Topic van de week | iProva ter ondersteuning van AVG


Reputatie 3
Wij zijn in het Erasmus MC in discussie over de mogelijke toepassing van iProva ter ondersteuning van de AVG-implementatie.

iProva biedt uitstekende mogelijkheden om een AVG-module in te richten: een verwerkingsregister in i+Data (voor verwerkingen van persoonsgegevens), met daaraan gekoppeld iTask workflows voor het uitvoeren Privacy Impact Assessments (PIA´s) en het registreren en opvolgen van datalekken. Daarnaast is iCheck goed te gebruiken voor het uitzetten van vragenlijsten om nieuwe verwerkingen, uit te vragen. En niet te vergeten iDocument voor het beheren van gerelateerde documenten.

Mijn vraag is welke (grote) ziekenhuizen in Nederland of Belgie al gebruik maken van iProva voor de AVG of hier mee bezig zijn?

Van ziekenhuis Nij Smellinghe in Drachten is dit al bekend. Dit hebben we gezien tijdens de gebruikersdag enkele weken geleden.

Laat het aub even weten.

Vriendelijke groeten,
Martin Slooff
Informatiemanager kwaliteit

17 reacties

Reputatie 4
Badge +2
Hallo Martin, Rotterdamse Zuiderburen hier,

Wij hebben ook een verwerkingsregister in een iData kaartenbak, met het idee deze te gaan gebruiken in iTask en vanaf September in iCheck.

Dit is echter nog niet aan de orde, maar wel iets wat voor later dit jaar op de planning staat.

Het streven is ook om de richtlijnen in een kaartenbak op te nemen en deze vervolgens ook te koppelen, waarbij bij het melden dus even snel een artikel of normenset in te kijken moet zijn, maar daar zijn we nog niet inhoudelijk mee bezig geweest.
Reputatie 3
Badge
Hallo Martin,

In het Albert Schweitzer ziekenhuis hebben we sinds vorig jaar een meldtype in gebruik voor het melden van datalekken. Daarnaast is in de module Compliance de score voor het kader van NEN 7510 opgenomen (met diverse onderliggende bewijsstukken).

Op dit moment zijn wij bezig met de ontwikkeling van een PIA vragenlijst, die willen we binnenkort in productie gaan gebruiken.

Groeten,
Arjo Kuiper
Reputatie 2
Hallo Martin,
Wij zijn hier bij het Martini Ziekenhuis ook bezig met AVG ondersteuning binnen iProva te organiseren. Het verwerkingenregister zit in iData, datalekmeldingen in iTask. De rest nog niet.
Dag Martin,

Aanvullend op de reactie van Marjan:
Ik wil graag nog uitbreiden met PIA en het uitzetten van dit soort vragenlijsten. Ik ben dus wel gebaat bij een soort van best-practice inrichting hiervoor.

Hartelijke groet, Ger Wierenga - Martini Ziekenhuis
Reputatie 1
Hallo Martin,

Wij zijn hier ook mee bezig. We willen het melden van een datalek via iTask mogelijk maken. Het proces en de diverse documenten staan in iDocument.
Ik ben benieuwd naar de reacties die hier binnen komen. Wellicht brengen ze me op een goed idee.
Wij beschikken helaas niet over alle modules van Infoland, dus soms is het behelpen of creatief zijn.
Reputatie 3
Badge +1
Ook in Bernhoven zijn we bezig om het verwerkingenregister in i+Data op te nemen. Daarnaast is het plan opgevat om voor datalekken een apart meldingstype aan te maken. Momenteel is het (nog) onderdeel van het incidentmeldformulier (VIM) in iTask.

Groet,
Michel Pot
Reputatie 3
Hallo community-genoten,

Met veel dank voor jullie reacties.

