Dossier: AVG
Op 25 mei 2018 wordt de Europese privacyverordening algemene verordening gegevensbescherming (AVG) van kracht. Wat betekent dit voor jouw praktijk en voor Orfeus?
Orfeus en de AVG
Elke organisatie in Nederland heeft verplichtingen in het kader van de AVG. Jij als verloskundige, en wij als Orfeus.
In de terminologie van de AVG ben jij verwerkingsverantwoordelijke, jouw cliënt de betrokkene, en is Orfeus de verwerker.
Orfeus kan jouw verantwoordelijkheden als verwerkingsverantwoordelijke niet overnemen, maar Orfeus als verwerker biedt wel harde garanties wat betreft de bescherming van de gegevens in jouw zwangerschapsdossiers (zie NEN 7510-certificering).
Bovendien ontzorgen we je met een op maat gemaakte verwerkersovereenkomst.
Veelgestelde vragen
Dagelijks krijgen we vragen van praktijken over de invoering van de AVG. “Wat betekent de AVG voor mijn praktijk?”, “Moet ik een verwerkersovereenkomst tekenen met Orfeus?”, “Voldoe ik met Orfeus automatisch aan alle eisen die de AVG stelt?”.
We hebben de antwoorden op veelgestelde vragen voor je op een rij gezet.
Zit ik bij Orfeus veilig als de AVG in werking treedt?
Orfeus is NEN 7510-gecertificeerd. Dat betekent dat wij voldoen aan de landelijke normen voor informatiebeveiliging in de zorg.
Dat wil niet zeggen dat je automatisch klaar bent voor de AVG. Als verwerkingsverantwoordelijke zijn er diverse verplichtingen waar je aan moet voldoen.
Lees hierover meer op knov.nl en autoriteitpersoonsgegevens.nl
Moet ik met Orfeus een verwerkersovereenkomst aangaan?
Ja. Het sluiten van een verwerkersovereenkomst is een gezamenlijke verantwoordelijkheid van de verwerkingsverantwoordelijke (jij) en de verwerker (Orfeus).
Momenteel heb je al een bewerkersovereenkomst met Orfeus. Met de nieuwe wet wordt dit document uitgebreid tot een verwerkers-overeenkomst om aan de eisen van de AVG te voldoen.
Orfeus heeft al haar klanten vrijdag 18 mei een link gemaild met de nieuwe verwerkersovereenkomst. Deze vervangt de huidige bewerkersovereenkomst per 25-5-2018. De ondertekening van de verwerkersovereenkomst verloopt geheel digitaal. In dezelfde mail staat ook een link naar andere AVG-relevante info voor gebruikers van Orfeus.
Bewaartermijn: verwijdert Orfeus automatisch dossiers na 20 jaar?
Nee. Als praktijk ben je zelf verantwoordelijk voor het tijdig verwijderen van de gegevens in de medische dossiers van je cliënten.
Een automatische verwijdering van medische dossiers na 20 jaar (gerekend vanaf welke datum?) kan en mag een verwerker niet op zich nemen.
Heeft Orfeus een protocol voor datalekken?
Ja. Dit is een intern protocol datalekken waarmee we zorgen dat jij bij een door ons veroorzaakt datalek in Orfeus Online zo snel en volledig mogelijk wordt geïnformeerd.
Meer informatie over wat we doen bij een datalek kun je vinden in de verwerkersovereenkomst die we je ter ondertekening toegezonden hebben.
Je hebt zelf ook een protocol datalekken nodig, omdat jij uiteindelijk verantwoordelijk bent voor de melding aan de Autoriteit Persoonsgegevens (AP).
Mag ik nog medische informatie mailen nadat de AVG-wet in is gegaan?
Het versturen van medische informatie via e-mail raden wij af. Je bent namelijk nooit helemaal zeker of je bericht bij de juiste persoon terecht komt. Er zijn veilige alternatieven voor e-mail.
Zo is het bijvoorbeeld beter om je clienten te laten inloggen in de Orfeus Zwanger! app dan om ze per e-mail een rodebandkaart te sturen. Voor het veilig uitwisselen van informatie met de 2e lijn is er Orfeus Euridice.
Je bent als praktijk zelf verantwoordelijk voor het maken van deze afweging.
Voert Orfeus een DPIA uit omdat er gevoelige data worden verwerkt?
De eerstverantwoordelijkheid voor een DPIA op de medische dossiergegevens ligt bij jou als verwerkersverantwoordelijke (verloskundige). Orfeus zal jou bij het uitvoeren van een DPIA wel ondersteunen en de gewenste informatie verstrekken.
Orfeus voert in het kader van NEN7510 jaarlijks een integrale risicoanalyse uit om de beveiligings- en privacyrisico’s scherp in beeld te hebben en eventueel aanvullende maatregelen te nemen. Onder die risicoanalyse vallen de medische dossiergegevens in Orfeus Online.
Laatste nieuws over beveiliging en de AVG
NEN7510:2017 certificering Orfeus succesvol verlengd
Orfeus is wederom met succes door de controle-audit van Digitrust B.V. gekomen. Hiermee is onze certificering per 31-08-2019 opnieuw met een jaar verlengd. We gaan met deze certificering nu alweer het derde jaar in. De certificering toont aan dat de werkwijze en...
Nieuwe AVG helpdesk voor de zorg
De meeste zorgverleners en sociaalwerkorganisaties zijn volop aan de slag met de implementatie van de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). Via de koepelorganisaties is hierover al de nodige informatie verspreid: artikelen,...
Orfeus voldoet nu ook aan de nieuwe NEN7510:2017
Orfeus is sinds augustus 2017 gecertificeerd conform NEN7510. In december 2017 werd door de NEN een nieuwe versie van de norm uitgebracht, de NEN7510:2017. Op 31 augustus 2018 heeft Orfeus ook voor deze nieuwe versie van de NEN7510 certificaat ontvangen. Als klant van...