Veerle De Swerts, IT Manager SOMEDI
Somedi is een klantvriendelijke polikliniek met een dienst medische beeldvorming en een middelgroot laboratorium. Huisartsen verwijzen hun patiënten door, naar specialisten die raadpleging houden in Somedi, voor technische onderzoeken en laten bloedstalen ophalen voor verder onderzoek. De onderneming bestaat ondertussen al 57 jaar en telt ongeveer 100 werknemers.
“Midden 2017 schakelden we de hulp in van Infosentry om de deadline van GDPR, nl. 25 mei 2018, goed voor te bereiden. Zo konden wij als kleine ICT organisatie de business as usual en de voorziene projecten organiseren en ons bijkomend voorbereiden op de nieuwe privacy- en data gereguleerde wetgeving. Daarnaast was er nood aan een veiligheidsconsultant aangezien dit een verplichting is in de zorgsector bij het raadplegen van rijksregisternummers. We kozen voor de begeleiding en ondersteuning van een externe consultant, in dit geval Ronny Verswijvel van Infosentry, die de nodige stappen kon nemen om vooruitgang te boeken en dit verder op te volgen. Voor Somedi was het van belang om het overzicht zelf te behouden, meer informatie en advies in te winnen en om blijvend te voldoen aan de privacy, security en GDPR- wetgeving.”
Bewustzijnsvorming rond GDPR in de zorgsector
Eind 2017 werd gestart met een interne audit met het hoofdaccent op privacy en security. De hoofdverantwoordelijke van elke afdeling werd hierbij betrokken om de prioritaire aandachtspunten per doelgroep te bepalen en samen een improvement plan op te stellen.
Uit dat plan werd als eerste doel GDPR compliancy afgeleid. Informatiesessies werden opgesteld zodat alle Somedi medewerkers geïnformeerd werden over de GDPR richtlijnen. Een cruciaal element hierbij waren de bewustzijnstrainingen. “Je kan snel hervallen in je oude routine en daarom is het belangrijk om GDPR-gewijs alles op te frissen, voor huidige en nieuwe werknemers” legt Veerle De Swerts, ICT Manager bij Somedi, uit. Om dit in de spotlights te zetten, werden gadgets en posters gemaakt met een doelgerichte boodschap om iedereen alert te houden.
Ook onze klanten, zoals huisartsen, kregen de nodige handleidingen mee en krijgen de kans deel te nemen aan de georganiseerde informatiesessies rond GDPR normen.
Eveneens werden de policies en processen door Ronny Verswijvel mee bekeken en verder gedocumenteerd en gestructureerd. Het is belangrijk om dit proces te blijven opvolgen en aan te sturen. Van zodra een bepaald risico is opgelost, kunnen namelijk nieuwe risico’s ontstaan. Heel veel toestellen worden beheerd door externen, dus een evaluatie is aangewezen. Ronny is het aanspreekpunt voor privacy en security en blijft paraat voor dringende vragen of risico’s.
Een volgende stap in het geheel was het opmaken van een Disaster Discovery plan voor Somedi.
Als laatste stap werden telkens de resultaten van de vorige audits opnieuw afgetoetst met Somedi en geëvalueerd wat er nog nodig is om aan de ISO27001 norm te voldoen. Deze continue evaluatie is ‘key’ voor de jaarlijkse audit.
De rol van DPO werd ondertussen intern toegewezen aan een medewerker, nadat deze de nodige opleiding had gevolgd. Ronny blijft wel aanwezig in de organisatie om deze DPO medewerker, wanneer nodig, te ondersteunen en te begeleiden. Zo werd na de inventarisatie van de contracten en de opvolging van de nodige verwerkersovereenkomsten met de leveranciers gestart met het uitvoeren van controlechecks in het kader van GDPR. Een maandelijkse afstemming rond de status is vereist om de nodige prioriteiten te kunnen identificeren. Ook dit najaar zal elke dienst opnieuw een GDPR training op maat krijgen, zodat de alertheid rond GDPR, privacy en security aanwezig blijft.
Externe ervaring zorgt voor nieuwe, frisse inzichten
“Wat de samenwerking enorm interessant maakte, is het feit dat de consultant extern is. Ronny kan veel nieuwe ideeën aanbrengen omdat hij gelijkaardige situaties bij andere klanten tegenkomt. Daarnaast is het juridisch advies dat Ronny kan inwinnen via jurist collega’s van Infosentry, een belangrijke meerwaarde.”
“Dankzij de hulp van Infosentry is het bewustzijn intern enorm gegroeid en weten we precies waar we willen eindigen. Veiligheid is een constante, het is geen éénmalig project op korte termijn. Er is een duidelijker overzicht van de huidige situatie en we weten waar de prioriteiten liggen op vlak van privacy en security.”
De samenwerking is voor beide partijen interessant en aangenaam. Ronny: “het aangename bij Somedi is dat ze echt geloven in het privacy- en securityverhaal. Er is een grote commitment van het management. Somedi is een leuke omgeving met toffe mensen, er heerst een goede sfeer en men heeft aandacht voor elkaar. Door deze openheid kunnen we samen naar positieve resultaten toe werken.
Heb je ook nood aan ondersteuning omtrent GDPR of ISO27001? Neem dan contact met ons op en vertel ons jouw verhaal!
Wat is het ISO27001 certificaat en wat houdt het in? Wat zijn de voordelen en meerwaarde? En hoe pak je dat nu gestructureerd aan?
Ondersteuning bij de implementatie en uitbouw van (privacy) compliance nodig binnen uw organisatie? Schakel onze experts in.