“Zes op tien mondzorgpraktijken niet volledig AVG-proof”

Het percentage mondzorgpraktijken dat zaken nog niet op orde heeft, is volgens Vreeswijk en Van der Hoek opvallend hoog. De twee schatten dat het om zo’n zestig procent gaat. “Daarbij gaat het om dingen die onbewust nog niet voldoen aan de nieuwe regelgeving. De groep praktijken die er echt niks aan heeft gedaan, is gelukkig heel klein,” aldus Van der Hoek.

Zelfde gebruikersnaam
Wat de twee ondernemers nog veel fout zien gaan, is het inloggen op computers door praktijkmedewerkers, zonder eigen gebruikersnaam en wachtwoord. Terwijl de AVG voorschrijft dat je moet weten wie welke informatie kan opvragen. “Heel veel tandartsen hebben van oudsher een generieke inlognaam, bijvoorbeeld ‘balie’ of ‘behandelkamer1’, waarmee iedereen inlogt. Daarmee is niet duidelijk wie bij welke data kan,” legt Van der Hoek uit.

Ook loggen tandartsen graag vanuit huis in op de database van de praktijk. Vaak gebeurt dat nog op een manier die niet strookt met de AVG. Verder verbaast het Van der Hoek en Vreeswijk hoe weinig tandartsen af weten van hun back-up. De AVG schrijft namelijk voor dat je moet zorgen dat gegevens niet verloren kunnen gaan. Van der Hoek: “Tandartsen zijn uiteraard geen IT-specialisten, maar het is wel noodzakelijk dat een praktijkeigenaar op de hoogte is van de procedures om te zorgen dat de gegevens veilig zijn. Helemaal in het geval van een calamiteit. De tandarts is uiteindelijk verantwoordelijk, niet de IT’er.”

In aanloop naar 25 mei 2018 gaven Vreeswijk en Van der Hoek, met elk hun eigen onderneming, AVG-workshops bij praktijken. Deze waren met name gericht op het creëren van bewustzijn rond het onderwerp. Veel aanwezigen schrokken van de digitale gevaren. “Tijdens werktijd wordt bijvoorbeeld nog vaak privémail geopend. Via Hotmail of Gmail komt een bericht binnen dat ze een auto hebben gewonnen. Wordt daarop geklikt vanaf een computer in de praktijk, dan is het kwaad al geschied,” zegt Vreeswijk. Dat soort zaken moet je niet verbieden, vindt hij. “Maak het bespreekbaar in je praktijk en leg de gemaakte afspraken vast in een protocol.”

Slinks
Ransomware (software waarmee cybercriminelen gegevens versleutelen en vragen om losgeld, red.) kan op eenzelfde manier binnen worden gehaald. “Het gaat ontzettend slinks,” weet Vreeswijk. “Ik ken een voorbeeld van een praktijk waar een vacature openstond. Vervolgens kwam per mail een reactie op die vacature, met in de bijlage een CV als Pdf-bestand. Bij het openen bleek het om een geïnfecteerd bestand te gaan.”

Vreeswijk en Van der Hoek kennen meerdere tandartspraktijken die slachtoffer werden van ransomware, al vond dit plaats voor 25 mei. Vreeswijk: “Het risico op een ransomware-aanval kun je nooit 100% uitsluiten. Belangrijk is dat je de basisbeveiliging op orde hebt. Maar in 90% van de gevallen gaat het om een menselijke fout.” Overigens hoeft een ransomware-aanval volgens Van der Hoek helemaal niet tot een groot probleem te leiden nu de AVG geldt. “Als je zorgt dat alle gegevens veilig bewaard worden en je daarnaast technische maatregelen treft om na te gaan of gegevens zijn gelekt of verloren zijn gegaan, dan kom je al een heel eind. Combineer het met de patiënten die op de dag van de aanval behandeld zijn, en je kunt netjes iedereen informeren. Ik denk dat geen enkele patiënt daar bezwaar tegen heeft.”

Functionaris Gegevensbescherming
Een punt waarover na 25 mei nog bij veel mensen onduidelijkheid bestond, was de verplichting tot het aanstellen van een Functionaris Gegevensbescherming (FG), iemand die binnen de organisatie toezicht houdt op toepassing en naleving van de AVG. Kunnen Vreeswijk en Van der Hoek, die deze dienst ook aanbieden, uitsluitsel geven? “Tandartspraktijken vallen in de basis onder ‘grootschalige gegevensverwerkers’ en zouden daarmee altijd een Functionaris Gegevensbescherming moeten aanstellen. In de praktijk wordt echter gekeken naar het aantal patiënten,” legt Van der Hoek uit. “Als er meer dan 10.000 staan ingeschreven bij een praktijk of er worden behandeld én de gegevens van al die patiënten staan in hetzelfde systeem, dan is zo’n functionaris verplicht.”

Van der Hoek moest al eens in actie komen als FG’er namens een tandartspraktijk. Daar waren e-mails met financiële gegevens en BSN-nummer naar de verkeerde mensen gestuurd. Zoals de AVG voorschrijft, meldde hij dit in zijn rol van functionaris aan de Autoriteit Persoonsgegevens (AP). Ook werden betrokkenen op de hoogte gesteld en ontvangers gevraagd de gegevens te verwijderen. “De melding bij de AP is geregistreerd en daarmee is de kous af,” zegt Van der Hoek. Geen boetes van 20 miljoen euro dus, waarover in aanloop naar de AVG in de media dreigend werd gesproken.
Zijn er überhaupt al AVG-boetes uitgedeeld in mondzorgland sinds de inwerkingtreding? “Niet in de dentale wereld,” weet Van der Hoek. “De eerste Nederlandse boete vanwege het overtreden van de AVG is in augustus uitgedeeld, aan een bank. Die had geen gehoor gegeven aan een verzoek van een klant tot inzage van persoonsgegevens. Dat is de bank op een boete komen te staan van 48.000 euro.”

Doel van de AVG is onder meer de versterking en uitbreiding van privacyrechten. Maar staat de enorme administratieve last die het voor heel veel bedrijven meebrengt nog wel in verhouding met het beoogde doel? “Die berg aan administratie vind ik enorm meevallen,” werpt Vreeswijk tegen. “Mensen weten vaak niet waar ze moeten beginnen. Dan is het handig om een externe partij in te schakelen die in kaart brengt wat er al goed gaat in de praktijk – vaak al een heel groot deel dat alleen nog op papier hoeft te worden gezet – en wat nog beter kan. In veel gevallen is dat op heel korte termijn inzichtelijk te maken en vervolgens te implementeren in de praktijk.”

Betrek het team
Tandartsen willen van Vreeswijk en Van der Hoek uiteindelijk vooral weten of ze het goed doen. “Ons advies is een onafhankelijke IT-scan te laten uitvoeren. De tandarts krijgt dan een rapport waarin staat hoe het is gesteld met bijvoorbeeld je back-ups of je virusscanner. Met zo’n verslag is de tandarts of praktijkeigenaar voldoende geïnformeerd,” aldus Van der Hoek. “Helemaal aan te raden voor tandartsen die geen IT’er in de hand hebben genomen, maar bijvoorbeeld een kennis die handig is met computers,” vult Vreeswijk aan.

Voor de tandartsen die gedurende het lezen van dit artikel steeds meer beseffen dat ze zeer waarschijnlijk behoren tot de 60% waarvoor nog werk aan de winkel is op AVG-vlak, hebben Vreeswijk en Van der Hoek enkele tips. Van der Hoek: “Ga eens na waar in je praktijk persoonsgegevens gebruikt worden, of het logisch is om dit op die plek te doen en wie daar toegang toe heeft. Dat is eigenlijk de basis en dat kun je bij wijze van spreken in een weekend op een A4’tje uitschrijven.” “Zorg er bovendien voor dat niet alleen de praktijkeigenaar of -manager op de hoogte is, maar betrek je hele team erbij. Het zou zonde zijn als net de assistente die niet op de hoogte is, een verkeerde mail opent,” voegt Vreeswijk toe.

Guus Vreeswijk is directeur en eigenaar van Dental Plek, een online platform voor mondzorgpraktijken dat zorgt voor een makkelijke en veilige manier voor in- en externe communicatie- en documentatiestromen naar andere professionals en patiënten. Maarten van der Hoek is directeur en eigenaar van W.T. Privacy (onderdeel van de W.T. Group). Met deze firma biedt hij een IT-scan aan alsmede een webtool voor AVG-support en persoonlijke ondersteuning. Vreeswijk en Van der Hoek zijn per 1 mei 2018 een samenwerking aangegaan om de mondzorgprofessional volledig volgens de AVG te laten werken. De twee ondernemers leerden elkaar kennen via een gezamenlijke klant: een tandartspraktijk.

Labels: