woensdag 10 juni 2020

Nieuwe cliëntrechten per 1 juli 2020. Hoe zit het ook alweer met de AVG?

De privacy van onze cliënten is een groot goed. In Pluriform Zorg worden gegevens opgeslagen van de cliënt, de mantelzorger, maar ook van betrokken medewerkers en vrijwilligers. Hun privacy willen we goed bewaken. Het is alweer 2 jaar geleden dat de AVG van kracht werd. Daarnaast zijn er regels vastgelegd in andere wetten, zoals de Wet geneeskundige behandelovereenkomst (WGBO) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). In het kader van deze laatstgenoemde wet treden er per 1 juli 2020 enkele nieuwe rechten in werking voor cliënten. Een goede aanleiding om weer even stil te staan bij de privacy van de cliënt.
 
Hoe zit het ook alweer met de AVG? Kort gezegd kent de AVG vijf uitgangspunten:
 
1. Transparantie
2. Doelbinding en dataminimalisatie
3. Juistheid
4. Opslagbeperking
5. Vertrouwelijkheid en integriteit
 
Laten we eens kijken wat deze beginselen ook alweer betekenen, wat het effect is van de nieuwe wetswijzigingen en hoe de functionaliteit van ons ECD Pluriform Zorg daarop is ingericht.
 
1. Transparantie
Transparantie betekent dat cliënten moeten worden geïnformeerd over de verwerking van hun gegevens. Bovendien hebben ze recht op inzage, correctie, verwijdering of afscherming van hun gegevens.‘
 
Middels de functionaliteit voor AVG-verzoeken kan in Pluriform Zorg op verzoek van de cliënt gemakkelijk en snel een kopie worden verstrekt van persoonsgegevens. Ook kunnen gegevens op verzoek worden gewist. Verder maakt deze functionaliteit het mogelijk een export te maken van cliëntgegevens zodat de cliënt deze gegevens kan overdragen naar een andere organisatie (recht op dataportabiliteit). Dit kan ook middels de eOverdracht, de nieuwe standaard om op basis van zorginformatiebouwstenen een dossier over te dragen van zorgorganisatie naar zorgorganisatie.
 
Vanuit de Wabvpz krijgt de cliënt per 1 juli er een tweetal nieuwe rechten bij: 
Het recht op elektronische inzage en afschrift
Met ingang van 1 juli 2020 heeft de cliënt recht op inzage in een afschrift van het elektronisch dossier. Daarnaast kan de cliënt vragen om de gegevens die de zorgaanbieder via een elektronisch uitwisselingssysteem beschikbaar stelt. Het recht op elektronische inzage brengt met zich mee dat zorgaanbieders een systeem moeten hebben dat inzage mogelijk maakt en dat voldoet aan de normen NEN 7510 en NEN 7512.
 
Via het Cliëntportaal van Pluriform Zorg is het al geruime tijd mogelijk om de cliënt inzage te geven in haar elektronisch dossier. Als u als zorgorganisatie dit nog niet heeft ingericht, adviseren we dit zo spoedig mogelijk in te voeren zodat voldaan wordt aan het recht op elektronische inzage en afschrift. Voor hulp hierbij kun u contact opnemen met Adapcare.
 
• Het recht op logging
Per 1 juli 2020 heeft de cliënt recht op een afschrift van de logging: een overzicht van wie bepaalde informatie in het systeem beschikbaar heeft gesteld en wie informatie heeft ingezien of opgevraagd en op welke datum dat was. De logging moet op grond van artikel 5 lid 1 Begz voldoen aan de norm NEN 7513.
 
Ook op het gebied van logging voldoet Pluriform Zorg aan de norm. De cliënt of zijn wettelijk vertegenwoordiger in Pluriform Zorg zien welke verantwoordelijken, teams en disciplines toegang tot zijn dossiergegevens hebben. Ook kan de cliënt opvragen welke medewerkers zijn dossier daadwerkelijk geopend hebben, de ‘raadpleeglogs’. Bij twijfel of dat rechtvaardig was kan de cliënt via het cliëntportaal een vraag stellen aan zijn EVV’er of persoonlijk begeleider.  
 
2. Doelbinding en dataminimalisatie
‘Persoonsgegevens betreffen alle informatie over natuurlijke personen en mogen alleen worden verwerkt voor helder omschreven en gerechtvaardigde doeleinden. Dataminimalisatie betekent dat alleen die gegevens verwerkt mogen worden die noodzakelijk zijn om het vastgestelde doel te verwezenlijken.’
 