Er is hier intern een discussie gaande over de toolkeuze ter ondersteuning van de AVG-implementatie. Ik verwacht dat de besluitvorming hierover deze maand afgerond zal zijn.
Mocht dit iProva worden, gaan we hiermee aan de gang zodra we deze implementatie (in principe door Infoland) kunnen inplannen. Voorlopig worden de verwerkingen van persoonsgegevens geregistreerd in Lime Survey. Eerst hebben we nog de upgrade naar iProva 5.8 (planning: 26 oktober) en naar iProva 5.10 (komt er nog aan) in februari 2019 (indicatief). Afhankelijk van hoe dit verder gaat, hebben wij dankzij Infoland begin 2019 mogelijk een best practice die we mogelijk kunnen delen met collega's van andere ziekenhuizen die daarin geinteresseerd zijn. Zal jullie op de hoogte houden.

Vriendelijke groet,
Martin
Reputatie 3
De laatste berichten uit het Erasmus MC zijn dat de Stuurgroep AVG er inmiddels voor gekozen heeft, het verwerkingsregister persoonsgegevens AVG en bijbehorende processen (PIA's, datalekken etc.), in iProva te laten implementeren.

Onze afdeling Juridische Zaken, waarvan het Privacy Knowledge Office (PKO) deel uit maakt, heeft hiervoor de opdracht gegeven aan Infoland. Vanmorgen is de kick off geweest van de AVG-implementatie in iProva door Bart Bolwijn van Infoland, onze functioneel beheerders en de toekomstige gebruikers van JZ en het PKO.

Dankzij jullie reacties, weet ik dat veel mensen door het hele land bezig zijn met de AVG in iProva. Voor zover ik weet zijn wij het eerste universitair medisch centrum, dat iProva voor de AVG gaat gebruiken. Ik houd jullie verder op de hoogte!
Reputatie 4
Badge +1
Wij hebben een apart meldingstype voor de datalekmeldingen. Deze kan opzichzelf ingevuld worden, maar kan ook vanuit de VIM benaderd worden (opvolgmelding), waarbij er gegevens van de VIM-melding overgenomen worden op het datalekformulier. Om de registratielast te verminderen, zou mooi zijn als er daarnaast een koppeling komt naar de AP (net zoals de CMR3 plugin). Nu moet, wanneer er aan de AP gemeld moet worden, alles op de website nogmaals ingevuld worden.
Reputatie 4
Badge +2
[...]Om de registratielast te verminderen, zou mooi zijn als er daarnaast een koppeling komt naar de AP (net zoals de CMR3 plugin). Nu moet, wanneer er aan de AP gemeld moet worden, alles op de website nogmaals ingevuld worden.

Die zouden wij ook graag zien. Nu moet de FG zelf de melding "kopiëren en plakken" in het AP format. Het zou natuurlijk veel fijner zijn als een melding door een selecte groep mensen direct in te sturen zou zijn.

Misschien moeten we ons met een paar huizen verenigen en dit met de AP en Infoland samen proberen te ontwikkelen?
Reputatie 6
Badge +1
Ik heb er al een paar keer naar gezocht, maar voor zover ik heb kunnen vinden biedt de Autoriteit Persoonsgegevens geen technisch koppelvlak wat zich hier voor leent; er is enkel het online invulbare formulier.

Als de AP een dergelijk koppelvlak (een API) zou gaan bieden, dan opent dat de weg om vanuit andere informatiesystemen (zoals iProva) op geautomatiseerde wijze meldingen door te sturen. En dat is inderdaad het principe wat wordt toegepast bij de Centrale Medicatiefouten Registratie.


