Intramed_deskundig_menu

Uitstekende service

Alles draait om u. Daarom krijgt u van ons de beste kwaliteit met de beste service. Gescoord met een 9. Omdat we willen luisteren. We zijn u altijd van dienst, ook ’s avonds. Vriendelijk en effectief. Zodat u altijd verder kunt.

Intramed_deskundig_menu

Uitstekende service

Alles draait om u. Daarom krijgt u van ons de beste kwaliteit met de beste service. Gescoord met een 9. Omdat we willen luisteren. We zijn u altijd van dienst, ook ’s avonds. Vriendelijk en effectief. Zodat u altijd verder kunt.

Intramed_deskundig_menu

Uitstekende service

Alles draait om u. Daarom krijgt u van ons de beste kwaliteit met de beste service. Gescoord met een 9. Omdat we willen luisteren. We zijn u altijd van dienst, ook ’s avonds. Vriendelijk en effectief. Zodat u altijd verder kunt.

 

AVG

De Europese vervanger van de Wet bescherming persoonsgegevens

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Wat verandert er? De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

De praktijk is hoofdverantwoordelijk voor het naleven van de AVG. Intramed ondersteunt de praktijk hierin met vele oplossingen in de software om de privacygevoelige gegevens van patiënten te beschermen.

Risico’s verminderen

In Intramed zijn vele privacygevoelige gegevens van patiënten opgeslagen. Je moet er niet aan denken dat die gegevens op straat komen te liggen. Denk hierbij aan diefstal/verminking van gegevens, of dat onbevoegde personen de gegevens bekijken. Of zelfs die gegevens ongewenst veranderen.

Het belangrijkste is dat medewerkers zich er bewust van zijn dat ze deze data moeten beschermen. Eenvoudige gedragsregels doorvoeren kan al veel schelen:

  • Stuur geen privacygevoelige informatie over de reguliere mail, maar gebruik Zorgmail.
  • Gebruik een sterk wachtwoord, geef je wachtwoord niet aan anderen, wissel dit regelmatig en schrijf het zeker niet ergens op.
  • Vergrendel je PC als je wegloopt. Dit kan door Windows-L in te toetsen.
  • Zorg voor goede virusscanners op je computer.
  • Maak als praktijkhouder een veiligheidskopie van Intramed op een usb-stick en bewaar die in een kluis.
  • Of nog beter, laat Intramed draaien bij een hostingbedrijf. Daar is de (brandwerende) beveiliging beter geregeld.
  • Als je exports maakt vanuit Intramed, weeg dan goed af aan welke partijen je welke informatie geeft, en op welke manier je dat verstuurt. Vraag aan patiënten om toestemming, indien van toepassing.

Instellingen in Intramed

Om de privacygevoelige patiëntgegevens te beschermen kun je daarnaast instellingen doorvoeren in Intramed. Hieronder volgen de mogelijkheden.

Intramed beveilig je met een gebruikersnaam en wachtwoord. De praktijkhouder stelt in Intramed de condities in voor het gebruik van het wachtwoord. Dus hoe sterk het wachtwoord moet zijn, en hoe vaak het wachtwoord veranderd moet worden. Ook kan je instellen hoe vaak je een wachtwoord verkeerd mag invullen voordat gedurende een ingestelde periode je überhaupt Intramed niet meer in kan.

In Intramed kun je ook een vragenlijst openen om in te vullen door de patiënt, achter je bureau. Je kunt dan de rest van Intramed afschermen, zodat de patiënt geen toegang heeft tot andere gegevens.

Je kunt ook je agenda anonimiseren, zodat een patiënt die over je schouder meekijkt niet ziet wie nog meer jouw patiënten zijn als je een nieuwe afspraak inplant.

Vanaf Intramed versie 9.0 is het inregelen voor de 2 factor authenticatie voor Intramed mogelijk. Dit is een extra beveiligingslaag op Intramed, in te stellen door de praktijkhouder. Medewerkers moeten eerst hun smartphone koppelen aan Intramed. Als dat geregeld is, dan log je eerst in met je gebruikersnaam en wachtwoord. Daarna start je een app op je smartphone, die een tijdelijke code genereert. Die code vul je vervolgens in op de computer, waarna Intramed geopend wordt. Door deze extra beveiliging is de kans dat iemand anders onrechtmatig toegang heeft tot Intramed enorm verkleind.

Per gebruiker of groep van gebruikers zijn gebruikersrechten instelbaar. Deze rechten betreffen het toevoegen, wijzigen, verwijderen en inzien van gegevens, en zijn per tabel of per actie instelbaar. Op deze manier kan je er voor zorgen dat bijvoorbeeld stagiaires niet bij bepaalde informatie kunnen komen. Dit geldt ook voor dossiers, die kun je ook afschermen voor collega’s. Ook kan de praktijkhouder regelen dat een medewerker de toegang tot Intramed wordt ontzegd, mocht dat nodig zijn.

