Edwin van Tankeren, Wietse Zwaan, Jan Willem van der Windt
LIVIT ORTHOPEDIE
Een kanteling tekent zich af op het gebied van bescherming persoonsgegevens sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van toepassing is geworden. De kanteling houdt in dat onze klanten zelf meer zeggenschap krijgen over hun eigen persoonsgegevens. Onze klanten kunnen ons nu aanspreken op het verkrijgen, administreren, gebruiken en verwijderen van hun eigen gegevens. Wij willen en moeten als verwerker en verwerkingsverantwoordelijke hierover verantwoording afleggen aan onze klanten. Dit hebben wij vastgelegd in een Verklaring van Verantwoording ('Declaration of Accountability'). Deze whitepaper bevat een verkorte weergave van deze verklaring en beoogt onze belanghebbenden (actief) te informeren.
1 Maart, 2019 [Editie 3, Volume 2]
Overzicht incidenten/ datalekken naar aard In 2018 zijn er twee datalekken geweest. Eén lek voldeed aan de criteria om het lek te melden aan de Autoriteit Persoonsgegevens. Er is een datalekregister en er is een proces datalekken aanwezig. In 2018 is 1 melding gedaan aan de toezichthouder, de Autoriteit Persoonsgegevens (AP). Deze melding is binnen 72 uur gedaan. Er zijn geen meldingen geweest aan betrokkenen in 2018. Het betreffende datalek is niet gemeld aan de betrokkene omdat hij/zij geen ernstige gevolgen zal ondervinden van het datalek. Daarbij is qua beoordelingsmethodiek aangesloten op de Beleidsregels meldplicht datalekken zoals die door de Autoriteit Persoonsgegevens zijn gepubliceerd. Maatregelen om toekomstige datalekken te voorkomen: Beide datalekken zijn geanalyseerd en hieruit is voortgekomen dat geen aanpassingen in procedures/systemen nodig zijn. Beide datalekken hebben wel aanleiding gegeven de oorzaak te bespreken met medewerkers om gelijke datalekken in de toekomst zoveel mogelijk te voorkomen.
(Verkorte) Verklaring van Verantwoording over de naleving van de verplichtingen uit de privacywetgeving.
transparant in verantwoording over volwassenheidsniveau van gegevensverwerking
Privacy verantwoordelijkheid vastgelegd De Europese wetgever bepaalt dat met het verzamelen van gegevens ook een verantwoordelijkheid optreedt en bedrijven daarover verantwoording moeten afleggen. Deze verantwoordingsplicht is ook één van de nieuwe beginselen uit de Algemene Verordening Gegevensbescherming (AVG). Om verantwoording te kunnen afleggen is het bijhouden van een administratie waarin het privacy beleid en de daarbij gemaakte keuzes neergelegd zijn een minimum vereiste. Hierin zijn ook de maatregelen en uitvoering daarvan vastgelegd welke voortvloeien uit de implementatie van privacy beleid. Deze Europese wetgeving, expliciet vastgelegd in de AVG, heeft ook impact gehad op Livit. Volgens deze wet is Livit zowel verwerkingsverantwoordelijke als verwerker. Dat houdt in dat Livit als verwerkingsverantwoordelijke doel en middelen bepaalt voor de verwerking van persoonsgegevens en als verwerker heeft Livit de instructies van de verwerkingsverantwoordelijke op te volgen. Wij willen als verwerkingsverantwoordelijke verantwoording afleggen aan onze belanghebbenden. Dit doen wij bijvoorbeeld door met klanten te delen hoe wij de verwerking van persoonsgegevens uitvoeren. Tevens leggen wij verantwoording af als verwerker naar de verwerkingsverantwoordelijken waarvoor Livit de verwerker is. Dit hebben wij vastgelegd in een Verklaring van Verantwoording. Deze whitepaper is een verkorte weergave van deze verklaring en beoogt onze belanghebbenden (actief) te informeren. Hiermee voldoet Livit aan de inhoudelijke betekenis van artikel 24 lid 1 AVG. Wij vinden het vanzelfsprekend dat er goed wordt omgegaan met privacygevoelige gegevens. Daarbij vinden wij het belangrijk dat met de gegevens van een ander wordt omgegaan zoals iedereen zou willen dat er met de eigen persoonsgegevens wordt omgegaan. Dit betekent privacy bewustzijn bij iedere medewerker. Hierbij worden de volgende punten meegenomen bij het maken van keuzes: Privacy en gegevensbescherming mag de zorg niet in de weg staan; Evenwicht tussen gebruikersgemak en gegevensbescherming; Zorgvuldigheid staat voorop maar het helemaal uitsluiten van datalekken is niet mogelijk. Livit is transparant over de maatregelen met betrekking tot de AVG De doelstelling van Livit is om meer mensen de mogelijkheid te geven om zich te weer vrijer te kunnen bewegen wanneer deze mobiliteit niet (meer) vanzelfsprekend is. Livit maakt dit mogelijk door het inzetten van orthopedische kennis, expertise en het aanbieden van hulpmiddelen. Hierbij genieten wij veel vertrouwen van onze klanten ook ten aanzien van het beschermen van hun persoonsgegevens. Wij vinden het daarom belangrijk om hier veel tijd en energie in te steken en willen hier graag open en transparant over zijn. Livit beschikt naast ‘gewone’ persoonsgegevens zoals NAW gegevens ook over bijzondere persoonsgegevens van medische aard. Deze medische gegevens zijn nodig om een klant goed te kunnen bedienen. Livit begrijpt dat de aard van deze gegevens extra aandacht behoeft. Doel en gebruik van de Verklaring van Verantwoording (VvV) De Verklaring van Verantwoording is een document waarin de naleving van de verplichtingen uit de privacywetgeving wordt verantwoord. Uit deze VvV blijkt in hoeverre Livit voldoet aan deze verplichtingen. Voorts wordt uitgebreid verslag gedaan over het afgelopen kalenderjaar en de plannen voor de komende jaren. De Verklaring van Verantwoording is een governance verklaring en is in verkorte vorm als deze whitepaper gepubliceerd om te delen met onze belanghebbenden. Middels deze whitepaper beogen we onze klanten, medewerkers, leveranciers, financiers en andere geïnteresseerden te informeren over het beleid en de beleidsverbeteringen aangaande gegevensverwerking. De controle (op aspecten) van privacy en informatiebeveiliging is onderdeel van de controle op de jaarrekening door de externe accountant. Verantwoording over volwassenheidsniveau (eigen en ketenpartners) met privacy seal Bij Livit werken ongeveer 450 medewerkers die allen werken vanuit gedrevenheid om de klant het beste te bedienen. De afgelopen jaren hebben we extra aandacht besteed om de bekendheid rondom de bescherming van persoonsgegevens te verhogen. Het is daarbij geruststellend om te zien hoe onze collega’s dit onderwerp serieus nemen en zowel de Functionaris voor Gegevensbescherming (FG) als het management weten te vinden als er vragen zijn omtrent dit onderwerp, of als er suggesties zijn voor verbetering. Wij hebben de ambitie om binnen de branche van orthopedische hulpmiddelen een voorbeeldrol te spelen op het gebied van privacy en gegevensbescherming. Kijkende naar deze ambitie, hebben we in 2018 grote vooruitgang geboekt. Privacy Seal Bij de vaststelling van ons beleid en actieplan maken wij gebruik van de volwassenheidsniveaus zoals MYOBI die hanteert. Mind Your Own Business Information (MYOBI) is een onafhankelijke derde partij die netwerkpartners faciliteert met het creëren van zekerheid omtrent de betrouwbaarheid van bedrijfsinformatie. De volwassenheidsniveaus geven een indicatie in welke mate een organisatie invulling geeft aan de gegevensbescherming en privacy. In het Privacy Seal van MYOBI wordt dit tot uitdrukking gebracht door onderscheid te maken in de niveaus 0 tot en met 7. In juni 2016 is door een derde onafhankelijke partij