Of de AP voor een dergelijke ontwikkeling open staat kan ik niet inschatten.
Wat ik in elk geval wel weet, is dat wij als softwareleverancier niet in de beste positie zijn om dit gedaan te krijgen. Je staat veel sterker als je een dergelijk verzoek doet namens een groep ziekenhuizen.
Reputatie 4
Badge +1
@JesseV
Zoals Hilbert zegt, we staan als groep ziekenhuizen sterker. Hoe pakken we dit aan en hoe bereiken we de andere ziekenhuizen om mee te doen?
  • Nieuw topic openen?
  • Voortborduren op dit topic?
  • ...?
Reputatie 3
De laatste berichten uit het Erasmus MC zijn dat de Stuurgroep AVG er inmiddels voor gekozen heeft, het verwerkingsregister persoonsgegevens AVG en bijbehorende processen (PIA's, datalekken etc.), in iProva te laten implementeren.

Onze afdeling Juridische Zaken, waarvan het Privacy Knowledge Office (PKO) deel uit maakt, heeft hiervoor de opdracht gegeven aan Infoland. Vanmorgen is de kick off geweest van de AVG-implementatie in iProva door Bart Bolwijn van Infoland, onze functioneel beheerders en de toekomstige gebruikers van JZ en het PKO.

Dankzij jullie reacties, weet ik dat veel mensen door het hele land bezig zijn met de AVG in iProva. Voor zover ik weet zijn wij het eerste universitair medisch centrum, dat iProva voor de AVG gaat gebruiken. Ik houd jullie verder op de hoogte!
Reputatie 3
Hallo allen,
Bovenstaand bericht heb ik per ongeluk opnieuw verzonden. Dit bericht is oud (20 november 2018).
Hoe dan ook is Infoland (Bart Bolwijn & Ron Osvath) bij ons voortvarend bezig met de implementatie van de AVG. Later deze week komen zij bij ons langs om het nieuwe formulier verwerkingen van persoonsgegevens, te laten zien.
Tot zover even voor dit moment. Succes allemaal met jullie (avg) implementaties.
Vriendelijke groet,
Martin
Reputatie 3

 

Hallo allen, 

Na een lange radiostilte is het weer hoog tijd voor een update. Inmiddels kan ik melden dat Infoland de inrichting van het verwerkingsregister AVG voor het Erasmus MC, heeft afgerond. Op 17 oktober is dit door de gebruikers in de business geaccepteerd. Hiermee is de implementatie die op 19 november vorig jaar is gestart, tot een goed eind gebracht. In verschillende intensieve implementatiesessies van 1 of 2 consultants van Infoland (@Bart Bolwijn  en  @ronno  Ron Osvath), 2 of 3 interne en externe privacy juristen en 2 functioneel beheerders van iProva, heeft Infoland in nauwe samenwerking met de gebruikers, het verwerkingsregister gebouwd. Op dit moment wordt het verwerkingsregister alleen nog in kleine kring gebruikt door de juristen van onze Privacy Kennisorganisatie (PKO)/Juridische Zaken (JZ) en de Privacy Contact Personen (PCP´ers) van de thema´s. Dit zijn bij elkaar circa 20 personen. 

Uniek aan het verwerkingsregister is dat hierin een privacy impact assessment (PIA) is geintegreerd waarbij de melder van een nieuwe verwerking van persoonsgegevens door de beantwoording van vragen zelf een PIA uitvoert. Via een risicoberekening achter de schermen die door Infoland als meerwerk is gerealiseerd, voert iProva een automatische schifting uit tussen laag/midden- en hoog risico verwerkingen. Alleen de verwerkingen die als hoog risico verwerkingen uit de PIA naar voren zijn gekomen, worden door iProva direct bij onze privacy specialisten neergelegd. In het Erasmus MC zijn dat de collega´s van het PKO. In iProva-taal: Zij zijn de coordinatoren van het meldingstype verwerking persoonsgegevens. De PKO-juristen beoordelen elke nieuwe hoog risico verwerking en bepalen of de Functionaris Gegevens Bescherming (FG) en/of de Chief Information Security Officer (CISO) via iProva betrokken worden. De risicoscores en -verdeling zijn naar behoefte instelbaar. 

Een ander belangrijk kenmerk van het verwerkingsregister is dat de beantwoording van sommige vragen, acties triggert. Zo verstuurt iProva als uit de beantwoording blijkt dat er een verwerkers-overeenkomst nodig is, automatisch de actie aan de melder om hem/haar te adviseren eerst een verwerkersovereenkomst te sluiten voordat de verwerking van persoonsgegevens wordt gestart. 

In de woorden van een collega van een ander ziekenhuis aan wie ik het verwerkingsregister dit voorjaar heb laten zien: “Het verwerkingsregister neemt administratief werk uit handen. Dan kan ik mij focussen op de belangrijke nieuwe verwerkingen”. 

De AVG-module - nu alleen nog het verwerkingsregister, inclusief PIA - wordt binnenkort uitgebreid met drie andere AVG-deelprocessen. Te beginnen met het proces Datalekken. Dit proces is naar verwachting komende december gereed. Begin 2020 volgen nog het Proces registreren van nieuwe verwerkers van persoonsgegevens en het Proces afhandelen van verzoeken van betrokkenen. Vanzelfsprekend maakt de AVG-module het ook mogelijk om managementinformatie te genereren over de control & compliance van de AVG. 

Tijdens het implementatietraject zijn wij benaderd door diverse geïnteresseerde ziekenhuizen en andere zorginstellingen die zich oriënteren op een verwerkingsregister AVG. Zelf heb ik aan vijf ziekenhuizen/zorginstellingen, het verwerkingsregister “in aanbouw” laten zien. Twee ziekenhuizen hebben aangegeven in principe van het verwerkingsregister gebruik te willen gaan maken.

Mochten andere ziekenhuizen ook belangstelling hebben om het verwerkingsregister (met aanpas-singen voor de eigen organisatie) over te nemen, staan wij daar zeker voor open. In verband met de relatief hoge kosten van deze implementatie (25 k Euro voor m.n. consultancy Infoland), vragen wij in dit uitzonderlijke geval, vooralsnog een bijdrage in de kosten van max. 2,5 k Euro. Als er meer dan 10 ziekenhuizen geïnteresseerd zijn, worden de gedeelde kosten navenant lager. Ik vraag jullie vriendelijk als je belangstelling hebt in het verwerkingsregister dat voor en door het Erasmus MC is ontwikkeld, mij dit even te laten weten via m.slooff@erasmusmc.nl of 06-24170323. Bij mij ben je vanzelfspre-kend ook van harte welkom voor nadere informatie. 

Ik houd jullie uiteraard verder op de hoogte over onze AVG-module!

Vriendelijke groet,

Martin Slooff 

 

 

Reputatie 4
Badge +2

Interessant om te lezen!

 

Wij hebben het dan toch een stuk kleinschaliger aangepakt zo te lezen:

  • Verwerkingsregister staat in een kaartenbak, incl. overeenkomsten in PDF. Indien van toepassing, inclusief PIA.
  • Datalek meldingen gaan via Incidenten route, ISO en FG worden daarbij betrokken bij de melding en vullen een eigen formulier hierbij in.
  • Alle lopende risico's, uitkomsten DPIA, PEN testen en certificering komt in een risico register met eigen sjabloon. (nog te bouwen) Deze worden daarin gekoppeld aan de normen (NEN 751x), beheer ligt bij ISO & FG. Dit is nog in ontwikkeling.

Nu is dit een prima compacte oplossing voor ons, omdat we uiteindelijk maar één klein team hebben dat zich hiermee bezig houd. Maar ik snap goed dat voor een groot stedelijk academisch ziekenhuis dit een stuk meer werk is. Zou dit graag een keer willen zien eigenlijk, hoewel de kans dat we instappen bij deze module vrij klein is.

Bedankt voor de update!

Reputatie 6

Dank @Martin Slooff voor de uitgebreide terugkoppeling. Mooi dat je op deze manier je kennis en ervaring wilt delen met de community :thumbsup_tone2:

Reageer