Tot slot kunnen acties op de dossiers en op het inloggen in Intramed zelf worden gelogd. Een deel van de acties wordt altijd gelogd, maar deze logging kan uitgebreid worden. Hiermee zie je wie op welk moment wijzigingen heeft doorgevoerd aan een dossier. Gaat er iets mis, dan is er bewijslast wie dat gedaan heeft. Het is ook instelbaar wie het log kan inzien.

Beveiliging van processen

We zorgen er voor dat we ontwikkelingen zo veilig mogelijk inbouwen in Intramed zelf. Intramed is ISO27001/NEN7510 gecertificeerd.

BSI Certificatielogo ISO 9001, ISO 27001 en NEN 7510

Hieronder staan een aantal voorbeelden hoe we zorgen voor de dataveiligheid:

  • Patiënten kunnen online inschrijven, een afspraak verzetten en een vragenlijst invullen. Dit gebeurt allemaal realtime in Intramed, op een zeer beveiligde manier met een link. Het is dus niet zo dat gegevens via de mail verstuurd worden. Derden kunnen die gegevens dus ook niet onderscheppen.
  • Wachtwoorden (zowel van medewerkers als van patiënten) slaat Intramed versleuteld op in eigen tabellen in de database.
  • Intramed maakt gebruik van de databasemanager Actian PSQL. Deze databasemanager zorgt er met een aantal processen voor dat de gegevens van Intramed niet onbedoeld kunnen wijzigen. Let op: de database is grotendeels niet encrypted. Voor extra beveiliging is het nuttig om de database op een encrypted container of schijf te bewaren.
  • De loggegevens worden (zonder encryptie) opgeslagen in de database van Intramed. De loggegevens zijn niet handmatig te wijzigen. Het is dus absoluut zeker dat wat er in het log staat, ook daadwerkelijk gebeurd is.

Daarnaast hebben we contracten ontwikkeld, met een technische checklist, bedoeld voor partijen die met onze software koppelen. Een van de doelen van die contracten is om te regelen dat het dataverkeer en de dataopslag veilig gebeurd.

Intramed OnLine

Intramed OnLine werkt met afgeschermde toegang tot de online portalen. De toegangsbeveiliging is afhankelijk van het type account dat wordt gebruikt. Toegang tot de database wordt alleen verleend vanaf vooraf opgegeven computers. Als dat niet kan, dan kan ook gebruik gemaakt worden van ‘tokens’ waarmee bewezen wordt dat het de praktijk is die toegang wil tot zijn database.

Daarnaast moet je eerst inloggen om op de Intramed Online omgeving te komen, voordat je je gewone gebruikersnaam/wachtwoord voor Intramed invoert. Je kan de toegang veiliger maken door voor Intramed en de online omgeving andere wachtwoorden te gebruiken.

Toekomstige ontwikkelingen nav AVG

We zijn nog aan het onderzoeken welke wijzigingen we in Intramed moeten doorvoeren om er voor te zorgen dat de praktijken volledig kunnen voldoen aan de AVG per 25 mei 2018. We verwachten dat we het overgrote deel al ingeregeld hebben in Intramed.

Wellicht zijn er nog kleine wijzigingen nodig, die we uiteraard zo snel mogelijk zullen doorvoeren. Dit betreft met name de rechten die een patiënt heeft wat betreft inzage, wijziging, verwijdering en export van persoonsgegevens. En daarnaast de verplichting om een register van verwerkingen van persoonsgegevens bij te houden. De in de AVG genoemde concepten ‘privacy by design’ en ‘privacy by default’ krijgen in het kader van informatiebeveiliging al onze aandacht.

En als het mis gaat?

Het kan gebeuren dat er toch iets misgaat met de beveiliging; onbedoeld hebben onbevoegden toegang gehad tot privacygevoelige gegevens. Dit is een datalek, waarvoor een meldplicht bestaat. De verwerker (de praktijk zelf, of de hostingpartij) is er voor verantwoordelijk om het datalek zo snel mogelijk te melden bij de AP, en indien nodig ook de patiënt op de hoogte te stellen.

Meer informatie over dit onderwerp

Meer informatie

Hoe wij precies omgaan met de meldplicht datalekken, staat beschreven in onze bewerkersovereenkomst.

Wil je meer weten over ISO27001 en/of NEN7510? Op de website van het BSI wordt uitgelegd waarop zij de informatiebeveiliging toetsen alvorens zij certificeringen uitreiken.

Lees meer over NEN7510
Lees meer over ISO27001