Spring naar content

Informatiebeveiliging

Patiëntendossiers, medewerkersgegevens, de financiële administratie, werkinstructies en contracten wil je veilig houden. Alle maatregelen die je hiervoor neemt, vallen onder informatiebeveiliging. Bij deze maatregelen weeg je de investering en moeite af tegen het risico van bedreigingen en het nut van de maatregelen. Benieuwd hoe jouw praktijk de informatiebeveiliging kan inrichten? Dit webdossier helpt je op weg.

NHG logo

Geef informatiebeveiliging doorlopend aandacht

Voor een goede aanpak van de informatiebeveiliging in jouw praktijk, ga je aan de slag via het plan-do-check-react-principe. Eerst maak je een plan voor het beleid en het organiseren van de informatiebeveiliging in je praktijk (plan). Vervolgens breng je de risico’s in kaart en neem je de benodigde maatregelen (do). Daarna blijf je alert en stel je bij waar nodig (check en react). Hieronder lichten we elke stap verder toe.

Als zorgverlener ben je de hoeder van de meest gevoelige data die we kennen: persoonlijke medische gegevens. Als praktijkhouder ben je daarnaast ook werkgever en contractpartij. Dat brengt een behoorlijke verantwoordelijkheid met zich mee, zowel vanuit het oogpunt van je medisch beroepsgeheim en de eisen aan het bijhouden van het dossier, als vanuit wet- en regelgeving. Je wilt natuurlijk de omgang met gegevens(bestanden) in je praktijk goed geregeld hebben en daar controle over hebben.

Als je aan de slag gaat met informatiebeveiliging is het goed om te weten dat dit onderwerp drie aspecten kent:

  • integriteit (nauwkeurigheid, volledigheid en consistentie)
  • beschikbaarheid (toegang en continuïteit van systemen)
  • vertrouwelijkheid (privacy, transparantie)

Het is belangrijk om deze drie aspecten en de bijbehorende verantwoordelijkheid te onderkennen en accepteren. Dit betekent overigens niet dat je alles zelf moet doen. Laat je bijvoorbeeld ondersteunen door collega’s/medewerkers, samenwerkingsverbanden (zorggroep, ROS) en/of leveranciers.

Om informatiebeveiliging goed te (laten) organiseren, moet je onder andere weten welke risico’s er zijn in de dagelijkse praktijk. Dit betekent dat je weet wie toegang heeft tot medische data en hoe je beschermd bent tegen cyberaanvallen en onbevoegde toegang tot data. Ook moet je weten of je systemen en koppelingen voldoen aan de wettelijke normen, hoe je zorgt dat je altijd beschikt over een volledig en juist dossier en wat je moet doen als er iets misgaat.

Het hoeft niet altijd ingewikkeld te zijn om met informatiebeveiliging aan de slag te gaan. Enkele eenvoudige maatregelen kunnen de beveiliging al sterk verbeteren. Het streven is om te komen tot een passende set maatregelen die zorgt voor controle en waarbij het mogelijk is om snel te reageren op incidenten. Bijkomend voordeel is dat bij een passende set maatregelen de naleving door medewerkers vanzelfsprekend is.

Als je weet welke risico’s er zijn en hoe je met een passende set maatregelen daarop reageert, heb je de basis gelegd voor informatiebeveiliging. Nu breekt misschien wel de belangrijkste fase aan: zorgen dat je de continue stroom van veranderingen en bedreigingen het hoofd kunt bieden. Hiervoor is het noodzakelijk om periodiek te blijven evalueren en bijsturen. Informatiebeveiliging is namelijk nooit klaar.

Krijg een eerste indruk van de informatiebeveiliging in jouw praktijk

Zoals gezegd is informatiebeveiliging een cyclisch proces dat doorlopend aandacht nodig heeft. De volgende drie scans helpen je op weg om een eerste indruk te krijgen hoe de informatiebeveiliging in jouw praktijk is geregeld en welke verbeteringen je kunt doorvoeren. Vul elke scan in en je krijgt jouw uitkomsten en verbetertips in je mailbox.

Privacy regel je bij voorkeur aan de voorkant: je benadrukt het belang en je zorgt dat alleen bevoegden toegang hebben

In de integriteitsscan kijk je naar de nauwkeurigheid, volledigheid en consistentie van de dossiervorming. Bij integriteit gaat het ook over

Bij het verlenen van zorg aan de patiënt moet de praktijkmedewerker kunnen vertrouwen op relevante informatie uit het dossier. Hiervoor

Hoe ga je aan de slag?

Informatiebeveiliging is maatwerk en de juiste set aan maatregelen verschilt daarom ook flink per praktijk. Toch zijn er wel enkele basisbeginselen die voor elke huisartsenpraktijk van toepassing zijn. Hieronder hebben we enkele uitgangspunten op een rijtje gezet.

Goed georganiseerde informatiebeveiliging kent verschillende verantwoordelijkheden en taken, die aan verschillende personen/rollen kunnen worden toebedeeld. En kleine solopraktijk kan de eindverantwoordelijkheid niet delegeren, maar je kunt wel bepaalde taken delegeren of uitbesteden. Ook een grote groepspraktijk of gezondheidscentrum zal bepaalde technische beheertaken willen uitbesteden. Hoe je het ook organiseert, in alle gevallen zullen de verantwoordelijkheden vergezeld moeten gaan van de noodzakelijke kennis en bevoegdheden.
De eerste stap is om namen te koppelen aan de verantwoordelijkheden en taken voor informatiebeveiliging in jouw praktijk:

  • Beleid informatiebeveiliging volgens NEN7510 en AVG (incl. benoemen personen), controleren logfiles.
  • Autorisatieregels opstellen voor rolgebaseerde toegang tot informatiesystemen, toekennen gebruikers aan systeem-rollen, systeembeheer (per systeem).
  • Incidentenbeheer (meldprocedure) en afhandeling.
  • Bewustwording en kennisoverdracht informatiebeveiliging aan medewerkers.
  • Leveranciersmanagement incl. selectie (productcertificering?) en verwerkersovereenkomsten.

