Online audit zorg Stap 1 van 6 16% Validatiecode*Vul hier de validatiecode in die u heeft ontvangen. Wettelijke verplichtingenHeeft u al een verwerkingsregister opgesteld voor uw organisatie.*Selecteer er eenJaNeeDit register dient actueel te zijn en onder andere een overzicht te bieden van alle verwerkingen die u doet. Hierin moet minimaal ook staan wat het doel en grondslag van de verwerkingen zijn en hoe lang u de gegevens bewaart. Heeft u al een privacyverklaring opgesteld voor uw organisatie.*Selecteer er eenJaNeeU bent verplicht personen te informeren over hoe u met hun gegevens omgaat. Dit gebeurt meestal in een privacyverklaring. Verstrekt u de privacyverklaring standaard aan nieuwe cliënten of personen waarvan u gegevens verwerkt.*Selecteer er eenJaNeeU bent verplicht betrokkenen vooraf te informeren over het doel van de gegevens en hoe u hiermee omgaat. Dit kan door de verklaring te verstrekken of door ernaar te verwijzen op uw website. Heeft u met alle partijen die namens u gegevens verwerken een verwerkersovereenkomst afgesloten?*Selecteer er eenJaNeeEen verwerkersovereenkomst is verplicht voor alle gegevens die u door derden laat verwerken, zoals ICT leveranciers, uw boekhouder of arbodienst. Is uw organisatie ingericht om gehoor te geven aan de AVG rechten van betrokkenen.*Selecteer er eenJaNeeDenk aan het recht van inzage, correctie, overdraagbaarheid en verzet. Cliënten en personeel kunnen hier om verzoeken. Bent u bekend met de diverse wetten die, aanvullend op de AVG, specifieke eisen stellen aan beveilkiging van informatie binnen de zorg?*Selecteer er eenJaNeeBinnen de zorg zijn diverse wetten waarin specifieke maatregelen en eisen zijn opgenomen voor zorgverleners. Weet u wat een DPIA is en wanneer u deze uit moet voeren?*Selecteer er eenJaNeeEen DPIA staat voor Data Protection Impact Assessment en is door de AVG verplicht in bepaalde situaties. DatalekkenKunt u datalekken herkennen?*Selecteer er eenJaNeeNiet alle datalekken zijn hetzelfde en lang niet alle datalekken hoeven te worden gemeld? Kent u het verschil zodat u de juiste actie onderneemt?Heeft u een procedure voor het melden van datalekken?*Selecteer er eenJaNeeIs bijvoorbeeld duidelijke welke stappen u moet doorlopen voor de beoordeling van een datalek, hoe deze moet worden gemeld en binnen welke termijn?Heeft u intern een register aangelegd waarin u (mogelijke) datalekken registreert?*Selecteer er eenJaNeeIn een dergelijk register beschrijft u onder meer de aanleiding, betrokkenen en de maatregelen die u heeft genomen. BewaartermijnenÌs voor u helder welke wettelijke bewaartermijnen gelden voor de diverse persoonsgegevens.*Selecteer er eenJaNeeDenk aan bewaartermijnen van cliëntdossiers, personeelsdossiers, gegevens van klanten en leveranciers, etc. Heeft u voor de overige (niet wettelijke bepaalde) persoonsgegevens bewaartermijnen bepaald?*Selecteer er eenJaNeeDenk aan bewaartermijnen van dossiers waar geen wettelijke termijn voor is bepaald, zoals het reguliere personeelsdossier of contactformulieren op uw website. Hanteert u de vastgestelde bewaartermijnen actief in uw registraties?*Selecteer er eenJaNeeHanteert u de vastgestelde bewaartermijnen actief op alle gegevens die u heeft. Denk daarbij aan zowel papieren als digitale dossiers. Technische maatregelenLogt u in digitale systemen met medische gegevens in met een twee factor authenticatie?