De Circle of Trust: Een checklist voor zorg- en welzijnsinstellingen.
Geschreven door: Valérie Stragier en Laura Schrijvers
- Is jouw organisatie actief in het domein van gezondheid, zorg- en hulpverlening?
- Ben je als woonzorgcentrum, dienst voor gezinszorg of welzijnscentrum verplicht om gegevens van bewoners, cliënten of andere betrokkenen te delen met derden?
- Werd de BelRAI recent geïntroduceerd of maken jullie gebruik van het eWZCfin?
Dan werd jouw organisatie wellicht opgedragen om toe te treden tot de Circle of Trust en een verklaring op eer in te dienen voor 31 maart 2023.
Heb je geen idee wat de Circle of Trust is of weet je niet waar te beginnen? Geen probleem! In dit artikel verduidelijken we graag wat dit voor jouw organisatie concreet betekent.
Wat is de Circle of Trust en waarom is het correct indienen van de verklaring zo belangrijk?
In het kader van de toenemende digitalisering in de gezondheidszorg en de communicatie van gezondheidsgegevens tussen zorginstellingen en de overheid, wordt informatieveiligheid alsmaar belangrijker. Om voldoende garanties te bieden voor het beveiligen van de verwerking en doorgifte van persoonsgegevens stelt het Vlaams Agentschap Zorg & Gezondheid nu ook de norm van de Circle of Trust voorop.
Opdat organisaties kunnen toetreden tot de Circle of Trust, dienen er op verschillende niveaus maatregelen geïmplementeerd te worden om een optimale bescherming van persoonsgegevens te garanderen.
Concreet moeten organisaties aan dertien criteria voldoen en dit ook kunnen aantonen. Indien daarbij wordt vastgesteld dat er niet voldaan is aan een of meerdere criteria, kan de verklaring ingetrokken worden, tezamen met de toegang tot verschillende eHealth-toepassingen.
1. Register van verwerkingsactiviteiten
Organisaties moeten een verwerkingsregister opstellen waarin alle activiteiten waarbij persoonsgegevens verwerkt worden, samen met enkele bijhorende karakteristieken, terug te vinden zijn.
Dit criterium is niet nieuw gelet op het feit dat dezelfde verplichting wordt opgelegd door de Algemene Verordening Gegevensbescherming, respectievelijk artikel 30. Heeft jouw organisatie nog geen verwerkingsregister? Let op, de tijd dringt.
2. Precisering van rechtsgronden van de verwerking
In hetzelfde verwerkingsregister dient er per verwerkingsactiviteit een rechtsgrond geïdentificeerd te worden. Zorg- en welzijnsinstellingen verwerken veelal medische gegevens. Deze gegevens worden door de AVG aanzien als bijzondere categorieën van persoonsgegevens waardoor specifieke rechtsgronden toegepast moeten worden (art. 9 AVG).
3. Verwerkingsbeperking
Niet iedereen binnen of buiten de organisatie mag zomaar toegang krijgen tot de gegevens die er verwerkt worden. Toegangen dienen namelijk geformaliseerd en beperkt te worden. Op deze manier verkrijgen enkel personen die de gegevens nodig hebben om hun functie goed uit te oefenen toegang.
4. Bewijs van de identiteit van de gebruiker
Organisaties moeten de identiteit van personen die gezondheidsgegevens verwerken kunnen vaststellen. Dit kan op verschillende manieren. Denk aan het voldoende beveiligen van de toegang tot een systeem dat persoonsgegevens verwerkt, bijvoorbeeld door het implementeren van two-factor authentification (2FA). Let op: dit zal vaak een verantwoordelijkheid zijn van de leverancier van het zorgdossier.
5. Bewijs van de relatie met de zorgbehoevende
Opdat een persoon gezondheidsgegevens kan verwerken, moet er een bewijs voorhanden zijn van de zorg- of therapeutische relatie tussen de persoon en de zorgbehoevende. Daarnaast dienen bijkomende kenmerken bewezen worden zoals de hoedanigheid of functie binnen de organisatie waardoor de persoon toegang nodig heeft tot de gegevens.