Informatiebeveiliging is een ingewikkeld onderwerp en het kan dan ook fijn zijn om hierbij ondersteuning te zoeken. Denk bijvoorbeeld aan de regio-organisatie die kan helpen bij het onderhouden van het IT-landschap of leveranciers die kunnen helpen bij de juiste inrichting van de software. 

Als je aan de slag gaat met informatiebeveiliging, dan kun je starten met de drie scans in te vullen. Deze scans geven je een lijstje met aandachtspunten. Deze aandachtspunten zijn je startpunt voor het maken van een risico-afweging waarbij het in kaart brengen van informatieobjecten en -stromen een onderdeel is. Je kunt de risico-afweging zelf maken, maar je kunt dit ook laten uitvoeren door bijvoorbeeld je praktijkmanager, regionale zorgorganisatie of zorggroep. Onthoud wel dat de eindverantwoordelijke (dat is de praktijkhouder) wel kennis neemt van de risico-afweging en het verbeterplan. 

Op basis van de uitkomsten van je risico-afweging maak je een beleidsplan. 

Stap 1 – Inventariseer hoe je er voor staat

1a – Vul de drie scans in 
Vul de integriteits-, beschikbaarheids- en privacyscan in. Je krijgt dan een lijstje met aandachtspunten dat je als basis kunt gebruiken voor je risicoafweging en je beleidsplan.

1b – Breng al je hard- en software in kaart
Om je gegevens te kunnen beveiligen is het van belang precies te weten welke hard- en software je gebruikt voor jullie werkprocessen. Met regels voor het toevoegen van nieuwe objecten kun je voorkomen dat een medewerker ondoordacht, bijvoorbeeld met een USB-stick, of door het aansluiten van een printer, een programma met malware in je systeem invoert dat invloed heeft op het betrouwbaar functioneren van je informatiesysteem.
Met de informatieobjecten worden de verwerkingen uitgevoerd die je bijhoudt in het verwerkingsregister. Deze overzichten kunnen daarom prima worden gecombineerd.

Stap 2 – maak een risicoafweging
Het doel van een risicoafweging is om na te gaan welke set van maatregelen het best past bij je praktijk. Het maken van een risicoafweging kost tijd. Bij voorkeur stel je iemand aan die, eventueel samen met collega’s van andere praktijken, kennis opdoet over de risicoafweging.

Op basis van de hardware en systemen die je gebruikt (zie stap 1), kom je tot een set basismaatregelen, die je op grond van specifieke bedreigingen aanvult tot een passende set. Een risicoafweging is een goede start voor een beleidsplan. Op welk gebied zie je risico’s en hoe kun je deze reduceren? Denk bijvoorbeeld aan de volgende situatie: soms zit een patiënt alleen in een spreekkamer, omdat je weggeroepen wordt. Om te voorkomen dat patiënten het HIS kunnen raadplegen, moet je altijd je computer vergrendelen als je de spreekkamer verlaat.

Stap 3 – Maak een beleidsplan 
Omschrijf in een beleidsplan met welke onderdelen jullie aan de slag moeten gaan en welke zaken optioneel zijn.
Met een beleidsplan zet je de juiste acties uit, controleer je of de acties goed zijn uitgevoerd én of ze het juiste doel bereiken. Ook geeft een beleidsplan houvast aan medewerkers omdat het helder is welke afspraken er zijn op het gebied van informatiebeveiliging.

In het beleidsplan zet je in ieder geval de volgende onderdelen: 

  • Algemeen 
    • Doel informatiebeveiliging 
    • Omschrijving op welke praktijk en welke medewerkers (in- en extern) het beleid van toepassing is. 
    • Verantwoordelijken voor uitvoeren van het beleid.
  • Maatregelen 
    • Overzicht van de genomen maatregelen (bijvoorbeeld de eerste inventarisaties). 
    • Overzicht van de geplande maatregelen (op basis van de risicoafweging). 
  • Evaluatie 
    • Uitwerking hoe de evaluatie er uitziet. 
    • Inzicht in wie wanneer welke maatregel evalueert. 
  • Overige documenten 
    • Verslagen en registraties die aantonen welke maatregelen de huisartsenpraktijk heeft genomen met welk effect en op welk moment.

Stap 4: Werk de gekozen, noodzakelijke maatregelen uit en pas deze toe
De maatregelen verschillen zoals gezegd per praktijk. Verderop op deze pagina vind je een selectie van enkele voor de hand liggende maatregelen.

Bij veel veiligheidsincidenten en datalekken is menselijk gedrag de oorzaak. Het is daarom ontzettend belangrijk dat iedereen binnen de praktijk beseft dat er veilig en zorgvuldig met patiëntgegevens omgegaan wordt. Dit geldt voor jou, je medewerkers en voor (externe) partijen die gegevens voor de praktijk verwerken. Om deze bewustwording te creëren is voorbeeldgedrag vanuit praktijkhouders en -managers nodig. Ook moet er aandacht voor het onderwerp zijn en is het een goede zaak als er een cultuur wordt gecreëerd waar medewerkers elkaar hierop aanspreken.
Met de thema-audit informatiebeveiliging van de NPA krijg je een goed beeld hoe je praktijk scoort op het gebied van bewustwording.  

