Privacystatuut locatie AMC

Doel

Het Privacystatuut AMC gaat over de zorgvuldige omgang met persoonsgegevens. Dit heeft niet alleen betrekking op gegevens van patiënten in bijvoorbeeld medische of verpleegkundige dossiers, maar ook op gegevens van medewerkers van het AMC en studerenden bij het AMC. Het Privacystatuut betreft zowel persoonsgegevens, die geautomatiseerd worden verwerkt (met computers), als traditionele vormen (zoals papierendossiers), maar ook gevoelige bedrijfsgegevens.
Door middel van het Privacystatuut geeft het AMC aan hoe de zorgvuldige omgang met persoonsgegevens is vormgegeven door algemene spelregels en specifieke regels voor verschillende soorten persoonsgegevens en om verschillende manieren van verwerken aan te wijzen en vast te leggen.

Algemene verplichtingen

Houd geheim wat geheim is
Als u vanwege uw werkzaamheden met persoonsgegevens in aanraking komt, dient u geheimhouding daarvan te respecteren. Dit geldt ook voor gegevens waarvan u kunt begrijpen dat zij beschermd moeten worden. Bovendien kan de Raad van Bestuur (RvB) bepalen dat voor sommige gegevenssoorten een geheimhoudingsplicht geldt.

Meld een verwerking van persoonsgegevens
Meld een verwerking van persoonsgegevens (van patiënten, medewerkers, studenten of anderszins) bij de Chief information security & privacy protection (CISPPO: de functionaris gegevensbescherming volgens de Wet bescherming persoonsgegevens). Voor de aanmelding geldt een meldingsformulier en speciale regels. Op intranet kunt u zien of een verwerking al is aangemeld. Als u niet verantwoordelijk bent voor een verwerking, maar wel met een niet-aangemelde verwerking in aanraking komt (dit kunt u op intranet achterhalen), moet u dit ook melden aan de CISPPO. Dit kan met behulp van e-mail aan cisppo@amc.nl.

Laat anderen geen gebruik van jouw privileges maken
Onbevoegden mag u onder geen beding toegang verschaffen tot, of inzage bieden in, persoonsgegevens. Dit geldt ook voor bevoegden: zij dienen zelfstandig toegang te verwerven tot, dan wel inzage te verwerven in, persoonsgegevens, die zij vanwege hun werkzaamheden nodig hebben.
Als u dus zelf toegang hebt tot bepaalde verwerkingen, voorzieningen, diensten of faciliteiten, dan mag u anderen daar niet namens u gebruik van laten maken. U mag dus niet iemand anders onder uw inlogcode (account) laten werken en ook niet aan iemand uw wachtwoord (password) doorgeven. U moet er bovendien actief voor zorgen dat zoiets ook niet kan (bijvoorbeeld niet onbeheerd een ingelogd beeldscherm achterlaten, of een stickertje met wachtwoord naast het beeldscherm plakken).

Houd u aan de gebruiksregels
Als u voor uw werkzaamheden toegang hebt gekregen tot bepaalde verwerkingen, voorzieningen, diensten of faciliteiten, dan moet u bij het gebruik de, door of namens de RvB vastgestelde en geldende regelingen, volgen.

Houd uw wachtwoord geheim
Geef onder geen enkel beding uw wachtwoord (password) aan een ander. Vraag ook niemand naar diens wachtwoord. Ook ICT-medewerkers zullen nooit naar uw wachtwoord vragen. Wees er op bedacht als dit toch gebeurt: waarschijnlijk is diegene van kwade wil! E-mails die ‘vissen’ naar uw wachtwoord? Niet op reageren en doorsturen naar phishing@amc.nl. Andere pogingen om uw wachtwoord te ontfutselen? Meld het via cisppo@amc.nl.

Schoon bureau, schoon scherm
Zorg ervoor dat als u uw werkplek verlaat, er geen persoonsgegevens te zien zijn op tafels/ bureaus (denk aan dossiers!) of het beeldscherm. Berg spullen op in een afgesloten kast en maak het beeldscherm schoon en blokkeer deze. Dit geldt ook indien een werkkamer op slot wordt gedaan (anderen hebben ook sleutels). Met andere woorden: breng niemand in verleiding!

Werk op de goede plek
Zorg ervoor dat u uw werkplek zo inricht, dat onbevoegden niet mee kunnen kijken en persoonsgegevens van anderen kunnen inzien. Laat geen persoonsgegevens onbeheerd achter (bijvoorbeeld op een balie). Wees ervan bewust wie er kan ‘meelezen’ (bijvoorbeeld in de trein).

Wees “webwijs”
E-mails die dreigen een account op te heffen of ander onheil voorspellen als u niet onmiddellijk gebruikersnaam en wachtwoord doorgeeft; trap er niet in! Niet op reageren en doorsturen naar phishing@amc.nl.

Nieuwe ‘pop-up’ berichten op onverwachte plekken en met onbegrijpelijke meldingen: klik op het rode-vakje-met-het-kruisje (rechtsboven)! Wantrouw in dat soort gevallen knoppen als ‘annuleren’ of ‘cancel’

Gebruik alleen legale programma’s
Los van dat het verboden is, hebben illegale (gekraakte) programma’s een dubieuze herkomst. Ze zijn vaak voorzien van ‘achterdeuren’, waarmee beveiliging buiten werking kan worden gesteld. Zo kunnen gevoelige gegevens naar derden worden verzonden zonder dat u het merkt.