Het cliëntdossier in Pluriform Zorg is volledig gericht op het vastleggen van gegevens op basis van de hulpvraag van de cliënt. Doordat het cliëntplan centraal staat, wordt geborgd dat alleen gegevens worden ingevoerd die bijdragen aan het doel in dit plan. Een cliënt kan meerdere zorgpaden doorlopen bij dezelfde zorginstelling, met allemaal hun eigen gegevens. Uiteraard zijn deze gegevens alleen inzichtelijk voor die medewerkers die bij een traject van de cliënt  betrokken zijn, daarover meer onder het kopje vertrouwelijkheid en integriteit. 
 
3. Juistheid
‘Het beginsel van juistheid betekent dat er geborgd moet worden dat gegevens juist zijn en actueel blijven.’
 
Pluriform Zorg gaat uit van het principe eenmalige invoer en registratie bij de bron. Gegevens worden maar één keer opgeslagen en worden waar nodig middels verwijzingen op andere schermen getoond. Hierdoor wordt de opslag van gegevens beperkt (dataminimalisatie). Voordeel is ook dat bij onjuistheid of wijziging van gegevens, deze slechts op één plaats hoeven te worden aangepast, waardoor het gemakkelijker is om informatie juist en up-to-date te houden en aan het beginsel van juistheid te voldoen. Daarnaast worden bij het aanmaken en wijzigen van gegevens allerlei controles uitgevoerd op juistheid.
 
4. Opslagbeperking
‘Gegevens mogen niet langer worden bewaard dan voor het doel noodzakelijk. Bewaartermijnen moeten helder zijn en worden nageleefd.’
 
Het is van belang om als zorgorganisatie de wettelijke bewaartermijnen te vertalen naar een eigen beleid hoe lang gegevens nodig zijn voor het doel waarvoor ze zijn vastgelegd. Na het verstrijken van deze termijnen, kunnen deze vanuit het verwerkingsregister in Pluriform Zorg geanonimiseerd worden. Ook is er functionaliteit om gegevens die al eerder niet meer nodig zijn, zoals cliëntafspraken, op te schonen in Pluriform Zorg. 
 
5. Vertrouwelijkheid en integriteit
‘Toegang tot persoonsgegevens is alleen toegestaan als je een behandelrelatie hebt met een cliënt en/of wanneer je rol dit nadrukkelijk vereist. De gegevens moeten goed beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.’
 
Pluriform Zorg biedt uitgebreide functionaliteit om er voor te zorgen dat de juiste teams en disciplines betrokken zijn bij de cliënt en dat de medewerkers niet meer mogen zien van het cliëntdossier dan nodig is voor hun betrokkenheid bij de cliënt. Dit autorisatiemodel is één van de basisprincipes waarop de architectuur van Pluriform Zorg gebaseerd is. De AVG noemt dit “privacy by design”.
 
De Pluriform-database is versleuteld zodat toegang tot gegevens alleen mogelijk is door in te loggen op het systeem via Two factor authentication (2FA). Bestanden kunnen rechtstreeks in de database van Pluriform Zorg worden opgeslagen waarvoor hetzelfde autorisatiemodel van toepassing is. Een alternatief voor het opslaan van bestanden is onze koppeling met Microsoft Onedrive en de Google G Suite. Bijzonder aan Google is dat Pluriform Zorg de autorisatie van de bestanden overneemt waardoor deze alleen nog maar vanuit het cliëntdossier toegankelijk zijn. Dit verkleint het risico op een datalek. 
 
Op het niveau van infrastructuur heeft Adapcare diverse maatregelen getroffen om de beveiliging te waarborgen: 
  • Certificering van onze processen volgens de normen ISO 27001 voor informatiebeveiliging en NEN 7510 voor informatiebeveiliging in de Zorg.
  • Inloggen middels Two Factor Authentication (2FA)
  • Al het verkeer met de browser is beveiligd via het https-protocol.
  • Koppelingen met externe systemen lopen via een beveiligde VPN-tunnel.
  • Een jaarlijkse penetration test op de infrastructuur van zowel Pluriform Zorg als de SaaS-omgeving, zodat  eventuele zwakheden vroegtijdig in beeld zijn en tijdig maatregelen genomen worden.

Meer weten over informatiebeveiliging?
Lees ook onze Whitepaper informatiebeveiliging (download in onderstaand blok). 

Meer weten?

Download de Whitepaper

Informatiebeveiliging

Wij gaan zorgvuldig om met jouw gegevens. In onze privacyverklaring lees je hier meer over.