In het omgaan met gevoelige gegevens (van patiënten, medewerkers en je praktijk) moet je je als huisartsenpraktijk aan verschillende wet- en regelgeving houden. Je leest hier meer informatie over in het onderdeel ‘aan welke regels moet je je houden’.
LHV, NHG en InEen publiceren regelmatig over nieuwe wet- en regelgeving en wat dit voor de huisartsenzorg betekent. Zorg dat iemand die ontwikkelingen volgt, zodat je (in hagro-verband en/of zorggroep) hierop kunt anticiperen.

Om veilig te mailen of beeldbellen met patiënten zijn er verschillende richtlijnen van kracht. Lees je daarom goed in als je een nieuwe tool in gebruik neemt.
Ga je nieuwe systemen in gebruik nemen of start er een regionale samenwerking waar patiëntgegevens een rol spelen? Kijk dan direct welke rol informatiebeveiliging speelt. Een data protection impact assesment (DPIA) en privacy by design (aandacht voor gegevensbescherming in de ontwerpfase van een product of dienst) zijn dan goede uitgangspunten. Mogelijk kun je dit laten uitvoeren via je zorggroep of leverancier.

Ben je van plan om (een deel van) patiëntdata te delen, bijvoorbeeld voor wetenschappelijk onderzoek of voor kwaliteitsregistraties? Zorg dat je dan goed weet wat er met de data gebeurt. Welke data verstuur je en wie heeft toegang tot de data onder welke voorwaarden? Daarnaast is het belangrijk dat je data geanonimiseerd en versleuteld de praktijk verlaten. Dit mag niet pas gebeuren bij de ontvangende partij. Al deze zaken leg je vast in een zogeheten verwerkersovereenkomst. Tot slot is het belangrijk dat je de informatiestromen kent, ook de stromen die door het HIS worden afgehandeld.

Vindt er toch een incident plaats? Bespreek dit dan met de betrokkenen. Niet om met een vinger te wijzen, maar om van het incident te leren.

Om te zorgen dat de informatiebeveiliging op orde blijft, moet je blijven verbeteren en aanscherpen, maak het onderdeel van het kwaliteitsbeleid. Zorg bijvoorbeeld dat je op de hoogte bent van nieuwe bedreigingen en mogelijke fouten, en dat je hier tijdig op inspeelt met nieuwe maatregelen. Evalueer jaarlijks het beleidsplan en besluit of hier aanpassingen nodig zijn en bespreek het onderwerp informatiebeveiliging periodiek in teamoverleggen. Dit helpt om de bewustwording hoog te houden.

Welke maatregelen kun je toepassen?

Voor het op orde brengen van de informatiebeveiliging van de huisartsenpraktijk zijn maatregelen nodig. Denk aan preventieve maatregelen om schade te voorkomen of beperken, maar ook aan correctieve maatregelen. Bijvoorbeeld wanneer medewerkers per vergissing een bestand naar een verkeerd mailadres hebben verstuurd. Of wanneer leveranciers niet volgens contract leveren.

De behandeling van informatiebeveiligingsrisico’s met mogelijke organisatorische, technische, fysieke en mensgerichte maatregelen staat uitgebreid beschreven in norm NEN 7510 (6.1.3 resp. Bijlage A).

ICT-inkoop en -gebruik

Binnen jouw huisartsenpraktijk maak je gebruik van verschillende systemen en applicaties. Om te borgen dat je informatiebeveiliging van hoog niveau is, moet de inkoop van ICT én het gebruik van systemen voldoen aan vooraf opgestelde regels.

  • Overzicht hard- en software, inclusief randapparatuur
    Een volledig overzicht van alle aanwezige en relevante hardware, software en randapparatuur draagt bij aan het beveiligen van de informatie-infrastructuur. Het overzicht is ook helpend om na een calamiteit bestanden terug te zetten. Voor een snelle afhandeling wijs je per onderdeel een verantwoordelijke aan.
    Wees je er ook van bewust dat verouderde software tot beveiligingsrisico’s kan leiden. Zorg daarom dat je een goed overzicht hebt van welke apparatuur en systemen in welk jaar zijn aangeschaft. Geef daarnaast alle apparatuur, bijbehorende software en handleidingen volgnummers die corresponderen met de nummers die je in het overzicht gebruikt. Zo kun je snel apparatuur en systemen vinden. Noteer ook wanneer software voor het laatst is geüpdatet en welke softwareversie draait. Dit maakt het makkelijker om te controleren of je software up-to-date is. Overigens is het verstandig om dit door je netwerkleverancier/werkplekbeheerder uit te laten voeren.
  • Aanschaf nieuwe systemen en apparaten
    Voor de aanschaf van nieuwe hardware, software of randapparatuur volg je een vaste checklist om eventuele risico’s op het gebied van informatiebeveiliging zoveel mogelijk te reduceren. Een medewerker binnen de praktijk is eindverantwoordelijk voor het doorlopen van de checklist en voor de beoordeling of er een nieuwe, afzonderlijke risico-afweging gemaakt moet worden. Je moet voor alle nieuwe systemen en apparaten de checklist doorlopen.

Aandachtspunten bij aanschaf van hardware, software en randapparatuur

Reden van aanschaf:

  • Wat is de aanleiding voor de aanschaf?
  • Wat is de beoogde functie?
  • Welke beveiliging wordt meegeleverd?

Risico-afweging bij aanschaf:

  • Welke risico’s loopt de nieuwe applicatie of hardware zelf?
  • Welke risico’s loopt de bestaande ICT-inrichting (andere applicaties en infrastructuur binnen uw praktijk)? (Denk aan: grotere complexiteit, doublures, netwerkonveiligheid)
  • Welke processen veranderen door inzet van het middel en welke risico’s ontstaan daardoor?
  • Welke maatregelen zijn wenselijk? (Vermeld: door wie en wanneer)
  • Is nadere risico-afweging door of advies van een expert nodig?

