Informatiebeveiliging 2023
Procesonderdeel samenvatting
0 of 55 Vragen completed
Vragen:
Informatie
Je hebt de procesonderdeel al eerder voltooid. Daarom kun je hem niet meer opnieuw starten.
Procesonderdeel is aan het laden…
Je moet inloggen of inschrijven om de procesonderdeel te starten.
U moet eerst het volgende invullen:
Resultaten
Resultaten
De tijd is verstreken
You have reached 0 of 0 point(s), (0)
Behaalde punt(en): 0 of 0, (0)
0 verslag(en) in afwachting (mogelijke punt(en): 0)
Categorieën
- Niet gecategoriseerd 0%
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- Huidig
- Review
- Beantwoord
- Goed
- Fout
-
Vraag 1 of 55
1. Vraag
Zijn alle praktijkmedewerkers op de hoogte van de beroepscode ten aanzien van de geheimhouding van persoonsgegevens?
GoedFoutHint
De beroepscode bevat geheimhoudingsplicht. De praktijkmedewerker houdt informatie die hij/zij tijdens hem/ haar werk krijgt, geheim voor derden die niet beroepsmatig betrokken zijn bij de zorgvrager.
-
Vraag 2 of 55
2. Vraag
Ligt de geheimhouding van persoonsgegevens vast in het arbeidscontract met de medewerkers?
GoedFoutHint
Het opnemen van geheimhoudingsclausules in arbeidscontracten van medewerkers is een belangrijk juridisch, ethisch en praktisch aspect om de privacy van patiënten te waarborgen en te voldoen aan de wettelijke vereisten in de gezondheidszorg. Het draagt bij aan een professionele en ethische werkomgeving in de huisartsenpraktijk.
-
Vraag 3 of 55
3. Vraag
Krijgt het vertrouwelijk omgaan met persoonsgegevens/geheimhouding, regelmatig aandacht op een werkoverleg?
GoedFoutHint
Door regelmatig aandacht te besteden aan vertrouwelijk omgaan met persoonsgegevens tijdens werkoverleggen, zorgt een huisartsenpraktijk ervoor dat alle medewerkers goed geïnformeerd zijn over best practices, zich bewust zijn van hun verantwoordelijkheden en effectief kunnen bijdragen aan een veilige en compliant werkomgeving.
-
Vraag 4 of 55
4. Vraag
Indien medewerkers zich niet houden aan de afspraken die gemaakt zijn over de geheimhouding van persoonsgegevens dan spreken wij hen daarop aan.
GoedFoutHint
Denk hierbij aan een mondelinge of schriftelijke waarschuwing en wijs op de consequenties bij herhaling. Documenteer de waarschuwing.
-
Vraag 5 of 55
5. Vraag
Indien medewerkers zich niet houden aan de afspraken die gemaakt zijn over de geheimhouding van persoonsgegevens dan volgen formele disciplinaire maatregelen.
GoedFoutHint
Bij ernstige schendingen van de geheimhoudingsplicht, bijvoorbeeld het bewust delen van medische gegevens, kan worden overgaan tot schorsing of zelfs ontslag op staande voet. Raadpleeg bij twijfel wel altijd een jurist of HR-adviseur, om juridische problemen te voorkomen.
-
Vraag 6 of 55
6. Vraag
Is er in de praktijk een privacyverklaring aanwezig over de verwerking van persoonsgegevens, doorgifte en rechten van patiënten?
GoedFoutHint
Een privacyverklaring is een belangrijk instrument om patiënten te informeren, te beschermen, te betrekken en het wettelijk kader met betrekking tot gegevensbescherming na te leven
-
Vraag 7 of 55
7. Vraag
Hebt u een privacyverklaring gepubliceerd over welke gegevens de praktijk verzamelt, met welk doel, hoe lang die worden bewaard, met welke organisaties die worden uitgewisseld? Ook recht op inzage, correctie en vergetelheid rond het EPD is uitgelegd?
