Privacy geborgd bij ToetsPraktijk dankzij ISMS

Privacy geborgd bij ToetsPraktijk dankzij ISMS

Personalia, wooninformatie, medische gegevens en zorgadministratie. De ToetsPraktijk verwerkt een veelheid aan privacygevoelige informatie van burgers tijdens haar werkzaamheden voor gemeenten, zorgkantoren en zorgverzekeraars. De ToetsPraktijk acht het daarom van groot belang de hoogste standaarden te hebben op het gebied van de bescherming van persoonlijke gegevens. Om dat te bereiken, dient de noodzaak tot privacybescherming in het DNA van de ToetsPraktijk en haar werknemers te zitten. Momenteel bereidt ons bedrijf zich maximaal voor op de aanstaande nieuwe AVG, de Europese privacywetgeving.

Nieuwe Europese privacyverordening

Nederland kent op dit moment de Wet bescherming persoonsgegevens (Wbp), die per 25 mei 2018 wordt vervangen door de Algemene verordening gegevensbescherming (AVG). De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Deze wetgeving is uniform voor alle EU-lidstaten en voorziet in een noodzakelijke versterking en uitbreiding van de privacyrechten van EU-burgers. Ook wordt er terecht een grotere verantwoordelijkheid gevraagd aan organisaties die werken met privacygevoelige informatie. Privacytoezichthouders, zoals in Nederland de Autoriteit Persoonsgegevens, krijgen meer bevoegdheden zoals het opleggen van boetes tot 20 miljoen euro of 4 procent van de omzet aan organisaties die zich niet aan de nieuwe wet houden.

Proactieve verantwoordingsplicht

Na de inwerkingtreding  van de AVG krijgt de ToetsPraktijk een grotere verantwoordelijkheid om aan te tonen dat het voldoet aan de Europese privacywetgeving door de zogenoemde verantwoordingsplicht. Dit houdt in dat ons bedrijf middels documentatie gaat aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de AVG te voldoen. De nieuwe verordening biedt hierin handvatten waaraan de beveiliging van persoonsgegevens moet voldoen. Hoewel het niet verplicht is, werkt de ToetsPraktijk met een hoogstaand gecertificeerd systeem van informatiebeveiliging om aan zowel dreigingen van buitenaf én behoeften van binnenuit het hoofd te bieden.

Gecertificeerde aanpak van informatiebeveiliging

De ToetsPraktijk werkt met het gerenommeerde Information Security Management System (ISMS) voor de informatiebeveiliging, waarbij interne audits en risicoanalyses integraal onderdeel uitmaken van het systeem. Ook bedrijfsrichtlijnen, standaardprocedures en zelfs gedrag van werknemers kan worden verankerd in het systeem. Zo worden privacyrisico’s gestructureerd en overzichtelijk in kaart gebracht met de opties tot mitigatie, te treffen maatregelen en een overzicht van de mate van beheersing van de informatiebeveiliging. ISMS biedt de ToetsPraktijk de mogelijkheid om impactanalyses uit te voeren om mogelijke privacyrisico’s vooraf correct in kaart te brengen.

Data Protection Impact Assessment (DPIA)

Deze impactanalyses heeft de ToetsPraktijk de afgelopen maanden al diverse malen uitgevoerd. De komende tijd worden deze zogenoemde Data Protection Impact Assessment (DPIA), verplicht vanuit de AVG, binnen alle onderdelen van onze organisatie uitgevoerd. De ToetsPraktijk werkt hierin samen met onze partner CompLions, gespecialiseerd in het ontwikkelen van software voor het beheersen van het ISMS met standaarden ISO 27001en NEN 7510. De ToetsPraktijk ambieert een ISO 27001-certificering, dé standaard voor het opzetten en implementeren van een ISMS. Deze norm beschrijft hoe informatiebeveiliging procesmatig kan worden ingericht. Verder stelt de norm specifieke eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ISMS.

Extra borging medische gegevens

De ToetsPraktijk verwerkt medische gegevens en beoogt daarom een NEN 7510-certificering, zodat aantoonbaar op vertrouwelijke, zorgvuldige en adequate wijze met medische gegevens wordt omgegaan. NEN 7510 is afgeleid van ISO 27001 en specifiek bedoeld voor zorginstellingen en de beveiliging van patiëntgegevens. Door deze toekomstige certificering zal de ToetsPraktijk voldoen aan strengere normen voor patiëntgegevens en aanbestedingscriteria.

Privacy verankeren in DNA organisatie

Hoe goed de gegevensbeveiliging technisch en qua wetgeving organisatorisch ook is geregeld, een juiste omgang met privacygevoelige informatie door de werknemers blijft essentieel in het beschermen van informatie. De ToetsPraktijk acht het van groot belang dat alle werknemers doordrongen zijn van een goede omgang met privacygevoelige informatie. Zo heeft de ToetsPraktijk een actief programma opgezet om bewustwording binnen het bedrijf te verwezenlijken door middel van trainingsdagen, e-learningpakketten en het ontwerpen van een op de ToetsPraktijk toegesneden flyer. Een speciaal aangestelde functionaris gegevensbescherming toetst of de standaarden binnen het bedrijf worden nageleefd om zeker te zijn dat privacygevoelige informatie vanuit de hoogste standaarden wordt geborgd binnen de ToetsPraktijk.

[salesforce form=”1″]
Share