Implementatie van nieuwe software, hardware en randapparatuur:

  • Maak een plan voor de invoering van de nieuwe soft- en/of hardware.
  • Maak een plan voor de invoering van nieuwe veiligheidsmaatregelen en het toezicht daarop.
  • Neem de nieuwe hardware, software of randapparatuur op in het Overzicht van hardware, software en randapparatuur in de praktijk.
  • Operationeel beheer
    Na het aanschaffen van nieuwe hardware, software en randapparatuur is het van essentieel belang dat het operationeel beheer op orde is. Dit doe je door procedures en verantwoordelijkheden vast te leggen. Leg bijvoorbeeld vast wie verantwoordelijk is voor het draaien van een update en wie controleert of software niet verouderd is. Door de integriteit en beschikbaarheid van apparatuur en gegevens, gegevensverwerkende en communicatiediensten te beschermen, kun je het risico van beveiligingsincidenten tot een minimum beperken.

Om de data goed te beveiligen, is het essentieel dat iedereen binnen de praktijk werkt met een veilig wachtwoord. Vanzelfsprekend is dit wachtwoord uniek en alleen bekend bij de betreffende medewerker. Voorkom te allen tijde dat wachtwoorden worden opgeschreven. 

Deze zaken zijn het meest bepalend voor de kracht van een wachtwoord

  • Gebruik geen woorden of termen die herleidbaar zijn naar informatie over jou of je omgeving. 
  • Hoe langer het wachtwoord, hoe beter. 
  • Gebruik voor elke applicatie een uniek wachtwoord. Een wachtwoordmanager is hiervoor een prima hulpmiddel.
  • Voeg in je wachtwoord letters, cijfers en vreemde tekens toe.

Ga je een nieuw wachtwoord kiezen, voorkom dan in ieder geval dat je: 

  • gebruikersnaam en wachtwoord hetzelfde zijn. 
  • (een deel van) je voor- en achternaam, geboortedatum, pincode of een combinatie daarvan onderdeel uitmaken van het wachtwoord. 
  • de naam van je (huis)dier en/of kinderen gebruikt. 
  • woorden of eigen namen achterstevoren spelt. 
  • standaardreeksen gebruikt, zoals 123456789 of abcdefghi, of naast elkaar gelegen letters op het toetsenbord, zoals qwertyui of q2w3e4r5. 
  • hele woorden als wachtwoord gebruikt.

Als huisartsenpraktijk maak je gebruik van online diensten voor patiënten, zoals het e-consult of het aanvragen van herhaalmedicatie. Uiteraard wil je dat deze diensten veilig en probleemloos verlopen. In onderstaand schema staan verschillende processen rondom online diensten. Het is handig om per proces te weten wie er verantwoordelijk is voor het ontwerp en de handhaving van het proces en wat je de patiënt aan informatie geeft over dit proces. Voor het informeren van patiënten vind je onder de tabel voorbeeldteksten.

ProcesVerantwoordelijkeInformatie aan patiënten*
Afhandeling van e-consult [naam] [functie]– Privacy-disclaimer  
– Ontvangst- bevestiging  
– Patiëntenfolder e-consult 
Afhandeling van herhalingsreceptuur [naam] [functie]– Privacy-disclaimer  
– Ontvangst- bevestiging  
Afhandeling van zelfgemeten meetwaarden  [naam] [functie]– Privacy-disclaimer  
– Ontvangst- bevestiging 
Afhandeling van spreekuurafspraak[naam] [functie]– Privacy-disclaimer  
– Ontvangst- bevestiging 
Afhandeling van online diensten bij afwezigheid  [naam] [functie]– Afwezigheids-bericht

*zie voorbeeldteksten hieronder:

Voorbeeldtekst privacydisclaimer

Deze e-mail en de daarmee verzonden informatie is uitsluitend bestemd voor de geadresseerde en kan onderworpen zijn aan een beroepsgeheim. Openbaarmaking, vermenigvuldiging, verstrekking aan en/of gebruik door derden van deze informatie zonder toestemming van de afzender is niet toegestaan. Indien deze e-mail niet voor u bestemd is, wordt u vriendelijk verzocht direct contact op te nemen met de afzender en de e-mail te vernietigen. 

[Naam praktijk] staat niet in voor het juist, volledig en/of niet tijdig overkomen van deze e-mail en de inhoud daarvan. 

Voorbeeldtekst ontvangstbevestiging 

Uw vraag aan [naam zorgverlener] is ontvangen. U ontvangt binnen [aantal] dagen een antwoord dat gebaseerd is op de door u verstrekte gegevens. Indien de klachten verergeren of andere klachten zich voordoen, dient u contact op te nemen met uw zorgverlener (of te bellen met [telefoonnummer]). Bij spoedeisende gevallen wordt geadviseerd om direct contact op te nemen met uw (huis)arts of met het landelijke noodnummer 112. 

Informatie over de procedure bij online individuele advisering kunt u vinden op de [URL praktijkwebsite]. Op verzoek kunt u deze informatie ook per e-mail toegezonden krijgen. Uw verzoek daartoe kunt u sturen naar [e-mailadres]. 

Voorbeeldtekst afwezigheidsbericht 

Van [datum] tot en met [datum] is dokter [naam] niet bereikbaar. De praktijk wordt waargenomen door dokter [naam]. U ontvangt binnen [aantal] dagen een antwoord dat gebaseerd is op de door u verstrekte gegevens. 

