Europese privacywetgeving (GDPR)

Beste CareConnect-gebruiker,


Vanaf 25 mei 2018 is de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) in Europa van kracht. Deze vernieuwde wetgeving heeft als doel om een gepaste bescherming en beveiliging van persoonsgegevens te kunnen bieden. Zeker binnen de zorgsector is het van groot belang dat er op een correcte manier met persoonsgegevens wordt omgegaan. We geven u dan ook graag een overzicht van de aandachtspunten hierbij, zowel binnen CareConnect als voor uw praktijkwerking in het algemeen.

Wat zijn voor mij de aandachtspunten in CareConnect?

CareConnect helpt u al een heel eind op weg om in orde te zijn met de GDPR, maar dit wil niet zeggen dat u automatisch voldoet aan alle GDPR voorwaarden. Vergelijk dit even met een kluis waarin u gevoelige informatie bewaart. Enerzijds is het belangrijk dat u een stevige kluis hebt met een slot dat moeilijk te kraken valt, maar als u de kluis voortdurend open laat staan of de code aan iedereen doorgeeft, heeft die beveiliging nog weinig nut. Daarom overlopen we graag even enkele aandachtspunten binnen Careconnect zodat u optimaal in orde bent voor GDPR.

Gebruikers

  • Zorg dat iedere medewerker binnen uw praktijk een persoonlijke CareConnect-gebruiker heeft. Zo kan u éénduidig opvolgen wie tot welke gegevens toegang had in het programma.
  • Iedere gebruiker moet een wachtwoord instellen in CareConnect. Hier raden we aan om een sterk wachtwoord te gebruiken, namelijk met minimaal 8 karakters waaronder zowel cijfers, kleine letters, hoofdletters en speciale tekens (bv. % ! ? * # @ +).
  • Wijzig op geregelde basis uw wachtwoord. We adviseren om dit jaarlijks te doen. Dat kan via de START-knop > Instellingen > Beveiliging > Wachtwoord CareConnect.

eHealth

Idealiter heeft elke gebruiker een persoonlijk certificaat waarmee hij/zij van de eHealth-diensten gebruik maakt. Jammer genoeg voldoen de huidige mogelijkheden niet altijd aan de noden binnen een tandartsenpraktijk. Zo bestaat er bijvoorbeeld nog geen certificaat voor een tandartsassistent(e), terwijl het opvragen van verzekerbaarheid en tarieven ook voor hen van belang kan zijn.

CareConnect komt hieraan tegemoet door de mogelijkheid te bieden om een eHealth-sessie te delen met andere gebruikers. Deze instellingen vindt u via de START-knop > Instellingen > eHealth > Certificaat. Als één of meerdere instellingen aangevinkt staan bij u, zorg dan dat u goed op de hoogte bent van wat deze inhouden. CareConnect geeft hierover verduidelijking telkens wanneer u één van deze instellingen aanvinkt.

Communicatie

eHealthbox

Dit is de aangewezen werkwijze voor communicatie naar collega zorgverstrekkers en is volledig geïntegreerd in CareConnect zodat u ook hier alle voordelen van de communicatiemodule kan benutten (werken met modellen, gebruik van categorieën  en favorieten, enz.). Zowel communicatie naar artsen met een eHealth-certificaat als communicatie naar artsen in een ziekenhuis (klik hier voor meer info) is mogelijk.

Klik hier om een video van 1,5 minuut te bekijken over eHealthbox in CareConnect.

 E-mail

Indien mogelijk raden we aan om zoveel mogelijk communicatie via eHealthbox te voeren. Als u dan toch nog via e-mail communiceert raden we aan om met een e-mailaccount te werken die beveiligd is met authenticatie én encryptie. Als er gemaild wordt zonder authenticatie en encryptie, loopt u namelijk het risico dat de e-mails gemakkelijker onderschept kunnen worden en dat iemand met slechte bedoelingen e-mails kan versturen in uw naam.

U kan nagaan of dit in orde is voor de e-mailaccounts die u in CareConnect geconfigureerd hebt via START > Instellingen > E-mail accounts > dubbelklik op de account > tabblad “Servers”. Als u voor het versturen en/of ontvangen van e-mails zonder authenticatie en encryptie werkt, verschijnt onderaan dit tabblad volgende melding:

Klik hier voor meer info over het configureren van een e-mailaccount in CareConnect.

Belangrijk om weten is dat de encryptie van een e-mail enkel van toepassing is op de inhoud van het bericht en dus niet op het onderwerp. Probeer daarom het onderwerp steeds zo neutraal mogelijk te houden en vermijd het vermelden van patiëntgegevens in het onderwerp (dus niet “RX-foto’s Jan Steenkiste”, maar bv. “Tandartsenpraktijk De Witte Tand”).

Communicatie naar de patiënt

Het gebruik van persoonsgegevens in communicatie naar de patiënt zoals afspraakherinneringen en recalls vormt geen probleem als het gaat om gegevens zoals de naam van de patiënt, datum en uur van de afspraak, e-mailadres, enzoverder.

We raden wel sterk af om via e-mail medische gegevens  te communiceren naar de patiënt (bv. RX-foto’s, verwijsbrieven, enz.) aangezien dit gevoelige gegevens zijn. Als verwerkingsverantwoordelijke blijft u aansprakelijk voor het bezorgen van deze gegevens aan de patiënt. Er blijven namelijk steeds risico’s verbonden aan communicatie via e-mail, ook als u deze met encryptie verstuurt. Wilt u toch medische gegevens doormailen naar de patiënt? Hou dan rekening met volgende aandachtspunten:

  • Zorg dat u zeker bent dat de contactgegevens van de patiënt juist zijn. Vermijd het doorgeven van een e-mailadres over de telefoon, beter is om dit te vragen als de patiënt fysiek aanwezig is in de praktijk.
  • Hou het onderwerp van de e-mail zo neutraal mogelijk.
  • Zet geen andere ontvangers in CC.
  • Informeer de patiënt over de risico’s die genomen worden bij het versturen van medische gegevens via e-mail.
  • Zorg dat u bijhoudt dat de e-mail verstuurd werd naar de patiënt. Als u de e-mail verstuurt vanuit CareConnect wordt dit automatisch opgeslagen in de Historiek communicatie van de patiënt.

Exporteren en afdrukken van patiëntgegevens

In CareConnect hebt u verschillende mogelijkheden om patiëntgegevens en patiëntenoverzichten te exporteren (bv. naar een PDF-bestand) en/of af te drukken. Hou hier rekening met volgende aandachtspunten:

  • Boekhoudgegevens: vermijd het opnemen van patiëntgegevens in de overzichten die u aan uw boekhouder bezorgt. U kan deze overzichten gemakkelijk anonimiseren door “Patiëntgegevens opnemen” uit te vinken. Deze knop vindt u links onderaan bij de meeste boekhoudoverzichten:
  • Zelf gedefinieerde patiëntenlijsten: in CareConnect hebben supervisors de mogelijkheid om een lijst van patiëntgegevens op te vragen volgens een bepaald filtercriterium. Als u hiervan gebruik maakt, vermijd dan zoveel mogelijk om gevoelige patiëntgegevens op te nemen in deze lijsten (bv. INSZ, openstaand saldo, verzekeringswijze, enz.).
  • Algemeen: Zorg dat de afgedrukte/geëxporteerde patiëntgegevens enkel toegankelijk zijn voor de personen die hier noodzakelijk toegang toe nodig hebben. Bewaar uw papieren bijvoorbeeld achter slot en grendel en plaats digitale bestanden op een beveiligde locatie.
  • Algemeen: Bewaar de afgedrukte/geëxporteerde patiëntgegevens niet langer dan nodig. Tip: gebruik een papierversnipperaar voor papieren dossiers die u niet langer nodig heeft.

In CareConnect wordt er auditing (logboeken) bijgehouden telkens wanneer een CareConnect-gebruiker een patiëntfiche opent en een patiëntenoverzicht afgedrukt/geëxporteerd heeft. Supervisors kunnen deze auditing (logboeken) bekijken via START-knop > Programmabeheer > Auditing bekijken.

Wat zijn de aandachtspunten wanneer ik de Corilus Helpdesk contacteer?

Hou rekening met volgende 3 tips wanneer u onze Helpdesk contacteert:

  1. Vermijd het versturen van e-mails bij vragen of problemen. We raden aan om zoveel mogelijk het ticketing systeem in CareConnect te gebruiken. Klik hiervoor links onderaan op Helpdesk in CareConnect. Voor dringende problemen neemt u best telefonisch contact op.
  2. Vermeld zo weinig mogelijk persoonlijke patiëntgegevens in uw vraag. Gebruik waar mogelijk het patiëntnummer in plaats van de naam van de patiënt.
  3. Vermijd bij het maken van screenshots die u meestuurt dat er persoonlijke informatie zichtbaar is. Eventueel kan u deze informatie onleesbaar maken op de screenshot.

Wat zijn de aandachtspunten voor mijn praktijkwerking in het algemeen?

Het verwerken van persoonsgegevens gaat breder dan enkel uw patiëntenbeheersoftware. Voor een uitgebreid advies over hoe u uw praktijk helemaal in regel stelt met de GDPR wetgeving, neemt u best contact op met uw beroepsvereniging of een specialist in de materie. Corilus helpt u wel al graag op weg met volgende tips & tricks:

Organisatorisch

  • Voorzie een fysieke beveiliging voor uw praktijk (dossiers achter slot en grendel, alarmsysteem, kantoor op slot).
  • Maak uw interne medewerkers bewust van de risico’s en het belang van gegevensbescherming.
  • Vermijd dat de patiënt steeds kan meekijken op uw computerscherm. Als u toch iets wil tonen aan de patiënt, zorg dan dat er geen gegevens van andere patiënten zichtbaar zijn.
  • Respecteer de privacy van uw patiënten, bespreek geen dossiers als uw wachtzaal dit kan horen.
  • Stel een privacy verklaring op die toont hoe u omgaat met de persoonsgegevens van uw patiënten. Informeer de patiënten hierover via een poster of brochures in uw wachtzaal. Voor meer info over het opstellen van deze documenten, neemt u best contact op met uw beroepsvereniging.
  • Implementeer een procedure voor het jammerlijke geval dat de persoonsgegevens van uw patiënten worden gelekt. Uw beroepsvereniging kan u hiermee verder op weg helpen.
  • Gooi gebruikte USB-sticks, PC’s en harde schijven niet zomaar weg. Deze zullen nog vaak persoonsgegevens bevatten. Zorg eerst dat alle gegevens hierop gewist zijn.

