Sinds 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving: de Algemene verordening gegevensbescherming (AVG). Hoe zit het precies met de AVG en privacy in het welzijnswerk? We stelden CTO Miguel Hartogs van Merkator vragen over dit onderwerp en schreven er een artikel over. Lees ook over hoe Social Supporter de persoonlijke gegevens van cliënten beschermd.
Wanneer mag je iemand officieel registreren in het sociaal domein?
- Kinderen onder de 16 jaar mogen alleen vastgelegd worden met toestemming van de ouders (zelfs bij overlast). Met Social Supporter zou je een toestemmingsformulier digitaal naar de ouders kunnen sturen.
- Jongvolwassenen >=16 jaar mogen alleen vastgelegd worden als ze ernstige criminele overlast veroorzaken (Jeugdwet).
- Personen >= 16 jaar die deelnemen aan een open inloop of activiteit, mogen alleen persoonlijk geregistreerd worden d.m.v. een toestemmingsformulier. Social Supporter kent een digitaal toestemmingsformulier die verstuurd wordt via SMS of Email. Neem contact op om dit te realiseren. U kunt dit natuurlijk ook nog via een papieren formulier doen en deze dan koppelen als scan aan een persoon in Social Supporter.
Kun je wat vertellen over de ISO-certificatie die van belang is voor de AVG-goedkeuring van het registratiesysteem?
We vinden het als bedrijf belangrijk dat uw gegevens veilig zijn. We hebben er daarom voor gekozen om onze hele bedrijfsvoering elk jaar grondig te laten screenen voor privacy en veiligheid. Een externe instantie heeft dikwijls een andere kijk op onze processen dan de vaak gehoorde tunnelvisie. De volgende zaken komen dan ook elk jaar weer terug:
- Audit van Lloyds register m.b.t het naleven van privacy, security en opvolging incidenten.
- Een “ethical” hacker wordt ingehuurd om Social Supporter proberen te hacken.
- 2x per jaar organiseren we een bewustwordingssessie voor onze medewerkers m.b.t. het verspreiden van gevoelige informatie.
- Elk kwartaal nieuwsbrieven voor klanten en medewerkers met bewustwording voor nieuwe gevaren.
- Programmeren op basis van “securtiy first”
- Privacy lekken/incidenten worden gerapporteerd bij de autoriteit persoonsgegevens.
Op welke manier worden persoonlijke gegevens van cliënten in Social Supporter beschermd en waar worden deze opgeslagen?
- Alle privacygevoelige informatie wordt in onze databases versleuteld opgeslagen, alleen een andere server kan deze info tijdens gebruik ontsleutelen. Een hacker zal dus 2 machines moeten hacken om de privacy gevoelige gegevens uit te kunnen lezen.
- Server toegang is alleen te realiseren via Merkator Netwerken, nooit via het internet. Deze netwerken zijn alleen via 2 factor authenticatie te benaderen.
- Wanneer een persoon 3 jaar niet digitaal is ingezien verwijderen we deze persoon automatisch uit ons systeem.
- Onze test en acceptatie omgevingen bevatten geen persoonlijke info. Deze persoonsgegevens zijn geanonimiseerd.
Wat zijn de trends/ nieuwe ontwikkelingen op AVG gebied?
- Focus van de autoriteit persoonsgegevens op datahandel. Data maken producten en diensten steeds slimmer en deze producten en diensten creëren vervolgens weer meer data. Dit heeft voordelen; de data kunnen worden gebruikt om bijvoorbeeld gericht producten en diensten aan te bieden. Maar ook nadelen: er vindt steeds meer ongeoorloofde doorverkoop van persoonsgegevens aan derden plaats, die vervolgens kunnen worden gebruikt om ons te beïnvloeden en te sturen. Dit vindt zowel nationaal als internationaal plaats.
- Artificiële Intelligentie & algoritmes. Steeds meer bedrijven en organisaties maken gebruik van algoritmes en AI. Dit biedt voordelen en leidt tot nieuwe nuttige toepassingen. Maar de inzet van AI en algoritmes kent ook risico´s en schadelijke effecten. Er mogen bijvoorbeeld niet zomaar conclusies en acties uitgevoerd worden op basis van persoonsgegevens en familiaire verbanden.
Ben je zorgverlener en wil je weten hoe je met privacygevoelige informatie van cliënten moet omgaan? De autoriteit persoonsgegevens website heeft een pagina waarop ze informatie delen over de AVG verplichtingen.