Indien de klachten verergeren, of andere klachten zich voordoen, dient u contact op te nemen met uw (huis)arts (of te bellen met [telefoonnummer]). Bij spoedeisende gevallen wordt geadviseerd om direct contact op te nemen met uw (huis)arts of met het landelijke noodnummer 112. 

Informatie over de procedure bij online individuele advisering kunt u vinden op de [URL praktijkwebsite]. Op verzoek kunt u deze informatie ook per e-mail toegezonden krijgen. Uw verzoek daartoe kunt u sturen naar [e-mailadres]. 

Door goed je toegangsrechten te beheren, voorkom je oneigenlijk gebruik van systemen. Denk hierbij aan het belang van veilige wachtwoorden, maar ook de manier waarop medewerkers toegang krijgen tot de praktijk(ruimtes). Gebruik het moment van verstrekken van toegangsmiddelen om medewerkers op de noodzaak van correct gebruik te wijzen. 

  • Toezicht op toegangsmiddelen
    Houd in een overzicht de verstrekte toegangsmiddelen bij. Zo weet je wie welke toegangsmiddelen in zijn/haar bezit heeft. 
  • Ondersteuning autorisatie en toegangsbeheer door IT-leveranciers 
    In de handreikingen BEIS deel 1 en deel 2 (Beveiliging Eerstelijns Informatiesystemen) staat vastgelegd aan welke eisen informatiesystemen moeten voldoen op het gebied van authenticatie, autorisatie en het loggen van gegevens. Het is aan de praktijkhouder om te kiezen voor een informatiesysteem dat voldoet aan BEIS I en II. Vervolgens is het ook aan de praktijkhouder om het systeem en het toegangsbeheer goed in te richten, te controleren en te onderhouden. Op de website van Nictiz vind je meer informatie over de BEIS-handreikingen authenticatie en autorisatie en toegangslog
  • Identificatie en authenticatie informatiesystemen met patiëntgegevens 
    Om als zorgverlener of praktijkmedewerker toegang te krijgen tot informatiesystemen is identificatie nodig voor de eerste keer inloggen. Vervolgens is er tweefactorauthenticatie nodig voor elke nieuwe inlogpoging, bijvoorbeeld inloggen met UZI-pas en vingerafdruk, of inloggen met sms-verificatiecode en inlogcode.
  • Autorisatie voor toegang medische dossiers 
    Als praktijkhouder ben je verantwoordelijk voor de inzage in een medisch dossier door medewerkers. Om te zorgen dat iedereen de juiste rechten heeft, is het aan te raden om te werken met een autorisatiematrix. In zo’n matrix onderscheid je bepaalde rollen die allemaal een eigen set aan rechten krijgen. Heeft een medewerker aanvullende toegang nodig? Dan leg je dat ook vast in de matrix. Hetzelfde geldt voor mandateren: hierbij krijgt een medewerker rechten namens de persoon voor wie hij/zij werkt. De medewerker die het mandaat verstrekt, blijft verantwoordelijk voor de gemandateerde.
  • Toegangsstructuur 
    Met de toegangsstructuur bepaal je of een zorgverlener of medewerker toegang krijgt tot een (deel van het) patiëntendossier. Naast identificatie, tweefactorauthenticatie en vereiste autorisatie moet er sprake zijn van een behandelrelatie én de toegang mag niet zijn ingeperkt door de patiënt.
    Geven bovenstaande toegangsregels de zorgverlener geen toegang? Dan kan de zorgverlener op basis van noodzaak voor zorg aan de patiënt toch toegang krijgen tot het medisch dossier door gebruik te maken van de ‘noodknop’. Deze noodknop is alleen toegankelijk voor zorgverleners of de gemandateerden. Ook kan een zorgverlener of medewerker toegang krijgen als onderdeel van een noodprocedure. Bij alle uitzonderingen is het verstandig om vast te leggen waarom toegang nodig was en waarom dit werd geweigerd. Dit kan een aanleiding zijn om de rechtenstructuur beter in te regelen.
  • Toegangscultuur
    Naast het naleven van de toegangsstructuur is het belangrijk om de toegangscultuur uit te dragen binnen de praktijk en hier beleid op te maken:
    • Alle inzage moet worden gelogd. 
    • Het feit dat je ergens bij kunt, wil niet zeggen dat je er ook bij mag. 
    • De leidinggevende controleert de medewerkers. 
    • Bij inzet van de noodknop, klachten en vermoedens wordt altijd gecontroleerd. 
    • Doelbewuste onterechte inzage leidt tot sancties.
  • Gegevensuitwisseling tussen organisaties 
    Er zijn binnen de huisartsenpraktijk diverse voorbeelden denkbaar waarbij jij of je medewerkers inzage nodig hebben in data van andere organisaties. Denk aan het controleren van verzekeringsgegevens of het opvragen van medicatieverstrekkingen. Anderzijds is het ook denkbaar dat een andere organisatie via bijvoorbeeld het Landelijk Schakelpunt (LSP) inzage wil in dossiers die onder jouw verantwoordelijkheid vallen. Daarnaast maak je exports van data voor bijvoorbeeld onderzoek, benchmarking of managementinformatie. In alle bovenstaande gevallen is speciale aandacht nodig.
    Belangrijk is dat alle toegang is geregeld via dezelfde autorisatiestructuur. Zo kan een andere organisatie toegang krijgen met een organisatierol en kunnen applicaties toegang krijgen via een applicatierol. Voor export van gegevens is het overigens belangrijk dat data alleen geanonimiseerd het systeem verlaten. Deze zijn dan ook niet zichtbaar in de logging-gegevens van de patiënt. 
  • Toegang dossier door patiënt
    In de Wet aanvullende bepaling verwerking persoonsgegevens in de zorg (Wabvpz) staat dat patiënten inzage moeten krijgen in hun eigen dossier, bijvoorbeeld via een patiëntportaal of een persoonlijke gezondheidsomgeving. De patiënt kan daarnaast bekijken wie toegang heeft gehad tot zijn/haar dossier. De patiënt kan zien welke medewerkersrollen en welke organisaties toegang hebben gehad tot het dossier. De namen van de medewerkers zijn overigens niet zichtbaar in verband met de privacy van de medewerkers.