een nulmeting uitgevoerd. Hieruit bleek dat het volwassenheidsniveau van Livit 1 was op een schaal van 1-7. Livit heeft toen een ambitie uitgesproken om op korte termijn een niveau van 3 of 4 te bereiken. Daaropvolgend is een actieplan opgesteld met een stappenplan dat zou leiden tot een niveau 4 in juni 2018. Wij hebben op dit moment niveau 3 behaald en er zijn al belangrijke onderdelen van niveau 4 en 5 gerealiseerd. Dit is vastgesteld op basis van een externe controle om het volwassenheidsniveau te onderbouwen. Enkele voorbeelden hiervan zijn het feit dat Livit voor het merendeel van haar leveranciers verwerkersovereenkomsten heeft en dat privacy en gegevensbescherming een onderdeel is van de medewerkers gedragscode. Ook in projecten wordt gegevensbescherming en de daarbij behorende risico evaluatie, meegenomen. Intern en extern privacybeleid Livit heeft een Privacyverklaring op haar websites geplaatst. Met deze verklaring voldoet Livit aan haar informatieplicht om nieuwe en bestaande klanten en relaties duidelijk te informeren over wat Livit met haar persoonsgegevens doet en waarom. Tevens zijn de rechten van de betrokkenen vermeld. Informatiebeveiligingsbeleid Livit beschikt over een informatiebeveiligingsbeleid dat een belangrijke basis is om onder meer persoonsgegevens te beveiligen. Livit beoogt met dit beleid een passend niveau van beveiliging in te richten. Het beleid is gebaseerd op de normenkaders ISO27001 en NEN7510. Het eerste kader is algemeen geaccepteerd en het tweede kader is aangevuld met specifieke eisen voor organisaties in de zorgsector. Het beleid zal regelmatig worden herzien en zo nodig worden aangepast als daar aanleiding toe is. Te denken valt aan een verandering in dreigingsbeeld of ontwikkelingen die het mogelijk maken om gegevens beter te beveiligen. Bekendheid personeel In 2018 heeft de FG van Livit diverse bijeenkomsten georganiseerd om medewerkers uit te leggen wat de privacywetgeving inhoudt en hoe zij daar in hun dagelijkse werkzaamheden mee moeten omgaan. Tijdens de bijeenkomsten werden presentaties gegeven en konden medewerkers met elkaar in discussie over de praktische invulling van maatregelen. Er is geen administratie bijgehouden van wie de bijeenkomsten hebben bijgewoond. Actieplan De komende jaren zullen wij verdere stappen maken om onze ambitie op het gebied van privacy en gegevensbescherming verder te professionaliseren. Het implementeren en onderhouden van dit onderwerp is een samenspel tussen beleidsvorming, naleving door collega’s en systeem- ontwikkeling. Een van de grootste projecten voor de komende 2 jaar is de modernisering van ons systeemlandschap. Dit project geeft ons de ideale mogelijkheid om gegevensbescherming, als basisprincipe mee te nemen in de ICT architectuur. Naast een verankering in onze systemen, zullen wij onze medewerkers stimuleren om blijvend met elkaar in gesprek te gaan over dit onderwerp, zodat we elke dag weer een stap dichter bij onze ambities komen.
incidenten en datalekken livit
livit haalt niveau 3 als volwassenheids niveau: keten management.
Verantwoording over volwassenheids niveau met privacy seal van MYOBI
Het Privacy Seal is een gecertificeerde manier om dynamisch uiting te geven aan het niveau van gegevensbescherming en het borgen van gegevensbescherming en privacy dat een organisatie biedt. Een organisatie is daarmee transparant richting betrokkenen, toezichthouders en overige partijen. Volwassenheids- niveau's geven een indicatie in welke mate een organisatie invulling geeft aan de gegevensbescherming en privacy. In het Privacy Seal van MYOBI wordt dit tot uitdrukking gebracht door onderscheid te maken in verschillende niveaus.
