Software: AVG-proof?

08-03-2018



Om je eigen praktijk AVG-proof te maken, is het van belang ook na te gaan hoe de gegevens van jouw cliënten in je software beveiligd zijn. In de gangbare praktijksoftwarepakketten is in elk geval de toegang goed beveiligd, al kan het nodig zijn om een extra stap toe te (laten) voegen bij het inloggen (2-factor authenticatie), zodat je account ook veilig is als bijvoorbeeld je wachtwoord wordt gekraakt. Verder is het goed om, samen met je leverancier, te controleren of de niveaus van toegang nog kloppen: welke gebruikers mogen welke gegevens inzien, verwerken en bewerken?

Softwareaanbieders hebben certificering NEN7510 rond
Verschillende softwareaanbieders bieden NVGzP-leden een korting aan. Bij deze leveranciers en enkele andere heeft de NVGzP nagevraagd hoe ver zij zijn met het voldoen aan de AVG. We hebben gekeken naar Evry, Intramed, Medicore, Praktijkdata, Prosoftware, Telepsy en Therapieland. Uit onze navraag bleek dat deze aanbieders inmiddels de certificering NEN7510 rond hebben, wat aangeeft dat ze voldoen aan de eisen van de AVG.

Alle hierboven genoemde softwareleveranciers blijven zich ontwikkelen met het oog op de nieuwe regels. Denk aan de beveiliging van mailverkeer, het informeren van klanten of het aanstellen van een security officer.

De maatregelen van de softwareleveranciers hebben betrekking op hun eigen beveiliging en toegang. De afspraken die je met een leverancier maakt, staan beschreven in de bewerkersovereenkomst (vanaf mei ‘verwerkersovereenkomst’) die je met de leverancier hebt. De meeste bieden je een standaard-bewerkersovereenkomst aan, waarin ook de meldplicht bij datalekken is opgenomen. Een paar leveranciers werkt ook wel met bewerkersovereenkomsten die door de klant (de praktijk dus) worden aangereikt. Kijk in elk geval jouw bewerkersovereenkomst nog een keer door zodat je weer goed voor ogen hebt welke verplichtingen je hebt en wat je van de softwareleverancier kan verwachten.

Belangrijke stap in je voorbereiding op de nieuwe regelgeving
Jouw eigen werkwijze is bepalend in de veiligheid van de bijzondere persoonsgegevens waar je mee werkt. Leg bijvoorbeeld eens vast welke zaken je telefonisch en per mail bespreekt en welke niet. Met het controleren en aanpassen van je software, zet je een belangrijke stap in je voorbereiding op de nieuwe regelgeving.