Checklist Controle op toegang tot patiëntgegevens

  • De verantwoordelijke* controleert periodiek welke rollen en rechten een medewerker heeft. Zo wordt er gekeken of een medewerker een ongewenste combinatie van rechten heeft of dat oude rechten per ongeluk open zijn blijven staan.
  • De verantwoordelijke controleert periodiek de wijzigingen in rollen en rechten voor elke medewerker. Heeft iemand bijvoorbeeld tijdelijk extra rechten gehad en hebben nieuwe medewerkers de juiste rechten gekregen?
  • De verantwoordelijke controleert periodiek de wijzigingen in de autorisatiestructuur. Kloppen de nieuwe rechten nog bij de rol, of klopt de rechtenstructuur nog bij een nieuwe rol?
  • De verantwoordelijke controleert of de daadwerkelijk gepleegde toegang rechtmatig is.
  • Op gezette tijden controleert de verantwoordelijke hoeveel inzageacties door interne medewerkers en externe organisaties zijn uitgevoerd. Dit kan via het dagoverzicht inzage van de praktijk. 
  • De verantwoordelijke controleert af en toe, of als daarvoor aanleiding is, het inzagegedrag van een specifieke medewerker. Per actie is inzichtelijk wanneer deze heeft plaatsgevonden, op welke patiënt de inzage betrekking had, tot welke gegevenscategorie toegang is gezocht, welke actie is uitgevoerd en of de noodknop is gebruikt. 
  • De verantwoordelijke controleert als daarvoor aanleiding is de toegang tot een specifiek patiëntendossier. Bijvoorbeeld omdat een patiënt meldt dat gegevens zijn gelekt en je de patiënt helpt om uit te zoeken of en hoe dit heeft kunnen plaatsvinden. Het overzicht toont welke medewerkers van de eigen organisatie en welke organisaties inzage of toegang hebben gehad. Ook is inzichtelijk wie inzage heeft gehad in de toegangslog en of de patiënt zelf toegang heeft gehad.


    * De praktijkhouder is eindverantwoordelijk voor de toegang tot patiëntgegevens. Je kunt in de praktijk wel een ander teamlid als verantwoordelijke aanwijzen (bijvoorbeeld de praktijkmanager), maar realiseer je dat je als praktijkhouder eindverantwoordelijk blijft.  

Ga je als zorgaanbieder een nieuw (service)contract afsluiten met een informatiesysteem- of clouddienstleverancier? Deze leveranciers/dienstverleners moeten dan NEN 7510-gecertificeerd zijn. In een zogenoemde ‘Verklaring van Toepasselijkheid’ vermeldt de leverancier welke beveiligingsmaatregelen zijn getroffen.

Het contract met de leverancier wordt vaak aangevuld met een zogenoemde Service Level Agreement (SLA). Daarin staan bijvoorbeeld afspraken over de helpdesk (voor wie, hoe, werktijden), bereikbaarheidsgarantie van de systemen (‘uptime’) en rapportages.

Als je met ICT-leveranciers een nieuw contract sluit, is het belangrijk dat er aandacht is voor informatiebeveiliging. Zorg dat je als huisarts je rechten en plichten kent en niet voor verrassingen komt te staan. In het Handboek inkoop zorginformatiesystemen voor de huisartsenzorg van InEen en LHV vind je adviezen over hoe je een ICT-leverancier kiest en hoe je goede afspraken maakt. 

We hebben een checklist gemaakt om je te helpen na te gaan of de belangrijkste punten gedekt zijn in het contract met je leverancier. Het is af te raden om zelf het systeembeheer van deze applicaties te verzorgen.

Checklist contract met leveranciers

Hieronder vind je een overzicht van afspraken die je in het contract met leveranciers moet maken ten aanzien van privacy, beschikbaarheid, correctheid en volledigheid van gegevens en de beveiliging. Ga na in het contract of elk van deze onderdelen voldoende zijn afgesproken.

Privacy

  1. Maak afspraken over het waarborgen van de privacy van de patiënt. Ondersteunt het informatiesysteem de maatregelen van de praktijk om de privacy van patiënten te waarborgen en ondersteunt de leverancier de AVG-verwerkersovereenkomst voor de zorg? Controleer op welk gebied de verwerkersovereenkomst betrekking heeft en de kosten die voortvloeien uit extra diensten. Beding dat je jaarlijks een rapportage krijgt van de uitgevoerde externe audit die is opgenomen in de verwerkersovereenkomst. 
  2. Ondersteunt de HIS-leverancier BEIS deel I en deel II? Om te voldoen aan NEN 7513 moet de leverancier voldoen aan de BEIS-eisen rondom authenticatie, autorisatie en loggen van gegevens.
  3. Is auto shutdown mogelijk? 
  4. Is het mogelijk om patiëntengegevens voldoende gedetailleerd af te schermen? 
  5. Hanteert de leverancier een toestemmingsprocedure voor onderhoud op afstand? 
  6. Verwijdert de leverancier overbodige back-ups? Zo ja, gebeurt dit op de juiste manier?
  7. Zijn productie-, ontwikkel- en testomgevingen gescheiden? 
  8. Garandeert de leverancier dat niet met productiegegevens wordt getest?
  9. Waarborgt de leverancier veilige afvoer van apparatuur en media?

