereenkomst

Beheer van informatieveiligheidsincidenten: De zelfstandige thuisverpleegkundige beschikt over een procedure voor veiligheidsincidenten en inbreuken t.a.v. de GDPR.

Informatieveiligheidsaspecten van bedrijfscontinuïteitsbeheer: Noodzakelijke maatregelen rond bedrijfscontinuïteit zijn genomen door de externe dienstverlener en als dusdanig opgenomen in het contract en benoemd in een audit die is uitgevoerd in x 2018.

Naleving: 

De zelfstandige thuisverpleegkundige heeft verantwoordelijkheden toebedeeld om ervoor te zorgen dat alle wettelijke, contractuele, en regelgevende kaders bekend zijn en dat de zelfstandige thuisverpleegkundige hieraan voldoet. De zelfstandige thuisverpleegkundige draagt er zorg voor dat enkel legale software gebruikt wordt en dat deze enkel wordt aangeschaft bij erkende verkopers. Waar nodig zijn voldoende licenties beschikbaar voor het aantal gebruikers van gegeven software.

De zelfstandige thuisverpleegkundige beheert een fysieke opslagruimte voor het bewaren van de noodzakelijke registraties, bijvoorbeeld in verband met de boekhouding, contracten of uitzendkrachten.


Gezamenlijke verwerkingsverantwoordelijken: wanneer een natuurlijke of rechtspersoon samen met een andere natuurlijke of rechtspersoon optreedt als verwerkingsverantwoordelijke. Het is daarbij niet vereist dat de invloed van beide verantwoordelijken evenwaardig is of dat elk van hen in staat is om op zichzelf te voldoen aan de verplichtingen van de Algemene Verordening Gegevensbescherming. Determinerend is dat ze beiden een beslissingsbevoegdheid hebben, ook al is dit niet in dezelfde mate en hebben ze niet dezelfde toegang tot de persoonsgegevens op zich.

Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Medewerkers binnen het Gerechtsdeurwaarderkantoor worden niet als verwerkers beschouwd.

Informatieveiligheid: Informatieveiligheid omvat het geheel van technische en organisatorische maatregelen die ervoor zorgen dat een door het veiligheidsbeleid vooropgesteld veiligheidsniveau wordt nagestreefd. Hierbij staat de integriteit, de beschikbaarheid en de vertrouwelijkheid van de gegevens centraal. Onder de term “beheersmaatregel” dienen alle maatregelen verstaan te worden met betrekking tot het beleid, procedures, richtlijnen, werkwijzen en organisatiestructuren. Deze maatregelen kunnen zowel administratief, technisch, beheersmatig als juridisch van aard zijn.

Gegevensbescherming: Gegevensbescherming bepaalt en streeft de naleving na van de regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens, zoals deze worden bepaald in de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 en de andere regelgevingen die criteria vastleggen die betrekking hebben op de verwerking van deze persoonsgegevens.

Functionaris voor Gegevensbescherming of Data Protection Officer (DPO): een expert die toeziet op de naleving van de Verordening Gegevensbescherming binnen de instelling en die de verwerkingsverantwoordelijke hierin adviseert en bijstaat.

Gegevensbeschermingsautoriteit: De Gegevensbeschermingsautoriteit is verantwoordelijk voor het toezicht op de naleving van de grondbeginselen van de bescherming van de persoonsgegevens.


ANNEX: BEGRIPPENKADER

Doorheen deze beleidstekst worden verschillende begrippen gebruikt uit het wetgevend kader voor gegevensbescherming en informatieveiligheid. Zij worden hierna kort toegelicht.

Verordening Gegevensbescherming (GDPR): de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. Deze Verordening treedt op 25 mei 2018 in werking. Deze Verordening wordt vaak ook GDPR genoemd (General Data Protection Regulation). Recent wordt ook gebruik gemaakt van de term AVG (Algemene Verordening Gegevensbescherming)

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (en dus geen rechtspersoon). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Ook gepseudonimiseerde gegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, zijn dus persoonsgegevens. Anonieme gegevens, die op geen enkele wijze nog kunnen worden gelinkt aan een persoon, vallen niet onder de Verordening Gegevensbescherming.

Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon van wie gegevens worden verwerkt.

Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.