NEN7510 Tooling van TrustBound is flexibel en toegankelijk
Verrassend doordacht
Eenvoudig de controle krijgen en houden over informatiebeveiliging en privacy in jouw zorginstelling? TrustBound is de toolkit voor organisaties die zowel aan de NEN 7510 als de Europese wetgeving met betrekking tot informatiebeveiliging en privacy moeten voldoen.
Waarom onze NEN7510-tooling?
- Verbetert samenwerking tussen afdelingen.
- Verrassend doordachte functionaliteit.
- Ondersteunt NEN 7510, NEN 7512, NEN 7513, AVG én meer.
- Wij staan voor je klaar en helpen waar nodig.
- Vertrouwd door meer dan 1000 professionals.
Deze zorginstellingen vertrouwen al op TrustBound GRC
AVG-privacywet in de zorg
De Algemene Verordening Gegevensbescherming (AVG) is een privacywet die sinds mei 2018 van kracht is in de Europese Unie. In het zorgproces eist de AVG terecht aandacht voor de bescherming van persoonlijke gegevens van patiënten en medische professionals. Zorginstellingen moeten de gegevens goed beveiligen, de betrokkenen informeren over de verwerking van hun gegevens en zo nodig toestemming vragen voor het delen van gegevens met derden. Dit wordt bijgehouden in het register van verwerkingen van persoonsgegevens. Zo heeft de aangesteld Functionaris voor Gegevensbescherming een middel om toezicht te houden. Niet-naleving van de AVG kan leiden tot aanzienlijke boetes en reputatieschade voor zorginstellingen.
Waarom zijn privacy en gegevensbescherming zo relevant in de zorg?
Binnen de zorgsector worden veel medische gegevens verwerkt, bijvoorbeeld in patiëntendossiers. Vanwege de bijzondere aard van deze gegevens worden ze in de Algemene Verordening Gegevensbescherming (AVG) aangemerkt als 'bijzondere persoonsgegevens', die je niet zonder meer mag verwerken. Er zijn strenge eisen voor de verwerking van deze gegevens en ook het uitvoeren van een DPIA veelal wenselijk.
NEN 7510 tool voor inzicht en verantwoording
De verschillende verplichtingen, uit zowel de NEN 7510 als de AVG, voor het werken met medische gegevens brengen gevoelsmatig veel (administratieve) lasten met zich mee. Een belangrijk onderdeel van een NEN-compliant beveiligingsbeleid is dat een organisatie moet aantonen dat daadwerkelijk aan deze verplichtingen wordt voldaan. Hiervoor is niet alleen vereist dat aantoonbaar is waarvoor gegevens gebruikt worden, maar ook op welke manier ze beveiligd en beschermd worden - en bij wie de verantwoordelijkheid voor de beheersing en controle ligt.
Hoe houd je binnen een organisatie zicht op alle interne afspraken én de naleving hiervan? In TrustBound GRC ondersteunt je administratie om zowel je collega's op efficiënte wijze te begeleiden, als de verantwoording naar interne en externe toezichthouders realtime te regelen.
Zo helpt TrustBound GRC je met de implementatie van passende organisatorische en technische maatregelen om aan de verplichtingen te voldoen.
Stap 1: Inzicht
De eerste stap is om inzicht te krijgen in wat jouw organisatie precies met persoonsgegevens doet. Een organisatie is doorgaans op grond van de AVG verplicht om een actueel verwerkingsregister bij te houden van alle verwerkingsactiviteiten. TrustBound GRC biedt een verwerkingsregister waarin alle verplichtingen uit de AVG (zoals doeleinden en grondslagen) opgenomen zijn.
Bovendien beschikt TrustBound GRC over een uitgebreide template voor zorginstellingen. Dit is een volledig ingerichte TrustBound omgeving, met daarin een set algemene voorbeeldverwerkingen en set verwerkingen die voortkomen uit de zorgsector.
Zo beschik je niet alleen over een voorbeeld van een juist verwerkingsregister, maar wordt er ook een hoop werk uit handen genomen doordat je verwerkingen kunt overnemen in jouw eigen register.
Stap 2: Risico's en maatregelen
Wanneer je als team van Information Security Officer (CISO) en Functionaris Gegevensbescherming (FG) duidelijk voor ogen hebt wat jouw organisatie met gegevens doet, kun je privacy compliance inzetten voor de verbetering van de kwaliteit binnen de organisatie. Hiertoe behoort het inschatten van de risico's die de verwerkingen van (medische) gegevens van patiënten/cliënten met zich mee kunnen brengen.
Vervolgens worden maatregelen gekozen om de risico's in de beveiliging van de gegevens zo veel mogelijk te beperken. TrustBound GRC helpt bij het inzichtelijk en overzichtelijk maken van deze risico's en maatregelen en het uitvoeren van een DPIA/PIA/Risicoanalyse.
Aan de hand van de norm NEN 7510 kies je de passende maatregelen bij jouw plan van aanpak.
Stap 3: Beheer
Met het administreren van activiteiten in verwerkingen, het identificeren van risico's en het implementeren van maatregelen is al een grote stap gemaakt richting een compleet privacybeleid. Van belang is dat het om een doorlopend proces gaat: enkel het toewijzen van taken op basis van maatregelen is niet voldoende. Je richt een proces in voor het vastleggen van veranderingen die binnen de organisatie plaatsvinden en speelt hierop in. Bovendien vinden er ook regelmatig wijzigingen plaats in de regelgeving waar je als CISO en FG/PO van op de hoogte dient te zijn. Kortom, ook het beheer van het privacybeleid is een brede activiteit en kan zorgen dat het overzicht verloren gaat.
Binnen TrustBound GRC speelt ook het toezicht een belangrijke rol. In de software wordt gezamelijk bijgehouden wat de status is van een bepaalde verwerking en de beheersing van de risico's. Hierbij gaat het onder meer om wie er verantwoordelijk is voor de te nemen maatregelen en of deze maatregelen daadwerkelijk zijn uitgevoerd. Via de chatfunctie kunnen medewerkers onderling afstemmen hoe met een maatregel aan de slag te gaan.
NEN 7510 als leidraad
TrustBound biedt volledige ondersteuning voor NEN 7510 en laat jou de maatregelen uit de norm koppelen aan de kennis die je in het kader van de AVG hebt verzameld. Zo is het register van verwerkingen niet een opzichzelfstaande activiteiten, maar integraal verbonden met het beheer van de informatiebeveiliging.
Complete werkomgeving
Door gebruik te maken van het template voor zorginstellingen en met de ingebouwde NEN 7510 normenkaders wordt jou een hoop werk uit handen genomen en behoud je het overzicht van het privacy- en informatiebeveiligingsbeleid van de organisatie.