Beschikbaarheid gegevens 

  1. Garandeert je leverancier dat alle patiëntengegevens zijn gekoppeld aan het BSN van de patiënt? 
  2. Garandeert je leverancier dat patiëntengegevens 24/7 beschikbaar zijn? 
  3. Zijn oude patiëntengegevens ten minste gedurende de wettelijke bewaartermijn beschikbaar? Zijn de gegevens uit het vorige informatiesysteem (of -systemen) nog steeds beschikbaar? Levert de leverancier deze dienst? 
  4. Regelt je leverancier het gegevensherstel bij calamiteiten? Ondersteunt de leverancier de door jouw aangegeven prioriteit van de verschillende systemen of delen daarvan?
  5. Zorgt je leverancier voor back-ups? Wordt het terugzetten van back-ups jaarlijks getest? 

Integriteit gegevens  

  1. Ondersteunt het informatiesysteem foutloos werken?
  2. Is de wijze van foutenafhandeling voor iedereen duidelijk?
  3. Is herstel van fouten eenvoudig mogelijk? Is de escalatieroute bij problemen voor iedereen duidelijk?
  4. Zijn bedieningsprocedures bijgeleverd en handig beschikbaar?
  5. Word je binnen een gegarandeerde termijn te woord gestaan en geholpen?
  6. Zijn alle registraties in het informatiesysteem voorzien van de naam van de invoerder? 
  7. Heeft de leverancier afdoende maatregelen tegen kwaadaardige programmatuur? Regelt de leverancier ook de nodige voorzieningen in de praktijk (USB-poorten)?
  8. Is met het informatiesysteem te reconstrueren welke medewerker welke gegevens heeft vastgelegd? 

Nieuwe versies 

  1. Wordt elke nieuwe versie voorzien van een toelichtingsparagraaf over hoe is omgegaan met eisen vanuit de NEN 7510-norm voor informatiebeveiliging in de zorg?
  2. Worden alle nieuwe versies aangeboden voor acceptatietests? Ziet de leverancier erop toe dat deze tests daadwerkelijk zijn uitgevoerd?
  3. Worden nieuwe wetten en regels en de mogelijkheid voor de gebruiker om dit adequaat te ondersteunen, tijdig doorgevoerd in de applicaties?
  4. Worden de maatregelen nageleefd, zoals de NEN 7510 die vereist, voor het beheer van operationele en systeemprogrammatuur en bronbestanden daarvoor, wijzigingen, besturingssysteem en verborgen communicatiekanalen?

Service 

  1. Doet de leverancier regelmatig (jaarlijks) verslag van gerealiseerde beschikbaarheid en beveiligingsincidenten?
  2. Adviseert de leverancier over veilige internetproviders en over beveiliging van het gegevenstransport?

Meldplicht datalekken 

  1. Vermeldt de leverancier duidelijk bij welke gevallen van datalekken hij zelf de melding verzorgt en hoe hij je hiervan op de hoogte brengt?
  2. Vermeldt de leverancier duidelijk bij welke gevallen van datalekken hij je deze meldt zodat je tijdig zelf de melding kunt verzorgen?

Bewustwording bij het praktijkteam

Onbedoeld is menselijk gedrag vaak de oorzaak van beveiligingsproblemen. Denk aan het opschrijven van wachtwoorden op papier of de computer niet vergrendelen waardoor gegevens zichtbaar zijn voor anderen. Een belangrijk onderdeel van informatiebeveiliging is dan ook het creëren van bewustwording bij je medewerkers.

  • Laat de verantwoordelijke persoon nieuwe medewerkers informeren over de regels die binnen jullie praktijk gelden rondom informatiebeveiliging. Denk aan het omgaan met de computer en het borgen van patiëntenrechten.
  • Breng het onderwerp regelmatig ter sprake tijdens formele en informele teamgesprekken.
  • Zorg dat de toegang goed geregeld is. Medewerkers moeten hun werk kunnen doen, maar voorkom dat medewerkers ongeautoriseerde toegang krijgen tot systemen.
  • Neem het toekennen van autorisaties en het stopzetten hiervan op in inwerk- en exitprotocollen. 
  • Neem in arbeidsovereenkomsten een bepaling op over de geheimhouding van alle patiënten- en beveiligingsgegevens, en eventueel een bepaling over bewustzijn van intellectueel eigendom.
  • Houd systematisch bij welke rechten aan welke medewerker zijn verstrekt. Dit maakt het eenvoudiger om te controleren of er ongewenste combinaties van rechten zijn verstrekt aan medewerkers.
  • Zorg dat alle toegang tot patiëntendossiers wordt gelogd en inzichtelijk is volgens NEN 7513.

Jouw medewerkers zijn een belangrijke schakel om de informatiebeveiliging binnen jouw praktijk op hoog niveau te houden. Onderstaande uitgangspunten helpen je om duidelijke afspraken te maken met medewerkers en in de bewustwording. 

