Fysiotherapiepraktijken moeten patiëntgegevens en gegevens van werknemers goed beveiligen. Dit betekent veel meer dan alleen een gecertificeerd EPD. Waar moet je aan denken als het gaat om informatiebeveiliging?
Het KNGF geeft veel informatie over informatiebeveiliging. De volgende punten zijn belangrijk om over na te denken:
Informatiebeveiliging onderdeel van je kwaliteitssysteem
Bespreek informatiebeveiliging regelmatig in het team. Zorg dat iedereen verbeterpunten kan opperen en dat deze worden opgepakt en teruggekoppeld. Maak duidelijk afspraken en procedures over hoe je in de praktijk veilig omgaat met informatie.
AVG stappenplan
De meeste gegevensverwerkingen in de zorg zijn voldoende geregeld in de wet. Toestemming vragen is dan niet nodig. De AVG vereist alleen toestemming als er geen andere grondslag is om gezondheidsgegevens te verwerken. Voor deze toestemming gelden strenge eisen. Er bestaat soms verwarring over het vragen van toestemming. Dit komt namelijk voor in de AVG en in andere wetten.
Gebruik de AVG tool van het KNGF om met een stappenplan aan de slag te gaan. Denk aan vragen zoals:
- Moet jouw praktijk een Functionaris Gegevensbescherming hebben?
- En wat doe je bij een datalek?
Fysieke beveiliging
Veiligheid gaat niet alleen maar digitaal. Het gaat ook om gegevens die je bijvoorbeeld op een notitieblok noteert. Daarnaast is het belangrijk dat je de huiste opstelling en inrichting binnen de praktijk hebt. Een opstelling kan op zo’n manier zijn dat iemand die daar niet toe bevoegd is kan meekijken op een scherm. Denk aan de volgende vragen:
- Welke beveiligingseisen stel je aan het pand en de ruimtes waar patiënten komen?
- Hoe zorg je dat papieren verwijzingen niet in verkeerde handen vallen?
- Is er genoeg privacy bij de ontvangstbalie?
- Kunnen telefoongesprekken met patiënten voldoende privé gevoerd worden?
Hoe kies je de juiste software partner?
Denk goed na aan welke voorwaarden je nieuwe leveranciers van systemen moeten voldoen. Voor je in zee gaat met een leverancier is het handig om op een rij te hebben waar ze aan moeten voldoen. Er is een strikte wet- en regelgeving als het gaat om software in de zorg. Een EPD-systeem moet aan allerlei vereisten voldoen. Daarnaast zijn er verplichte certificeringen die de software leverancier moet hebben. Jij bent als praktijkhouder verantwoordelijk voor het gebruik van de juiste software. Je kunt bijvoorbeeld de volgende vragen stellen:
- Hoe wordt welke informatie opgeslagen?
- Hoe wordt informatie uitgewisseld?
- Wie heeft waar inzicht in?
- Wordt de data in Nederland, Europa of Amerika opgeslagen?
- Wat mag je van je leverancier verwachten als het systeem niet werkt?
- Welke certificeringen heeft je EPD leverancier?
Voorwaarden EPD leverancier:
Je EPD moet aan strenge voorwaarden voldoen. We hebben hier een aantal voorwaarden op een rijtje gezet:
- KNGF richtlijn dossiervoering
- Bewaarplicht medische dossiers
- Logging (bijhouden wie in het dossier kijkt)
- Informatiebeveiligingseisen
- Elektronische inzage
- Elektronisch afschrift
- Noodzakelijke koppelingen, zoals Vecozo
Lees hier meer over de voorwaarden van het EPD.
Wat doe je met startende en stoppende medewerkers?
Bedenk goed welke afspraken je maakt met startende en stoppende medewerkers. Leg het vast zodat iedereen weet waar hij aan toe is. Zorg dat accounts worden uitgeschakeld als mensen vertrekken.
Veilig mailen
Persoonlijke gezondheidsgegevens moet je altijd beveiligd verzenden. Wist je dat een afspraakbevestiging al een bericht is met persoonlijke gezondheidsgegevens? Zorg dat je hiervoor een mailprogramma hanteert wat gecertificeerd is voor veilig berichtenverkeer (NEN7516). Wil je veilig mailen, moet je zelf ook aan een aantal zaken voldoen.
EPD Toegangscontrole (two-factor-authenticatie)
Om in te loggen op je EPD moet je minimaal gegevens invoeren uit twee verschillende bronnen (twee factor authenticatie). Alleen een gebruikersnaam en wachtwoord zijn dus niet voldoende! De meeste EPD’s bieden deze functie. Controleer hoe dit gaat bij je leverancier en stel dit in als je dat nog niet hebt gedaan. Hoe kunnen fysiotherapeuten en patiënten bij hun gegevens op de telefoon? Maakt je EPD bijvoorbeeld gebruik van Face ID of vingerafdruk?
Bijhouden wie in het dossier kijkt (logging)
Je bent verplicht om bij te laten houden wie in het medisch dossier van de patiënt kijkt (NEN7513). Jij en je patiënt moeten dit kunnen achterhalen. Dit wordt ‘logging’ genoemd en moet de EPD leverancier doen. Lees op de pagina over voorwaarden aan je EPD meer over logging.