Meld overtredingen
Als u onbevoegd toegang tot, of oneigenlijk gebruik van verwerkingen, voorzieningen, diensten of faciliteiten constateert of kunt weten, dan moet u dit terstond melden aan uw leidinggevende. Als u het gevoel hebt dat er te weinig mee wordt gedaan, kunt u vertrouwelijk contact opnemen met de CISPPO (cisppo@amc.nl).

Versleutel gegevens in transport
Bij transport van persoonsgegevens buiten het AMC (via e-mail, op USB-stick of laptop of anderszins) moeten deze gegevens altijd worden beschermd door middel van encryptie. De ICT- servicedesk (ISD) kan u verder informeren.

Buitenland
Voor transport van persoonsgegevens naar landen buiten de Europese Unie (dus ook de Verenigde Staten) op welke wijze en in welke vorm ook (denk aan e-mail, USB-stick maar ook een laptop, tablet of PDA) zijn slechts bij uitzondering en onder voorwaarden toegestaan. Hiervoor is een nieuw reglement beschikbaar: “Reglement persoonsgegevens over de grenzen”. Laat u ook vooraf informeren door de CISPPO.

E-mail
Al versleutelt u een e-mail, na ontvangst zal deze “ontsleuteld” worden en daarom veelal “ontsleuteld” opgeslagen. Omdat u geen zicht hebt op de plaats waar gegevens worden opgeslagen, moet u goed opletten aan wie u e-mails verstuurd en of er persoonsgegevens in staan. Gebruik voor verzending van persoonsgegevens alleen e-mailadressen met een goede reputatie. Gebruik geen e-mailadressen bij gratis providers als gmail, hotmail, etc. De plaats waar e-mails worden bewaard is onduidelijk en daarmee ook onder welk juridisch kader dit valt. De mogelijkheid om automatisch e-mails door te sturen (automatic mail forwarding) is niet toegestaan.

Blogs, social networking
Onthul nooit en te nimmer persoonsgegevens of gegevens die tot een individu (of een kleine groep individuen) herleidbaar zijn. Maak duidelijk dat het om persoonlijke opvattingen gaat en onthul geen gevoelige bedrijfsgegevens. Blijf beleefd, bekritiseer geen collega’s of hun gedrag en citeer niemand zonder diens toestemming.
Kortom: gebruik je gezonde verstand!

Internettelefonie
VoIP (voice over internet protocol), zoals Skype lijken aantrekkelijk, omdat de gesprekskosten nihil zijn, vooral voor gesprekken met het buitenland. Gegevenstransport over het internet (waaronder de transport van het telefoongesprek) gebruikt echter onvoorspelbare routes en de kans is zeer groot dat delen van een gesprek door landen gaan, die het niet zo nauw nemen met privacy. Juist telefoongesprekken hebben vaak een vertrouwelijk karakter, daarom is internettelefonie niet toegestaan. Bovendien kan het AMC, als grootgebruiker, goedkoop ‘telefoontikken’ inkopen.

Houd u aan de wet
Een open deur! Maar als medewerker moet u rekening houden met de reputatie van het AMC en met eventuele juridische consequenties voor het AMC.

Houd de boel in de gaten
Wees alert op potentieel onveilige situaties en handel er naar. Meld oneigenlijk en onbevoegd gebruik en spreek elkaar aan op ongewenst gedrag. Laat je voorlichten door de deskundigen: de CISPPO, de ISD.

Reglementen Op het Privacystatuut berusten de volgende reglementen:

  • Rechten van de AMC-patiënt met betrekking tot zijn gegevens
  • Reglement verwerking van persoonsgegevens van betrokkenen binnen het AMC (vervangt respectievelijk het Reglement verwerkingen van gegevens van patiënten van het AMC, het Reglement verwerkingen van gegevens van medewerkers van het AMC en het Reglement verwerkingen van persoonsgegevens in verband met onderwijs in het AMC (alle van 22 oktober 2002)
  • Reglement verwerkingen van persoonsgegevens van betrokkenen van buiten het AMC (nieuw; voor situaties waar het AMC als bewerker optreedt, ook als inbesteding aangeduid)
  • Reglement verwerkingen van persoonsgegevens van samenwerkingspatiënten (nieuw; voor structurele samenwerkingssituaties)
  • Reglement verwerking van persoonsgegevens door bewerkers (nieuw; met name uitbesteding)
  • Reglement werkwijze functionaris gegevensbescherming en Privacyraad AMC (vervangt het Reglement werkwijze van de functionaris en de klankbordgroep gegevensbescherming binnen het AMC van 22 oktober 2002)
  • Reglement omgang met ICT bij het AMC (vervangt het reglement Gedragsregels computerfaciliteiten AMC van 1 mei 2002)

Reglement persoonsgegevens over de grenzen.

Tot slot

Dit statuut is op 7 juni 2011 door de Raad van Bestuur van het AMC te Amsterdam vastgesteld. Het treedt in werking met ingang van 1 oktober 2011.