Fysiotherapiepraktijken moeten patiëntgegevens en gegevens van werknemers goed beveiligen. Dit betekent veel meer dan alleen een gecertificeerd EPD. Hier enkele tips over beveiliging.
Algemene tips
Informatiebeveiliging onderdeel van je kwaliteitssysteem
Bespreek informatiebeveiliging regelmatig in het team. Zorg dat iedereen verbeterpunten kan opperen en dat deze worden opgepakt en teruggekoppeld.
AVG stappenplan
Gebruik de AVG tool om met een stappenplan aan de slag te gaan. Al 3500 praktijken gebruikten de tool. Denk aan vragen zoals:
Moet jouw praktijk een Functionaris Gegevensbescherming hebben?
En wat doe je bij een datalek?
Fysieke beveiliging
Welke beveiligingseisen stel je aan het pand en de ruimtes waar patiënten komen? Hoe zorg je dat papieren verwijzingen niet in verkeerde handen vallen? Is er genoeg privacy bij de ontvangstbalie? Kunnen telefoongesprekken met patiënten voldoende privé gevoerd worden?
Startende en stoppende medewerkers
Bedenk goed welke afspraken je maakt met startende en stoppende medewerkers. Leg het vast zodat iedereen weet waar hij aan toe is. Zorg dat accounts worden uitgeschakeld als mensen vertrekken.
Leverancier selectie
Denk goed na aan welke voorwaarden je nieuwe leveranciers van systemen moeten voldoen. Voor je in zee gaat met een leverancier van bijvoorbeeld huiswerkoefeningen, beeldbellen of website hosting, is het handig om op een rij te hebben waar ze aan moeten voldoen. Hoe wordt welke informatie opgeslagen, hoe wordt uitgewisseld, wie heeft waar inzicht in? Hoe weet je of het systeem goed werkt? Wat mag je van je leverancier verwachten als het systeem niet werkt?
Veilig mailen
Persoonlijke gezondheidsgegevens moet je altijd beveiligd verzenden. Wist je dat een afspraakbevestiging al een bericht is met persoonlijke gezondheidsgegevens? Zorg dat je hiervoor een mailprogramma hanteert wat werkt volgens de norm voor veilig berichtenverkeer (NEN7516). Wil je veilig mailen, moet je zelf ook aan een aantal zaken voldoen.
Om in te loggen op je EPD moet je minimaal gegevens invoeren uit twee verschillende bronnen (twee factor authenticatie) én er moet een eenmalige ID-check zijn. Alleen een gebruikersnaam en wachtwoord zijn dus niet voldoende! De meeste EPD’s bieden deze functie. Controleer hoe dit gaat bij je leverancier en stel dit in als je dat nog niet hebt gedaan.
Bijhouden wie in het dossier kijkt (logging)
Je bent verplicht om bij te laten houden wie in het medisch dossier van de patiënt kijkt (NEN7513). Jij en je patiënt moeten dit kunnen achterhalen. Dit wordt ‘logging’ genoemd en moet de EPD leverancier doen.
Als je veilig patiëntgegevens wilt mailen naar patiënt of andere zorgverleners, moet je werken volgens de norm “NTA7516”. Bekijk de toelichting en stappenplan.
