Net als het register van verwerkingen is ook de risicobeoordeling voor huisartsenpraktijken al volledig voor je opgesteld. In het Cohesie-project hebben we een compleet risicoprofiel samengesteld, gebaseerd op de dagelijkse praktijk in huisartsen-praktijken: van mensen en gebouwen tot apparaten, netwerken en applicaties. Aan elk onderdeel zijn mogelijke bedreigingen gekoppeld, met passende beveiligingsmaatregelen.
Deze beoordeling voldoet aan de eisen van artikel 32 AVG en vormt meteen een sterke basis voor toekomstige verplichtingen onder de NIS2-richtlijn. Voor jou betekent dit: geen nieuw traject, geen lege spreadsheets. Je hoeft het risicoprofiel alleen nog te bekijken, aan te vullen waar nodig en te bevestigen.
Praktisch en concreet: risico’s bekeken vanuit de praktijk
Na de contextanalyse en het opstellen van het register van verwerkingen hadden we duidelijk wie welke persoonsgegevens verwerkt, met welk doel en via welke systemen. Maar dat geeft nog geen compleet beeld. Elke verwerking gebeurt immers binnen een infrastructuur van mensen, systemen en gebouwen – en elk van die onderdelen kan kwetsbaar zijn voor risico’s, van binnenuit of van buitenaf.
Daarom hebben we een stap verder gezet: de risicobeoordeling. Daarbij kozen we bewust voor een praktische aanpak in plaats van een theoretisch model. We zijn uitgegaan van de vraag: welke middelen worden in de praktijk gebruikt om de gegevensverwerkingen uit te voeren? Vervolgens hebben we in kaart gebracht welke processen afhankelijk zijn van die middelen, aan welke risico’s ze blootstaan en welke maatregelen daartegen passend zijn.
Dreigingen zijn bekend – en daar maken we gebruik van
We hoefden geen risico’s zelf te bedenken. Dankzij bronnen als ENISA beschikken we over gedetailleerde dreigingscatalogi. Denk bijvoorbeeld aan brand, diefstal of wateroverlast, maar ook aan malware, datalekken of kwetsbaarheden in software. Ook menselijke fouten of onoplettendheid kunnen risico’s opleveren. Op basis van deze realistische scenario’s hebben we per onderdeel van de praktijk bekeken wat er nodig is om risico’s beheersbaar te maken.
Van risico naar maatregel – en terug naar de wet
Deze risicobeoordeling is nauw verbonden met de wet. Artikel 32 AVG schrijft voor dat passende beveiligingsmaatregelen moeten worden genomen, afhankelijk van het risico. Onze beoordeling is daarop afgestemd. Ook de NIS2-richtlijn sluit hierbij aan. Hoewel een individuele huisartsenpraktijk meestal niet direct onder deze richtlijn valt, kunnen verplichtingen toch van toepassing zijn, bijvoorbeeld via regionale samenwerkingen, ICT-leveranciers of toekomstige Nederlandse wetgeving. Bestuurders van zulke organisaties hebben zelfs een toezichtsverplichting en kunnen bij ernstige nalatigheid persoonlijk aansprakelijk zijn.
“Door één risicobeoordeling goed uit te voeren, voldoen we aan artikel 32 van de AVG
én bouwen we een fundament onder de eisen van NIS2 – nu én voor de toekomst.”
— Ankie in ‘t Zandt, Functionaris Gegevensbescherming bij Coöperatie Cohesie
Herbruikbaar, herkenbaar en afgestemd op jouw praktijk
Huisartsenpraktijken verschillen hier en daar in detail, maar veel elementen zijn vergelijkbaar. Netwerken, apparatuur en processen zijn in de basis vaak hetzelfde. Daarom hebben we de beoordeling gestandaardiseerd en opgenomen in de Gouden AVG/NEN7510 Standaard voor huisartsen. Je hoeft het profiel alleen te controleren, eventueel aan te passen en daarna te bevestigen.
Wat dit concreet betekent voor jouw praktijk
Je risicobeoordeling is al beschikbaar. Deze sluit aan op jouw eigen middelen, processen en beveiligingsmaatregelen. Daarmee voldoe je aan de eisen van artikel 32 AVG en bereid je je voor op toekomstige verantwoordelijkheden onder NIS2.
Volgende stap: van risico naar bewijs
Nu duidelijk is welke risico’s er zijn en welke maatregelen zijn genomen of nog nodig zijn, volgt de logische vraag:
“Kunnen we ook laten zien dat we doen wat we zeggen?”
In het volgende bulletin ontdek je hoe je dat eenvoudig en zonder extra administratie inzichtelijk maakt.