  • Apparatuur, zoals laptops, computers en telefoons, wordt zorgvuldig gebruikt en mag niet gebruikt worden voor privézaken en commerciële doeleinden. Wees hierin extra strikt als het gaat om apparaten waar patiëntgegevens op staan. 
  • Medewerkers mogen geen eigen hard- en software te gebruiken voor de werkzaamheden. Voor de apparatuur die je vanuit de praktijk verstrekt, heb je een dienstverlener die zorgdraagt voor het up-to-date blijven van de beveiliging. Bij een privé-apparaat heb je die dienstverlening niet en ben je afhankelijk van hoe zorgvuldig de gebruiker (je medewerker) de beveiliging van het privé-apparaat geregeld heeft. Dat is te risicovol wanneer het gaat om het werken met privacygevoelige praktijkinformatie.
  • Medewerkers mogen zich niet ongeautoriseerd toegang verschaffen tot gegevens van collega’s en patiënten en mogen niet ongeautoriseerd programma’s gebruiken. 
  • Gegevensdragers die buiten de praktijk worden gebruikt, moeten virusvrij zijn. Een medewerker kan verantwoordelijk worden gesteld voor de schade die ontstaat als apparatuur en/of programma’s worden besmet met een virus. Medewerkers mogen enkel gegevensdragers gebruiken die door de praktijk ter beschikking zijn gesteld en mogen deze gegevensdragers alleen buiten de praktijk gebruiken na uitdrukkelijke toestemming van de leidinggevende.
  • Gebruikersnamen en wachtwoorden zijn strikt persoonlijk en mogen nooit worden gedeeld met derden. Bij constatering van misbruik moet de medewerker hiervan zijn/haar leidinggevende op de hoogte stellen. Kijk hier voor tips voor het opstellen van een veilig wachtwoord
  • Medewerkers gaan zorgvuldig om met hun werkplek en zijn verplicht om computers en andere apparatuur te vergrendelen op het moment dat ze hun werkplek tijdelijk verlaten. Aan het eind van de werkdag logt de medewerker uit.
  • Het kopiëren of ongeautoriseerd beschikbaar stellen van informatie/kennis/data aan derden is niet toegestaan.
  • Medewerkers mogen op of via het internet niet onethisch handelen of handelen in strijd met de wet.

Hieronder vind je een voorbeeld van onderwerpen die je kunt bespreken/regelen als een nieuwe medewerker bij de praktijk komt werken. Dit zijn generieke voorbeelden. Het is aan te raden om een lijstje met punten te maken dat uitgaat van de situatie binnen jouw praktijk.

  • Bespreken informatiebeveiligingsbeleid en verstrekken van documenten 
    Zorg dat als een medewerker in dienst komt dat de verantwoordelijke voor het informatiebeveiligingsbeleid met deze persoon in gesprek gaat. Vertel waarom het belangrijk is om zorgvuldig en veilig met data om te gaan en deel relevante documenten. Denk bijvoorbeeld aan een document met tips hoe je een veilig wachtwoord kiest en de huisregels voor computergebruik. Benoem ook de bepalingen over geheimhouding en intellectueel eigendom die in het arbeidscontract staan die de nieuwe medewerker heeft getekend.
  • Aanvragen en verstrekken van toegangsmiddelen 
    Als een medewerker in dienst komt, moeten er verschillende toegangsmiddelen worden aangevraagd. Denk aan het regelen van toegang tot applicaties, maar ook de fysieke toegang tot de praktijk. Om te zorgen dat de juiste toegangsmiddelen tijdig worden aangevraagd, is het verstandig om hier een procesbeschrijving voor op te stellen. Laat de medewerker vervolgens tekenen voor de uitgereikte middelen en leg dit vast in een overzichtslijst met verstrekte middelen. 

Krijgt een medewerker binnen de praktijk een andere functie? Dan moet niet alleen het arbeidscontract worden aangepast. Vermoedelijk heeft de functiewijziging ook invloed op de toegangsrechten en -middelen die de medewerker in bezit heeft. Onderstaande checklist geeft je een idee welke zaken je moet doorlopen om te voorkomen dat een medewerker oneigenlijke toegang heeft tot systemen. 

Als een medewerker uit dienst gaat, is het belangrijk om te zorgen dat een medewerker geen toegang meer heeft tot bijvoorbeeld applicaties en de praktijk. Een checklist kan helpen voorkomen dat een medewerker na uitdiensttreding nog toegang heeft.

Patiëntenvoorlichting

Patiënten willen erop kunnen vertrouwen dat er binnen de praktijk vertrouwelijk en zorgvuldig met hun patiëntdata wordt omgegaan. Om patiënten te informeren over hoe jullie praktijk omgaat met informatiebeveiliging kun je gebruikmaken van een privacyverklaring, zie voorbeeld van een privacyverklaring.

Daarnaast wil je wellicht je patiënten wijzen op hun rechten als het gaat om hun patiëntendata en hoe zij veilig gegevens kunnen delen met bijvoorbeeld een mantelzorger. In de voorlichting kun je bijvoorbeeld de infographics gebruiken over Medische gegevens delen, die je vindt op de NHG-website over online inzage.

Wat als het misgaat?

Ondanks alle aandacht voor informatiebeveiliging kan je huisartsenpraktijk toch slachtoffer worden van cybercriminelen. Bijvoorbeeld door een phishing-link waarmee iemand probeert gevoelige informatie te ontfutselen of door het installeren van schadelijke software via een zwakke plek in de software. Maar ook menselijke fouten kunnen grote gevolgen hebben voor de veiligheid van data.

Omgaan met incidenten en datalekken
Is er binnen jouw huisartsenpraktijk een datalek ontstaan en zijn patiëntgegevens ongeoorloofd vernietigd, verloren, gewijzigd of verstrekt? Dan ben je verplicht dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. In de LHV-handleiding datalek in de huisartsenpraktijk lees je hoe je dat doet. Ook vind je meer informatie in de Handreiking Meldplicht datalekken in de eerstelijnszorg van de KNMG. En natuurlijk ga je in je eigen praktijk na wat hier uit valt te leren en verbeteren.

Snel naar