GoedFoutHint
Deze versie van de privacyverklaring is in begrijpelijke taal opgesteld, gericht op het informeren van patiënten over hun rechten en de verwerking van hun gegevens binnen de huisartsenpraktijk. Het is belangrijk dat deze verklaring up-to-date wordt gehouden en dat patiënten eenvoudig toegang hebben tot deze informatie, bijvoorbeeld via de website van de praktijk of als papieren kopie in de wachtkamer.
-
Vraag 8 of 55
8. Vraag
Zijn de medewerkers geïnformeerd over de verwerking van hun persoonsgegevens, de doorgifte ervan en hun rechten?
GoedFoutHint
Dit kan bijvoorbeeld in een document dat online wordt bewaard en waar alleen medewerkers toegang toe hebben.
-
Vraag 9 of 55
9. Vraag
Is de privacyverklaring voor medewerkers openbaar beschikbaar?
GoedFoutHint
Deze verklaring legt uit welke gegevens de praktijk verzamelt, met welk doel, hoe lang we die bewaren en met welke organisaties we deze delen. Ook recht op inzage, correctie en vergetelheid rond het EPD is uitgelegd. De verklaring is openbaar beschikbaar voor al onze medewerkers.
-
Vraag 10 of 55
10. Vraag
Is het ICT-beheer uitbesteed aan een externe partij?
GoedFout -
Vraag 11 of 55
11. Vraag
Welke partij voert voor u het ICT-beheer uit?
GoedFout -
Vraag 12 of 55
12. Vraag
Hoe tevreden ben u over deze dienstverlening op een schaal van 1 – 10?
GoedFout -
-
Vraag 13 of 55
13. Vraag
Is het beheer van uw HIS/KIS uitbesteed aan een externe partij?
GoedFout -
Vraag 14 of 55
14. Vraag
Heeft u met deze HIS-beheerder een verwerkingsovereenkomst?
GoedFoutHint
Een verwerkingsovereenkomst regelt onder meer hoe om te gaan met vertrouwelijke informatie
-
Vraag 15 of 55
15. Vraag
Is deze externe partij (HIS-beheerder) gecertificeerd (NEN7510 of ISO27001)?
GoedFoutHint
Hoewel het niet wettelijk verplicht is, geeft een gecertificeerde HIS-beheerder meer zekerheid en vertrouwen in de beveiliging van de praktijkdata. Doe bij twijfel hierover navraag bij de HIS-beheerder of kijk in de verwerkingsovereenkomst.
-
Vraag 16 of 55
16. Vraag
Wordt de dienstverlening van deze externe partij (HIS-beheerder) jaarlijks geëvalueerd op grond van objectieve rapportages?
GoedFout -
Vraag 17 of 55
17. Vraag
Hoeveel patiënten staan er in totaal ingeschreven?
GoedFout -
Vraag 18 of 55
18. Vraag
Heeft u een Functionaris Gegevensbescherming (FG) aangesteld?
GoedFoutHint
Een Functionaris Gegevensbescherming (FG) is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Dit kan ook worden uitbesteed, bijvoorbeeld aan Stichting Privacyzorg.
-
Vraag 19 of 55
19. Vraag
U voldoet aan de richtlijnen voor een Functionaris Gegevensbescherming (FG)?
GoedFoutHint
Deze vraag wordt automatisch ingevuld en mag u negeren.
-
Vraag 20 of 55
20. Vraag
Maak je gebruik van een wachtwoordenkluis ?
GoedFout -
Vraag 21 of 55
21. Vraag
Welke wachtwoordkluis wordt gebruikt?
GoedFout -
Vraag 22 of 55
22. Vraag
We kennen strikte afspraken over het geheimhouden van je wachtwoord. Je deelt je wachtwoord met niemand. Je gebruikt een ander wachtwoord voor werk dan voor privé. Geldt dit ook zo bij u in de praktijk?
GoedFoutHint
Het instellen van strikte wachtwoordbeveiligingspraktijken is een fundamentele stap in het waarborgen van de algehele beveiliging van een huisartsenpraktijk. Het is een eenvoudige maar effectieve maatregel om de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige informatie te waarborgen.
-
Vraag 23 of 55
23. Vraag
We kennen strikte afspraken over het geheimhouden van wachtwoorden en spreken elkaar erop aan als we dat vergeten.