privacy seal en volwassenheid niveaus
Bron: in dit overzicht zijn de eerste 5 levels weeregegeven, voor een totaal overzicht verwijzen we naar https://www.myobi.eu/nl/legenda-maturity-levels en https://www.myobi.eu/#block-privacysealregisterheader
LEGAL PRIVACY FRAMEWORK Wetten die van toepassing zijn op de organisatie: Behalve algemene wetten, zoals de AVG en UAVG heeft onze organisatie ook te maken met sectorale wetgeving. De belangrijkste wet is de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Ook confirmeert Livit zich aan de Gedragscode Medische Hulpmiddelen. OPZET VAN DE GEGEVENSBESCHERMING De aard van de persoonsgegevens waarvoor de organisatie verantwoordelijk is: Livit biedt mensen met een mobiliteitsbeperking een hulpmiddel aan. Livit moet hiervoor beschikken over medische gegevens om het hulpmiddel te kunnen maken. Uit hoofde van de AVG is Livit hiermee een verwerkingsverantwoordelijke. Livit legt persoonsgegevens vast over de klant, zoals contactgegevens, geboortedatum en de benodigde medische gegevens om het hulpmiddel te kunnen maken. Livit is ook werkgever en uit dien hoofde ook een verwerkingsverantwoordelijke. De persoonsgegevens van werknemers (en tijdelijke krachten) zijn vastgelegd in een personeelsadministratie. Rechtmatigheidsgrondslagen en doelen voor verwerkingen De grondslag voor de verwerkingen van persoonsgegevens van klanten is een behandelovereenkomst. Het doel van de verwerking is uitvoering geven aan de behandelovereenkomst. Livit is wettelijk verplicht om deze gegevens te delen met de zorgverzekeraar om de kosten te kunnen declareren dan wel om hier vooraf een akkoord voor te vragen. Livit streeft continue naar het verbeteren van haar producten. Hiervoor wil Livit gegevens uitwisselen met andere zorgverleners, zoals ziekenhuizen. Dat doet Livit alleen als hiervoor schriftelijke toestemming is verkregen van de klant. Persoonsgegevens van werknemers worden op grondslag van de arbeidsovereenkomst verwerkt. Livit is verplicht om gegevens over haar werknemers en hun inkomen door te geven aan de belastingdienst. De inrichting van de administratie van persoonsgegevens Livit gebruikt een eigen applicatie om de behandelovereenkomsten te administreren en de hieruit voortkomende afspraken en financiële verplichtingen. Deze applicatie is in eigen beheer. Voor de personeelsadministratie wordt gebruik gemaakt van een SAAS-oplossing. De inrichting van de technische en organisatorische maatregelen ter bescherming van de persoonsgegevens Livit heeft een informatiebeveiligingsbeleid. In dit beleid heeft de directie aangegeven onder welke uitgangspunten informatie verwerkt mag worden. Tevens is aangegeven hoe de organisatie opgezet moet worden om aan de uitvoering van deze uitgangspunten te kunnen voldoen. Het afleggen van verantwoording over de naleving van het beleid is wel in opzet geregeld, maar moet nog worden geoperationaliseerd. Livit heeft een groot project onderhanden, met als doelstelling om haar gehele systeemlandschap te moderniseren. Dit project zal een impact hebben op de verwerking van persoonsgegevens. De FG is hierbij nauw betrokken en zal gedurende het project diens adviezen geven. Uiteindelijk zal dit project zorgen voor een verdere professionalisering en beveiliging rondom de verwerking persoonsgegevens. De waarborgen van de verwerkers en overige ketenpartners. Livit heeft verwerkersovereenkomsten afgesloten met bijna al haar verwerkers. De partijen waarbij dit nog niet gelukt zijn, worden blijvend uitgenodigd om de overeenkomst af te sluiten. Livit vindt het belangrijk om heldere afspraken te maken over de bescherming van persoonsgegevens.
Bron: Verklaring van Verantwoording, Livit Orthopedie, https://www.livit.nl/privacy/
BELEID TEN AANZIEN VAN BESCHERMING VAN PERSOONSGEGEVENS
Over Livit Livit wil mobiliteit mogelijk maken voor iedereen voor wie dit niet (meer) vanzelfsprekend is. Door te luisteren. Door mee te denken. Door te helpen. Met onze orthopedische kennis, expertise en hulpmiddelen. Net zolang tot we samen een oplossing vinden waarmee onze klant weer vrij(er) kan bewegen en leven. En daar hebben we alles voor over. U vindt ons op meer dan 400 locaties in het land, waar wij samen met zorgprofessionals van ziekenhuizen en instellingen de beste orthopedische hulpmiddelenzorg bieden. U kunt bij ons terecht voor orthopedische schoenen, steunzolen, therapeutische kousen, prothesen en (sport)braces. Voor meer informatie kunt u contact opnemen met Edwin van Tankeren, Functionaris Gegevensbescherming, fg@livit.nl.
Edwin van Takeren ( Manager Governance, Risk en Compliance), Wietze Zwaan (CFO) en Jan Willem van der Windt (CEO)