*Selecteer er eenJaNeeN.v.tTwee factor authenticatie is een extra beveiligingsmethode voor het inloggen. Naast het gebruik van een inlognaam en wachtwoord moet u b.v. vervolgens nog een sms-code invoeren. Laat u regelmatig back-ups maken van digitale medische dossiers?*Selecteer er eenJaNeeN.v.tGeef aan of van digitale systemen waarin u medische gegevens opslaat periodiek een back-up wordt gemaakt. Hierbij gaat het erom dat u weinig tot geen gegevens verliest, de back-up dient dus op zijn minst dagelijks te zijn. Slaat u gegevens over cliënten altijd op in een beveiligde omgeving zoals een Cloud, of Zorginformatiesysteem.*Selecteer er eenJaNeeKies alleen ja als u gegevens altijd opslaat in een beveiligde (online) omgeving. Indien u ook werkt op lokale gegevensdragers zoals een USB-stick of de harde schijf van uw PC kies dan nee. Denk hierbij niet alleen aan uw eigen opslag maar ook aan die van uw personeel. Heeft u zorgvuldig bepaald wie welke rechten dient te hebben in de diverse systemen die u gebruikt.*Selecteer er eenJaNeeN.v.tDenk hierbij aan digitale systemen die toegang geven tot medische gegevens, persoonsgegevens of overige (vertrouwelijke) organisatiegegevens. Hierbij moet onderscheid zijn gemaakt in diverse rollen en rechten, bijvoorbeeld op basis van een functie. Verzend u wel eens medische of andere persoonsgegevens per mail?*Selecteer er eenJaNeeGeef aan of u wel eens medische gegevens of andere vertrouwelijke of bijzondere persoonsgegevens per mail verzend. Past u logging toe in digitale systemen waarin medische gegevens worden verwerkt.*Selecteer er eenJaNeeN.v.tLogging is het vastleggen van acties in een systeem, bijvoorbeeld inloggen, wijzigen of verwijderen van gegevens. Daarnaast wordt vastgelegd door wie en op welk tijdstip. Als u deze informatie terug kunt vinden is er sprake van logging. Biedt u E-consults (bijvoorbeeld Skype) aan cliënten en gebruikt u hiervoor een versleutelde verbinding?*Selecteer er eenJaNeeN.v.tGeef aan of u voor digitale gesprekken gebruikt maakt van een ICT systeem waarbij alle gegevens versleuteld worden. Bij Skype is dit bijvoorbeeld niet standaard het geval. Maakt u gebruik van betaalde virusscanners op apparatuur die u gebruikt?*Selecteer er eenJaNeeHet gaat hier specifiek om betaalde versies, gratis virusscanners bieden per definitie een minder goede beveiliging. Organisatorische maatregelenHeeft u voor de sleutels tot panden, (dossier)kasten en overige fysieke ruimtes sluitend sluetelbeheer ingericht?*Selecteer er eenJaNeeHeeft u bijvoorbeeld zicht op welke sleutels er in omloop zijn, wie ze in bezit heeft en worden ze ingeleverd als personeel uit dienst gaat?Heeft u binnen uw organisatie een gedragscode opgesteld waarin afspraken staan over het gebruik van gegevens, ICT apparatuur en (on)gewenst gedrag rondom informatieverwerking?*Selecteer er eenJaNeeN.v.tHeeft u een gedragscode opgesteld of bent u daarbij aangesloten die afspraken maakt over hoe uw organisatie met persoonsgegevens en ICT middelen omgaat? Uiteraard kan een gedragscode over veel meer gaan, de vraag is hier of er een duidelijke AVG component in verwerkt is.Bent u bekend met de NEN7510 norm voor informatiebeveiliging en past u hier relevante onderdelen uit toe?*Selecteer er eenJaNeeDe NEN 7510 biedt een set aan maatregelen, specifiek voor de beveiliging van informatie binnen de zorg.
