Richtsnoeren informatieveiligheid en gegevensbescherming

Ouderenvoorzieningen zullen via het digitaal platform Vlaamse sociale bescherming verblijfsgegevens, indicatiestellingen en facturen aan de zorgkassen bezorgen. Daarom moet iedere ouderenvoorziening de volgende richtsnoeren inzake informatieveiligheid en gegevensbescherming naleven.

Deze voorwaarden zijn de minimale voorwaarden voor het verwerken van persoonsgegevens. Deze richtsnoeren zijn onlosmakelijk gekoppeld aan een veilige informatieomgeving en dienen in iedere ouderenvoorziening op een aantoonbare wijze aanwezig te zijn. Ouderenvoorzieningen moeten deze richtsnoeren zodanig implementeren dat ze onderwerp kunnen uitmaken van verantwoording, toezicht en controle.

Voorwaarde

Toelichting

Minimaal na te leven norm

1. Identiteitsbeheer

Stemt de digitale en de burgerlijke identiteit van de medewerker (natuurlijke persoon) van de ouderenvoorziening overeen (of met andere woorden: is hij/zij de persoon die hij/zij beweert te zijn)?

Een procedure voor identiteitsbeheer en de implementatie van de nodige maatregelen om deze af te dwingen, waaronder zowel technische als maatregelen zoals bewustwording bij de medewerkers. De procedure heeft als doel de levensloop van de digitale identiteit te koppelen aan de bewegingen binnen de organisatie (instroom, doorstroom en uitstroom van medewerkers). Deze procedure wordt ondersteund door een risicoanalyse en bevat maatregelen om deze risico’s te beperken.

2. Toegangsbeheer

Bewaakt dat iedere medewerker de beoogde bewerking met persoonsgegevens mag uitvoeren (consulteren, wijzigen, bijwerken).

Een procedure die het opstellen en onderhouden van een takenmatrix, alsook de naleving hiervan bij het toewijzen van de taken, garandeert. Maatregelen worden genomen om misbruik, gewild of ongewild, te voorkomen, onder meer toezicht wordt voorzien.

3. Relatie met de betrokkene

Een aantoonbare ‘overeenkomst’, zoals een cliëntenrelatie of zorg-/therapeutische relatie, die het verwerken van de gegevens van de betrokkene rechtvaardigt. In deze overeenkomst is het tevens duidelijk op welke manier de betrokkene rechten kan uitoefenen inzake verwerking van persoonsgegevens en de bijhorende procedures.

Een procedure die toelicht welke stappen er nodig zijn om aan de voorwaarden te voldoen van het verkrijgen van een geldige relatie met de betrokkene en garanties biedt dat deze relatie correct wordt opgevolgd (bijvoorbeeld het beëindigen van de relatie moet correct worden opgevolgd). Deze garanties kunnen bestaan uit technische en organisatorische maatregelen, waaronder bewustwording.

4. Logging

Elke handeling van elke medewerker moet kunnen worden opgespoord en verantwoord.

Een procedure die instructies geeft over de wijze van logging en de systematische controle van de logging met het oog op kwaliteitsgaranties.

5. Omgang met medewerkers en softwareleveranciers

Afdwingen dat medewerkers en softwareleveranciers de nodige technische en organisatorische maatregelen in acht nemen bij het uitvoeren van verwerkingsactiviteiten.

Voor medewerkers: bewustwordingssessies en afspraken.

Voor softwareleveranciers: een procedure voor het afsluiten en onderhouden van een contract, inclusief een beheer van alle operationele verplichtingen.

Bovenstaande vijf specifieke voorwaarden worden omkaderd met een algemeen beleid informatieveiligheid en een op een risicoanalyse gebaseerd veiligheidsplan. Dit alles onder toezicht van een functionaris voor de gegevensbescherming (veiligheidsconsulent). 

Voorwaarde

Toelichting

Minimaal na te leven norm

6. Algemene voorwaarde: veiligheidsbeleid

Een beleidstekst waarin de uitgangspunten van het veiligheidsbeleid, inclusief de verantwoordelijkheden en taken worden toegelicht.

Een veiligheidsbeleid dat veiligheidsmaatregelen omkadert en verantwoordelijkheden aanduidt

7. Algemene voorwaarde: veiligheidsplan

Een op een risicoanalyse gebaseerd veiligheidsplan waarin te implementeren maatregelen om de risico’s in te perken, in een plan van aanpak worden uitgezet.

Elke organisatie heeft risico’s inzake informatieveiligheid in kaart gebracht.

8. Algemene voorwaarde: toezicht door functionaris voor gegevensbescherming

De functionaris voor de gegevensbescherming bewaakt de toepassing van de veiligheidsvoorwaarden.

De verwerkingsactiviteiten staan onder toezicht van de functionaris voor de gegevensbescherming

9. Algemene voorwaarde: voldoen aan nalevingsvoorwaarden

De organisatie kan zich steeds verantwoorden voor de naleving van de veiligheidsvoorwaarden en neemt maatregelen wanneer er inbreuken of incidenten plaatsvinden.

Voorzien in een procedure voor inbreuken bij verwerkingsactiviteiten of in het kader van de naleving van veiligheidsvoorwaarden.

Bepaalde van deze richtsnoeren (bijvoorbeeld de logging, toegangsbeheer en identiteitsbeheer) zullen ook gelden als een voorwaarde voor de attestering van de software.

Iedere ouderenvoorziening moet via het e-loket verklaren dat deze richtsnoeren worden nageleefd.

Over informatieveiligheid en gegevensbescherming kan u in de presentaties van de opleidingssessies informatieveiligheid heel wat informatie terugvinden.

Bevestiging van het naleven van de richtsnoeren

Iedere ouderenvoorziening moet via het e-loket verklaren dat de richtsnoeren inzake informatieveiligheid en gegevensbescherming worden nageleefd. Het naleven van deze richtsnoeren is een voorwaarde om gegevens digitaal vanuit uw ouderenvoorziening naar de zorgkassen via het digitaal platform Vlaamse sociale bescherming te sturen. Indien deze richtsnoeren niet worden nageleefd, zal u dus niet kunnen communiceren of factureren met de zorgkassen.

Raadpleeg in deze handleiding hoe u de richtsnoeren in het e-loket kan consulteren en bevestigen.