Technisch

  • Open geen verdachte e-mails, wees gezond achterdochtig over e-mails, zeker over bestemmelingen die u niet kent.
  • Beveilig de toestellen binnen uw praktijk met behulp van een firewall en anti-virus. Mocht u hierin geïnteresseerd zijn, kan Corilus u hierbij helpen. Neem hiervoor contact op met uw vertegenwoordiger. Opgelet: als u zelf uw firewall configureert, moeten bepaalde URLs en endpoints (klik hier voor een overzicht) beschikbaar zijn voor een correcte werking van CareConnect.
  • Zorg steeds dat persoonsgegevens opgeslagen zijn in Europa. Vermijd niet-Europese hostingbedrijven (bv. Dropbox) voor het opslaan van uw informatie. Dit is ook van toepassing voor wie met een online back-up werkt. De online back-up die Corilus u kan aanbieden wordt bewaard op Belgische servers. Uw vertegenwoordiger helpt u graag verder als u hierin geïnteresseerd bent.
  • Voorzie een verplichting van een wachtwoord bij het opstarten van uw PC.
  • Geef uw medewerkers niet meer toegangsrechten tot uw systemen dan noodzakelijk voor de uitoefening van hun job.

Welke acties heeft Corilus ondernomen in regel te zijn met GDPR?

CareConnect en GDPR

In samenwerking met een ervaren privacy-specialist hebben we een grondige analyse van CareConnect uitgevoerd om in kaart te brengen waar er nog verbetering mogelijk was om in regel te zijn met GDPR. Op basis van deze analyse hebben we meerdere technische en functionele verbeteringen doorgevoerd in het programma. Op de infopagina over de nieuwigheden in versie 3.0.26.0  van CareConnect (Baltes) vindt u een overzicht van welke verbeteringen voor u werden aangebracht.

In een toekomstige versie van CareConnect mag u nog volgende verbetering verwachten:

  • Een verder uitgewerkt rollenbeheer waarmee u per gebruiker kan bepalen welke patiëntgegevens hij/zij kan bekijken in CareConnect. Momenteel heeft iedere gebruiker dus toegang tot de patiëntgegevens, maar u hebt wel een volledig overzicht van wie wanneer toegang had tot de patiëntfiche via de auditing (logboeken) in Careconnect.

Het programma dat de updates van CareConnect verzorgt, CareConnect Internet Update, werd aangepast om te garanderen dat alles op een beveiligde manier verloopt. Tijdens de updates van CareConnect worden ook enkele technische gegevens (bv. laatst geïnstalleerde CareConnect-versie, geïnstalleerde .NET-versies, besturingssysteem, enz.) opgehaald in het kader van een betere ondersteuning en productverbetering. Deze gegevens werden overlopen en goedgekeurd door een privacy-specialist om te garanderen dat hier enkel gegevens worden opgehaald voor dit doeleinde.

Ook voor CareConnect Imaging gebruikers werden verbeteringen doorgevoerd om de software in regel te stellen met GDPR. Deze verbeteringen zijn van toepassing vanaf Mediadent  versie 8.18.5.24 (beschikbaar vanaf eind mei 2018). Als u niet met CareConnect Imaging werkt voor uw digitalisatie, kan u contact opnemen met de leverancier van uw digitalisatiesoftware om te horen welke verbeteringen daar werden aangebracht voor GDPR.

Corilus en GDPR

Om klaar te zijn voor 25 mei 2018 heeft Corilus de handen in elkaar geslagen met ervaren privacy-experten om samen de nodige stappen te ondernemen. Klik hier voor meer info over de stappen die Corilus hiervoor heeft gezet.

Wat als ik nog verdere vragen heb rond GDPR? 

Voor algemene vragen rond hoe u ervoor zorgt dat uw praktijkwerking volledig in regel met GDPR is, neemt u best contact op met uw beroepsvereniging of met een specialist in de materie. Hebt u specifieke vragen rond hoe CareConnect en Corilus u helpen om in regel te zijn met GDPR, dan helpen we u graag verder via onze Helpdesk. Tip: stel uw vraag via een Helpdesk ticket via de Helpdesk link die u links onderaan CareConnect terugvindt.

U kan ervoor zorgen dat deze melding niet meer getoond wordt door het vakje Gelezen en goedgekeurd aan te vinken en op de knop Melding niet meer tonen te klikken. Als u deze melding later nog eens wil nalezen, vindt u de link hiernaar in het overzicht van de nieuwigheden van versie 3.0.26.0 van CareConnect (Baltes). Druk hiervoor op de sneltoets F1 en ga naar CareConnect Helpbestand > Nieuwigheden > Versie 3.0.26.

 

Dutch