Dit bewijs kan geleverd worden met behulp van authentieke bronnen, een overeenkomst tussen de zorgbehoevende, zorgverlener en organisatie in kwestie, of met hulp van de gegevensbanken van organisaties die gesynchroniseerd zijn met up-to-date informatie uit authentieke bronnen.
6. Interne logging
Wanneer persoonsgegevens verwerkt worden aan de hand van een softwareprogramma is het belangrijk dat steeds aangetoond kan worden tot welke persoonsgegevens de gebruikers toegang hebben gehad. De software moet namelijk de elektronische acties vastleggen, waardoor minstens vastgesteld kan worden wie, wanneer en hoe deze toegang kreeg tot welke gegevens. Die informatie moet bovendien gedurende 10 jaar bewaard worden. Tip! Let dus zeker op dat de softwareprogramma’s die u gebruikt, deze functie ondersteunen.
7. Audit trail
Indien de verwerking van persoonsgegevens de toegang inhoudt tot persoonsgegevens verwerkt door een derde, is het belangrijk dat een reconstructie van deze verwerking mogelijk is. Op initiatief van het eHealth-platform of het toezichtsorgaan zal u namelijk de volledige geschiedenis ter beschikking moeten kunnen stellen.
8. Interne beleidsvorming, sensibilisering en vorming
Organisaties dienen over een up-to-date beleid te beschikken, waarmee ze aantonen dat aan de criteria van de Circle of Trust voldaan wordt. Dit beleid moet toegankelijk zijn voor alle personen die gegevens verwerken. Daarnaast moeten personen gesensibiliseerd worden tot het naleven van dit beleid en is het aangewezen om opleidingsmomenten te voorzien.
9. Interne controle
Het naleven van de criteria van de Circle of Trust moet intern onderworpen worden aan controle. Als blijkt dat een bepaald criterium of beleid niet (voldoende) nageleefd wordt, moeten er disciplinaire acties voorhanden zijn (bv. via het arbeidsreglement). De resultaten van de controles dienen gedurende 2 jaar bewaard te worden.
10. Naleven van beraadslagingen van het informatieveiligheidscomité
Verder dienen organisaties te bevestigen dat ze de toepasselijke beraadslagingen van het informatieveiligheidscomité naleven alsook alle maatregelen inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer.
11. Erkenning als Circle of Trust-organisatie
Naast het indienen van de verklaring op eer, moeten organisaties schriftelijk een melding maken aan het beheer van CoBRHA dat een Circle of Trust werd ingesteld.
12. Openbare documentatie
Organisaties dienen publiek beschikbaar (bijvoorbeeld op hun website) informatie ter beschikking te stellen over de wijze waarop en de doeleinden waarvoor ze persoonsgegevens verwerken. De zorgbehoevenden blijven op deze manier ingelicht over wat met hun gegevens gebeurt.
13. Externe controle
Tot slot dienen het register, de documenten, resultaten van controles en beleidsregels die door de organisatie worden opgemaakt ter naleving van de bovenstaande criteria, ter beschikking gesteld te worden aan de toezichtsorganen.
Er is nog werk aan de winkel…
Al is de Circle of Trust een verklaring op eer, dan nog is het duidelijk dat er niet licht over het beantwoorden van de criteria gegaan mag worden. Niet enkel bestaat het risico om buitengesloten te worden van cruciale systemen. Het niet hebben of verliezen van de verklaring kan tot gevolg hebben dat de reputatie van uw organisatie op het spel gezet wordt.
Hi! Hoe kunnen wij jou helpen?
Nood aan advies bij het opstellen van uw Circle of Trust? Contacteer ons en we zoeken samen naar de perfecte oplossing voor jou Meer informatie over onze specifieke services binnen healthcare en ons kennisdelingsplatform vindt u hier.
[contact-form-7 id=”3″ title=”Contact form 1″]
For urgent matters, you can contact us via 02 310 39 63.