GoedFoutHint
Strikt betekent bijvoorbeeld dat deze afspraken expliciet zijn en bij voorkeur zijn vastgelegd in de arbeidsovereenkomst.
-
Vraag 24 of 55
24. Vraag
Indien nodig volgen disciplinaire maatregelen als een medewerker een wachtwoord niet geheimhoudt.
GoedFoutHint
Denk hierbij in eerste instantie aan een schriftelijke of mondelinge waarschuwing. Bij herhaling of bij schending van de geheimhouding met ernstige consequenties kan ook worden gedacht aan schorsing of ontslag. Raadpleeg bij twijfel altijd een jurist of HR-adviseur, vooral bij zwaardere maatregelen zoals ontslag, om juridische problemen te voorkomen.
-
Vraag 25 of 55
25. Vraag
Houd je logging bij van privacy-gevoelige applicaties?
GoedFoutHint
Denk hierbij in eerste instantie aan het HIS.
-
Vraag 26 of 55
26. Vraag
Maak je gebruik van UZI-pas voor inloggen in HIS?
GoedFout -
Vraag 27 of 55
27. Vraag
Voor telewerken gebruiken we twee-factorauthenticatie (2FA).
GoedFoutHint
Bij telewerken voer je werkzaamheden uit op afstand. Dus op een andere locatie dan de hoofdvestiging van de werkgever. Dit kan bijvoorbeeld thuis zijn, onderweg (openbaar vervoer) of op een andere plaats.
-
Vraag 28 of 55
28. Vraag
Voor toegang tot systemen van ketenpartners vragen wij ook persoonlijke inlog aan voor onze medewerkers.
GoedFoutHint
Medewerkers zijn verantwoordelijk voor hun eigen inloggegevens en moeten zich bewust zijn van de veiligheid ervan.
-
Vraag 29 of 55
29. Vraag
Ook beheerders werken met een persoonlijke inlog en zijn bekend bij de praktijkhouder.
GoedFout -
Vraag 30 of 55
30. Vraag
Wie is binnen de organisatie verantwoordelijk voor de back-up?
GoedFoutHint
Iemand binnen de organisatie dient verantwoordelijk te zijn, ook als de feitelijk uitvoering ervan is uitbesteed.
-
Vraag 31 of 55
31. Vraag
Is er back-up van HIS/KIS en ICT omgeving?
GoedFoutHint
Doe bij twijfel hierover navraag bij de leverancier of externe beheerder of kijk in de verwerkingsovereenkomst.
-
Vraag 32 of 55
32. Vraag
Heeft u ICT en dus ook de back-up uitbesteed?
GoedFout -
Vraag 33 of 55
33. Vraag
Wordt de back-up van de HIS/KIS en de ICT omgeving op een andere locatie bewaard?
GoedFoutHint
Een back-up is een basis beveiliging. De back-up wordt op een andere locatie dan de server bewaard, anders heeft het geen zin. Denk aan brand in de serverruimte. Bescherming van de back-up door een versleuteling is een gangbare maatregel.
-
Vraag 34 of 55
34. Vraag
Is de back-up van de patienten dossiers (inclusief de medische gegevens) versleuteld, zodat het geen kwaad kan als deze in verkeerde handen terecht komt?
GoedFoutHint
Met versleuteling (of encryptie) wordt direct overgebrachte informatie door gebaar, schrift of spraak, dan wel overgebracht via een telecommunicatiekanaal, zodanig bewerkt dat deze alleen begrijpelijk is als men de beschikking heeft over de toegepaste code.
-
Vraag 35 of 55
35. Vraag
Is er een test of het terugzetten van de back-up goed lukt en leidt tot een goed werkend systeem?
GoedFoutHint
Het testen of de back-up teruggezet kan worden is een noodzakelijke toets of het systeem goed werkt. Een beheerder zet een backup terug en kan beperkt kijken of een systeem goed werkt. Een zorgprofessional kan toetsen of het systeem daarnaast goed werkt.
De tijd nodig voor het terugzetten van de back-up is een belangrijk gegeven voor de calamiteitenplanning. In geval van ASP dienstverlening is het van belang met de leverancier af te spreken dat testen van backup jaarlijks plaatsvindt. De verantwoordelijkheid hiervoor ligt bij de praktijkhouder, die is eindverantwoordelijk voor de data.
-
Vraag 36 of 55
36. Vraag
Vindt er jaarlijks een test plaats op terugzetten van de back-up (door ICT-beheerder of HIS-leverancier) en gaat één van de zorg-professionals vervolgens ook na of het systeem inderdaad goed werkt?
GoedFout -
Vraag 37 of 55
37. Vraag
Het terugplaatsen van de back-up neemt tijd in beslag. Komt de hiervoor benodigde tijd overeen met de verwachtingen die in uw calamiteitenplan beschreven staan?
GoedFoutHint
Het testen of de back-up teruggezet kan worden is noodzakelijke toets of het systeem goed werkt. ICT zet een backup terug en kan beperkt kijken of een systeem goed werkt. Enkel een zorgprofessional kan toetsen of het systeem goed werkt.
De tijd nodig voor het terugzetten van de back-up is een belangrijk gegeven voor de calamiteitenplanning. In geval van ASP dienstverlening is het van belang met de leverancier af te spreken dat testen van backup jaarlijks plaatsvind. De verantwoordelijkheid hiervoor ligt bij de praktijkhouder, die is eindverantwoordelijk voor de data. Vraag het maar eens na. -
Vraag 38 of 55
38. Vraag
Heeft u zich ervan vergewist dat uw HIS-leverancier nieuwe versies van het HIS heeft getest voor uitlevering?
GoedFoutHint
U bent als huisartsenpraktijk uiteindelijk verantwoordelijk voor een juiste werking van het HIS.
-
Vraag 39 of 55
39. Vraag
Een zorgprofessional van de praktijk / de gebruikersgroep / de zorggroep test de nieuwe versie.
GoedFout -
Vraag 40 of 55
40. Vraag
Worden de belangrijkste veranderingen van een nieuwe versie op de werkvloer besproken?
GoedFout -
Vraag 41 of 55
41. Vraag
Wij hebben een procedure datalek die beschrijft hoe we moeten melden bij de Autoriteit Persoonsgegevens in voorkomende gevallen.
GoedFoutHint
Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo’n inbreuk valt onder een datalek.
-
Vraag 42 of 55
42. Vraag
Onze medewerkers melden alle serieuze problemen. Van malware problemen, tot verloren laptop, van gestolen password tot phishing email, en daarnaast technische storingen. Als uit de analyse van de melding blijkt dat melding nodig is dan gebeurt dat volgens de vastgestelde procedure. We stellen ook de betrokken patiënten op de hoogte indien noodzakelijk.
GoedFoutHint
Het melden van alle serieuze problemen op de werkvloer zorgt er dus voor dat medewerkers goed betrokken zijn, wat uiteindelijk de kwaliteit van de zorg ten goede komt.
-
Vraag 43 of 55
43. Vraag
Beschikt u over een calamiteitenplan voor als het HIS niet werkt?
GoedFoutHint
Een calamiteitenplan beschrijft hoe te handelen bij uitval van ICT-systemen voor meer dan 2 uur.
-
Vraag 44 of 55
44. Vraag
We hebben een plan voor als het HIS/KIS niet werkt hoe we de zorg continueren en hoe het HIS/KIS hersteld wordt.
GoedFout -
Vraag 45 of 55
45. Vraag
Is er een overzicht van alle verwerkingen met persoonsgegevens van patiënten?
GoedFoutHint
Dit is een document waarin alle activiteiten worden beschreven waarbij persoonsgegevens van patienten worden verwerkt, zoals medische -, contact- en verzekeringsgegevens, maar ook de bewaartermijnen, beveiligingsmaatregelen.
-
Vraag 46 of 55
46. Vraag
Is er een overzicht van alle verwerkingen met persoonsgegevens van medewerkers?
