Zes onderdelen van AVG-compliancy in de zorg

blog

Zes onderdelen van AVG-compliancy in de zorg

Veel zorgorganisaties worstelen met de AVG. Deze wet stelt onder meer dat organisaties inzichtelijk moeten hebben wie toegang heeft tot welke persoonsdata en wat zij met die data doen. De AVG vraagt veel organisatorische maatregelen, maar gelukkig is een groot deel ook af te dwingen met techniek. Zes onderdelen waar Identity Access Management (IAM) bij kan helpen.

Door: Nick van ’t Schip, Avit Group

1. Controleer de toegang tot data

IAM regelt wie wanneer toegang krijgt tot welke data in welke applicaties. Dit geldt voor alle data, en daarmee ook voor data over patiënten en cliënten. Breng eenmalig in kaart hoe de organisatie omgaat met persoonsdata en welke systemen daarvoor worden gebruikt, en regel daarna blijvend welke medewerkers welke data mogen inzien.

2. Leg vast wat er gebeurt

De AVG stelt dat u in geval van een datalek moet kunnen aantonen wie in uw organisatie toegang heeft gehad tot welke persoonsdata. Daarom is het essentieel om te loggen wat er allemaal met persoonlijke data gebeurt. IAM maakt dergelijke logbestanden volautomatisch aan en kan deze ook analyseren, zodat u beter inzicht krijgt in wie wanneer welke persoonsdata raadpleegt.

3. Ontwerp vanuit Privacy by Design

De AVG stelt dat iedere organisatie bij het ontwerpen van producten en diensten ervoor moet zorgen dat de toegang tot persoonsgegevens goed wordt beschermd. Dit wordt Privacy by Design genoemd. Een IAM-tool waarborgt dit.

4. Blokkeer data eenvoudig

In de AVG gaat de wettelijke bewaarplicht boven ‘het recht van klanten om vergeten te worden’. Maar als patiënten daarom vragen, wilt u hun gegevens wel blokkeren zodat ze niet langer door uw medewerkers kunnen worden ingezien. In een handmatige werkwijze is dit vrijwel onmogelijk. Hoe beter de werkprocessen worden geautomatiseerd, hoe makkelijker het is om hier beleidsregels op toe te passen. IAM kan hier een rol in spelen.

5. Beveilig de verwerking

In vrijwel iedere zorgorganisatie hebben externe partijen toegang tot persoonsgegevens, of het nu gaat om een voedingsleverancier die moet weten welke dieeteisen patiënten of cliënten hebben of om een SaaS-applicatie waarin patiënt- of cliëntdata staan. De AVG spreekt dan van een verwerker. De verwerker heeft belang bij de beschikbaarheid van data, de wet gaat over de vertrouwelijkheid ervan. Op het eerste oog zijn die twee tegenstrijdig aan elkaar. Immers, hoe breder data beschikbaar is, hoe moeilijker het wordt om de vertrouwelijkheid te regelen. Tenzij u de hele keten overziet en ervoor zorgt dat persoonsdata altijd encrypt worden en via een beveiligde verbinding worden verstuurd. Met IAM kunt u dit regelen.

6. Bescherm privileged gebruikers

IT-beheerders beschikken over de digitale sleutel tot alle systemen, ook tot de Active Directory (AD), en zijn daarom het voornaamste doelwit van hackers. Wie immers de AD binnendringt, heeft plotsklaps de inloggegevens alle gebruikers bij de hand en kan dus bij alle data en systemen. Het is daarom zaak om mensen die toegang hebben tot de AD extra streng te beveiligen. Dat kan met IAM.

Nick van ’t Schip - Avit Group
Nick van ’t Schip - Avit Group

Direct Contact keyboard_arrow_right