30 okt, 2018

Klant aan het woord: Sciensano

Sciensano GDPR
30 okt, 2018

Patricia Cliquet, Head of service Quality Bio Safety and Environment SCIENSANO

“Sciensano, het ‘Belgisch instituut voor gezondheid’, telt meer dan 700 medewerkers die zich elke dag opnieuw inzetten voor  het motto: levenslang gezond. Zoals uit onze naam blijkt, vormen wetenschap en gezondheid de kern van ons bestaan. De kracht van Sciensano ligt in de holistische en multidisciplinaire benadering van gezondheid. Onze aandacht gaat daarbij uit naar het nauwe en onlosmakelijke verband tussen de gezondheid van mensen en die van dieren, en hun omgeving (het “One health” concept). Daarom combineren we meerdere invalshoeken in ons onderzoek om op een unieke manier bij te dragen aan ieders gezondheid.Sciensano kan hiervoor verder bouwen op de meer dan 100 jaar wetenschappelijke expertise van het voormalige Centrum voor Onderzoek in Diergeneeskunde en Agrochemie (CODA) en het vroegere Wetenschappelijk Instituut Volksgezondheid (WIV).

Een jaar geleden hebben wij Infosentry gevraagd om ons instituut zo snel mogelijk GDPR compliant te maken. Hiervoor analyseerden ze eerst ons bedrijfsbeleid en bepaalden ze welke zaken nog ontbraken om helemaal up-to-date te zijn met de nieuwe wetgeving. Daarnaast hebben ze ook de conformiteit van ons instituut tov ISO 27001 afgetoetst. Samen hebben we vervolgens de belangrijkste prioriteiten bepaald en in een actieplan omgezet.

De eerste prioriteit was het opstellen van een verwerkingsregister en het opmaken van een inventaris rond het gebruik van persoonsgegevens. Dat was voor ons een heel ingewikkelde taak omdat wij een multidisciplinair team zijn dat in het kader van volksgezondheid heel veel persoonlijke gegevens verwerkt. Om alles zo goed mogelijk in kaart te brengen hebben de consulenten van Infosentry samengezeten met al onze diensten. Ze legden hen uit wat GDPR is, verzamelden alle informatie met betrekking tot persoonsgegevens die door onze collega’s werden verwerkt en brachten deze informatie samen in een uitgebreid verwerkingsregister voor elke dienst.

Verder heeft Infosentry ook onze privacy policy mee uitgewerkt en verschillende procedures opgestart zoals het melden van datalekken en het beheer van onze data. Om dit alles in goede banen te leiden werd er ook een GDPR-werkgroep opgericht waarin Infosentry het voortouw nam.

De samenwerking met Infosentry is een heel aangename ervaring. Ze hebben een heel pragmatische aanpak op maat van de klant en dat is net hetgeen we nodig hebben. De consultants van Infosentry beperken zich niet tot kant-en-klare procedures. Ze luisteren naar je specifieke problemen, kijken wat er nodig is en werken hun procedures op maat uit. Ook op vlak van opvolging zijn we heel tevreden. Terwijl de consultants van Infosentry onze procedures verder uitwerken, leiden ze intern een collega op die de rol van Data Protection Officer op termijn zal overnemen.”

Externe veiligheid voor persoonsgegevens

Bij Sciensano hebben we eerst en vooral een algemene doorlichting gedaan rond informatieveiligheid zodanig dat het bedrijf zijn ISO 27001-certificaat in de toekomst kan behalen. De klant wordt bovendien nog steeds ondersteund in het behalen van nieuwe certificaten. Op basis van verschillende interviews met medewerkers van het facility management en de IT-verantwoordelijken brachten we vervolgens de data security en de veiligheid van de fysieke gebouwen in kaart.

Wij verzamelden daarnaast alle concrete aandachtspunten en stelden een improvement plan op dat Sciensano zelfstandig kan uitvoeren. Dagelijks stelde onze consultant een verslag op van de stand van zaken en bundelde alle acties en resultaten in een overzicht. Op basis van deze overzichten maakte hij dan een rapport op dat maandelijks werd voorgesteld aan de directie. Door op deze manier regelmatig te rapporteren aan de klant verzekerden we een agile manier van werken waardoor we steeds direct in contact stonden met de directie. De toekomstige implementatie van dit improvement plan zal Sciensano op zich nemen.

Onze consultant legde ook de focus op de praktische toepassingen van privacybescherming en GDPR. Samen met de klant controleerde hij onder meer welke acties werknemers uitvoerden op zowel interne systemen als externe sites en apps. Op basis van deze resultaten stelde hij een rapport op en gaf hij aanbevelingen op vlak van information security management. Dit auditverslag zal dan de leidraad vormen om in de toekomst de gegevens van Sciensano beter te beschermen.

Intern draagvlak voor databescherming

In het kader van de nieuwe GDPR-wetgeving hielpen we de klant ook met de opmaak van een register waarin de verwerking van alle persoonsgegevens wordt gedocumenteerd. De consultant sprak hiervoor met de verschillende dienstverantwoordelijken om zo een intern draagvlak te creëren voor het verwerkingsregister. Ons voornaamste doel was om een bewustzijn van privacy te creëren bij de klant en iedereen te betrekken bij dit project.

De sleutel hiervoor was om iedereen op dezelfde manier met persoonsgegevens te leren omgaan. Aan de hand van een datamanagementplan moest elke dienst op een uniforme manier hun gegevens leren verwerken, opslaan en delen met hun medewerkers. Het aangename aan deze opdracht was dat er al veel kennis van GDPR aanwezig was bij Sciensano. Dat maakte onze samenwerking heel efficiënt.

Motiverende samenwerking

Sciensano was immers al overtuigd van de meerwaarde van Infosentry omdat ze al wettelijke verplichtingen hadden om voorzichtig om te springen met hun medische persoonsgegevens. Ze hadden bijvoorbeeld al een veiligheidsconsulent, werkten heel procesmatig en voor elk project werd er een analyse gemaakt over privacy en veiligheid. Voor veel werknemers van Sciensano veranderde er dus niet veel, maar het was wel noodzakelijk om al de bestaande documentatie samen te brengen en het hele privacy-proces te systematiseren.

“Het is een heel motiverende omgeving om in te werken”, legt Bert, consultant bij Infosentry, uit “je zit in het centrum van gevoelige medische gegevens. Dan voel je pas dat een bedrijf als Sciensano onze begeleiding echt nodig heeft. De medewerkers zagen direct het belang in van GDPR en waren op voorhand al goed bewust van de uitdagingen in gegevensbescherming. Daardoor kon ik hen uitdagen om mee te denken over hoe we de persoonlijke gegevens in hun database nog beter konden beschermen.”

In de toekomst blijven de consultants van Infosentry Sciensano nog bijstaan tot er een interne collega opgeleid is om de taken van Data Protection Officer op zich te nemen. Tot dan kan Sciensano beroep blijven doen op onze expertise in gegevensbescherming.

Ook nood aan ondersteuning omtrent GDPR? Aarzel niet om contact met ons op te nemen!

Heeft uw organisatie te weinig zicht op de impact van de geldende verplichtingen rond privacy? Breng uw verplichtingen in kaart a.d.h.v. een Privacy Compliance Assessment.

Ondersteuning bij de implementatie en uitbouw van (privacy) compliance binnen uw organisatie.

Nood aan opvolging en ondersteuning? Op zoek naar een onafhankelijke DPO? Infosentry kan als uw DPO worden aangesteld of de interne DPO ondersteunen.