GoedFoutHint
Dat zijn informatiesystemen en papieren informatieverzamelingen
-
Vraag 47 of 55
47. Vraag
Stuurt u patiëntgegevens via de email en andere communicatie tools (bijv. WhatsApp of Siilo)?
GoedFout -
Vraag 48 of 55
48. Vraag
Gebruikt u beveiligde applicaties voor communicatie met andere zorgverleners?
GoedFout -
Vraag 49 of 55
49. Vraag
Hebt u de beschikbaarheid van uw HIS-dossiers voor het LSP geregeld?
GoedFoutHint
Het LSP eist dat de aansluiting niet langer dan 24 uur mag wegvallen. Zonder noodscenario’s gaat dat niet lukken.
-
Vraag 50 of 55
50. Vraag
Is het HIS is zodanig ingericht dat bij problemen binnen 24 uur de patiëntengegevens weer beschikbaar zijn voor het LSP?
GoedFoutHint
Doe bij twijfel hierover navraag bij de leverancier of externe beheerder of kijk in de verwerkingsovereenkomst.
-
Vraag 51 of 55
51. Vraag
Heeft u contractuele afspraken gemaakt met uw ASP leverancier en/of HIS leverancier over de beschikbaarheid van patiëntengegevens bij problemen?
GoedFoutHint
Het LSP eist dat de aansluiting niet langer dan 24 uur mag wegvallen. Zonder noodscenario’s gaat dat niet lukken.
-
Vraag 52 of 55
52. Vraag
Maak je gebruik van een VPN-verbinding?
GoedFoutHint
De VPN-aanbieder koppelt je aan een nieuw
IP-adres
De IP in 'IP-adres' staat voor Internet Protocol. Een IP-adres is een uniek adres van elke op een netwerk aangesloten computer, smartphone, tablet, laptop, enzovoort. Een IP-adres of IP is nodig om apparaten op het netwerk te vinden en identificeren. IP-adressen worden zowel op internet als op bedrijfs- en thuisnetwerken gebruikt. Bijna altijd worden IPv4-adressen toegepast, maar omdat deze adressen langzaam op raken zullen steeds meer apparaten voorzien worden van een IPv6-adres. IP-adres dat je deelt met anderen en dat regelmatig wisselt. Je internetactiviteiten zijn zo moeilijker naar jou te herleiden. Een versleutelde VPN-tunnel levert weliswaar enige veiligheidsvoordelen, maar het beschermt je niet tegen de meeste internetgevaren. Je bent met VPN nog altijd kwetsbaar voor malware, fraude en de meeste hackpogingen. VPN kan voor trager internet zorgen, omdat je surft via een omweg: via de server van de VPN-aanbieder. Webpagina’s bezoeken zal meestal vlot verlopen, maar grotere bestanden downloaden of video streamen kan merkbaar langzamer gaan of haperen.
-
Vraag 53 of 55
53. Vraag
Maakt uw praktijkwebsite gebruik van https?
GoedFoutHint
Kijk in de adresbalk van je browser. Een website met HTTPS begint met https://. Daarnaast zie je vaak een hangslot-icoon links van de URL.
-
Vraag 54 of 55
54. Vraag
Bevat uw website ook TLS/SSL?
GoedFoutHint
Klik op het hangslot in de adresbalk van de browser. In veel browsers kun je via “Certificaat bekijken” of “Meer informatie” zien welk type beveiliging wordt gebruikt. Zoek naar “TLS” of “SSL” in de details. Modernere websites gebruiken TLS (vaak versie 1.2 of 1.3).
-
Vraag 55 of 55
55. Vraag
Hebt u nog een aparte firewall buiten het modem, naast de firewall die geintegreerd is in het modem?
GoedFoutHint
Veel moderne router/modems zijn uitgerust met firewall functies. Als je zo’n router gebruikt, haal je een deel van je verdedigingslinie een stapje naar voren – je router controleert het netwerkverkeer voordat het zelfs maar bij de apparaten op het praktijknetwerk komt. De volgende optie is het filteren van datastromen op het niveau van applicaties, ook wel een proxy firewall genoemd. Hier worden de pakketten niet alleen bekeken en doorgegeven, maar ook gecontroleerd op hun inhoud.