Toon posts:

Vraag over AVG en webformulieren

Pagina: 1
Acties:

Vraag

dinsdag 10 april 2018 12:10

Acties:
  • 0 Henk 'm!
  • Vexxon
  • Registratie: Augustus 2011
  • Laatst online: 04-03 16:33

Vexxon

Topicstarter
Ik heb een website gebouwd voor een logopediepraktijk, deze website bevat een tweetal formulieren, namelijk een regulier contactformulier en een aanmeldformulier waarmee patiënten een afspraak kunnen inplannen.

De website draait op https en alle gegevens worden geëncrypt opgeslagen in een database.
Daarbij worden deze gegevens per mail naar een adres op het domein verstuurd.

Samen met de klant zijn we aan het onderzoeken hoe we aan de nieuwe AVG-wetgeving kunnen voldoen.
De voorkeur van de klant gaat uit naar het versturen van de gegevens via mail, maar ik vraag me af of dat voldoet. Een andere optie is om het CMS uit te breiden en daar de mogelijkheid in te bouwen om te betreffende gegevens in te zien.

Hoe zou ik dit het beste aan kunnen pakken om aan de wetgeving te voldoen?

Beste antwoord (via Vexxon op 10-04-2018 15:10)

dinsdag 10 april 2018 12:14

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

Als je de mail beveiligd met iets als OpenPGP, dan ben je daar ook "beschermd".

Alternatief is inderdaad om een extra "portal" in de website te bouwen waarbij medewerkers dus kunnen inloggen en de gegevens inzichtelijk krijgen.

Let wel; ik weet niet of logopedie 100% onder geneeskunde valt maar het is niet toegestaan om dossiers van patient A in te kunnen/laten zien door assistente/arts van patient B tenzij hier een absoluut noodzakelijke reden voor is.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Alle reacties

dinsdag 10 april 2018 12:14

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

Als je de mail beveiligd met iets als OpenPGP, dan ben je daar ook "beschermd".

Alternatief is inderdaad om een extra "portal" in de website te bouwen waarbij medewerkers dus kunnen inloggen en de gegevens inzichtelijk krijgen.

Let wel; ik weet niet of logopedie 100% onder geneeskunde valt maar het is niet toegestaan om dossiers van patient A in te kunnen/laten zien door assistente/arts van patient B tenzij hier een absoluut noodzakelijke reden voor is.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

dinsdag 10 april 2018 12:19

Acties:
  • 0 Henk 'm!
  • mcDavid
  • Registratie: April 2008
  • Laatst online: 02-10 08:45

mcDavid

Gebruikelijk is inderdaad een portal te bouwen waar gegevens in staan. Zo hou je alles in eigen beheer en voorkom je dat gegevens in lange mailconversaties met "CC-to-all's" bij de verkeerde terecht komen. Eventueel kun je natuurlijk wel een email/sms/whatever notificatie sturen als er nieuwe berichten zijn. Zo doet Mijn Overheid het ook.

dinsdag 10 april 2018 12:26

Acties:
  • 0 Henk 'm!
  • Vexxon
  • Registratie: Augustus 2011
  • Laatst online: 04-03 16:33

Vexxon

Topicstarter
Als je de mail beveiligd met iets als OpenPGP, dan ben je daar ook "beschermd".
Dat is dus een optie, hoe 'ingewikkeld' is de implementatie daarvan?
Alternatief is inderdaad om een extra "portal" in de website te bouwen waarbij medewerkers dus kunnen inloggen en de gegevens inzichtelijk krijgen.
Ben je eigenlijk verplicht/is het wenselijk om dergelijke gegevens te verwijderen, zodra ze behandeld zijn?
Of mag je deze bewaren (geëncrypt uiteraard)?
maar het is niet toegestaan om dossiers van patient A in te kunnen/laten zien door assistente/arts van patient B
Het gaat hierbij zeker niet om dossier, maar puur om aanvragen die vanuit de website worden gedaan.

dinsdag 10 april 2018 12:39

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

Ik snap "aanvragen" niet maar als dat puuuur een afspraak (tijd+datum) is, dan kan je dat idd ontsluiten via een https-agenda (op de site) en eventueel als meeting-request naar een mailbox sturen.

De bewaartermijn ligt aan de financiele afhandeling. Is alles in eigen beheer, dan zal deze termijn vastliggen omtrent fiscale bewijslast ( 5 of 7 jaar?). Afspraken via doorverwijzing / zorgpolissen, zal je tenminste zo lang moeten bewaren als de tegenpartij verlangt.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 18 december 2019 12:42

Acties:
  • 0 Henk 'm!
  • joris_luik
  • Registratie: Maart 2008
  • Laatst online: 18-12-2019

joris_luik

Ik sluit aan op dit oude topic, omdat ik met hetzelfde te maken heb:

Als psychosociaal behandelaar moet ik ook aan de AVG voldoen. Mijn visiteur heeft me gezegd dat vermelding van mailadres op mijn (WordPress-) website onwenselijk is omdat cliënten daarin onencrypted privacygevoelige dingen naar me kunnen mailen. Een webformulier met encrytpie zou inherent veiliger zijn.

Echter: WordPress databases worden ook soms gehackt. En de hacker krijgt dan complete conversaties in handen ipv een incidenteel mailbericht. Dus is dit uiteindelijk wel veiliger?

woensdag 18 december 2019 12:51

Acties:
  • +1 Henk 'm!
  • Vexxon
  • Registratie: Augustus 2011
  • Laatst online: 04-03 16:33

Vexxon

Topicstarter
@joris_luik Volgens mij gaat het er uiteindelijk niet om dat het gehackt kan worden, alles kan namelijk gehackt worden. Het gaat er vooral om dat jij of de beheerder er naar alle redelijkheid zoveel mogelijk aan gedaan hebt om deze gegevens te beveiligen.

Met wat de visiteur aangeeft bedoelt hij dat je je patiënten eigenlijk maar één mogelijkheid moet bieden om met je te communiceren en dat die manier veilig is. Door een emailadres op je website te zetten zien je patiënten dat als mogelijkheid om gevoelige informatie te sturen, door patiënten te wijzen op het betreffende formulier heb je dat afgevangen.

woensdag 18 december 2019 13:34

Acties:
  • 0 Henk 'm!
  • joris_luik
  • Registratie: Maart 2008
  • Laatst online: 18-12-2019

joris_luik

OK, dat is helder, dank je voor je reactie :)

woensdag 18 december 2019 13:41

Acties:
  • +1 Henk 'm!
  • killercow
  • Registratie: Maart 2000
  • Laatst online: 07-10 09:06

killercow

eth0

joris_luik schreef op woensdag 18 december 2019 @ 13:34:
OK, dat is helder, dank je voor je reactie :)
Daarnaast *moet* je gegevens verwijderen als je ze niet meer nodig hebt, en *moet* je de patiënt vertellen waarom je de gegevens bewaart, hoe lang je ze bewaart, en waar je ze voor verwerkt. Ook moet je patiënten inzage en verwijderingsopties geven. Omdat het medische gegevens betreft gaat het al vrij snel om 'bijzondere persoonsgegevens' waar ook nog eens 2-factor verplichtingen gelden als jijzelf of de patiënt toegang wil tot de data.

Een wordpress-setup is mijn inziens niet betrouwbaar genoeg te houden voor deze zaken door de gemiddelde beheerder, zeker gezien de mate van automatische exploits die er geregeld over het net dwalen.

Eigenlijk zou je zelfs je verwerking nog moeten aanmelden bij de Autoriteit persoonsgegevens.

openkat.nl al gezien?

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq