Beschermen privacy begint in de boardroom

Aan elke periodieke directiebeoordeling in de zorg moet voortaan een privacy-check worden toegevoegd. Want geen enkele zorginstelling kan zich het risico op datalekken veroorloven. Als het toch gebeurt, moet de bestuurder kunnen aantonen alles te hebben gedaan om privacy-schending te voorkomen. Op straffe van forse boetes, die kunnen oplopen tot 20 miljoen euro of vier procent van de wereldwijde jaaromzet.


Dat zegt Ronald Brouwer, onder meer oud divisiemanager in de zorg en momenteel consultant bij Winvision. De getallen onderschrijven zijn betoog.
In het tweede kwartaal van dit jaar registreerde de Autoriteit Persoonsgegevens al bijna 2500 meldingen van datalekken in de zorg; nagenoeg het dubbele in vergelijking met hetzelfde kwartaal van vorig jaar. Dat betekent volgens hem vooral dat de meldingsbereidheid is toegenomen, mede dankzij de huidige meldplicht in de wet bescherming persoonsgegevens, die nu ongeveer een jaar van kracht is.

Boete ontlopen

Wie sindsdien een incident meldt, ontloopt een boete. In het verleden moeten er dus een hoop incidenten zijn geweest die onder de radar wisten te blijven. ‘De nieuwe Algemene Verordening Gegevensbescherming is strenger dan de huidige wet persoonsgegevens’, zegt hij.

‘Er zit ook een meldplicht in, maar als na onderzoek op basis van zo’n melding blijkt dat de instelling niet voldoet aan de regelgeving, kan er alsnog een forse boete volgen. Uit nieuwe jurisprudentie moet straks nog wel blijken hoe de rechter hier precies mee om zal gaan.’

‘Wie nog niet aan de huidige wet voldoet, heeft dus echt een behoorlijke klus om in mei volgend jaar compliant te zijn. Heb je de lopende wetgeving al geïmplementeerd, dan is het minder werk maar nog altijd een uitdaging.’ Aldus Brouwer.

Verantwoordings- en informatieplicht

Want wat zijn de hoofdpunten van de Algemene Verordening Gegevensbescherming? Het gaat in grote lijnen om een verantwoordingsplicht, een informatieplicht, een ontwerpeis (privacy by design), een beoordeling op het effect van gegevensbescherming (privacy impact assessment), het instellen van een verwerkingsregister en de aanstelling van een functionaris gegevensbescherming.

De verordening wil dat zorginstellingen de Autoriteit Persoonsgegevens informeren over een privacy-schending en daar ten opzichte van betrokkenen verantwoording over afleggen. Het assessment brengt aan het licht welke potentiële schendingsrisico’s er zijn.

Het verwerkingsregister beschrijft onder meer welke persoonskenmerken worden verwerkt in de instelling, wat de bewaartijd daarvan is, wie welke autorisaties bezit en wat er gebeurt met de dataverzamelingen. Ook houdt het register bij welke handelingen met de privacygevoelige materie worden uitgevoerd. De functionaris gegevensbescherming informeert en adviseert over de impact van de verordening op de organisatie en ziet toe op de naleving ervan.

Menselijke fout

‘Uit talloze onderzoeken blijkt keer op keer dat het schrijven van protocollen en richtlijnen belangrijk is, maar dat het er vooral op aankomt dat de medewerkers zich bewust zijn van de risico’s op privacy-schendingen’, zegt Brouwer. Met andere woorden, de mens is de zwakke plek.

Van de 2500 meldingen in het tweede kwartaal van 2017 was 70 procent te herleiden op een persoonlijke fout van een medewerker. Denk aan het versturen van informatie naar een verkeerde ontvanger (45%), het slordig omgaan met gegevensdragers (15%) en het kwijt raken van brieven in de post (10%).

‘Gelukkig zijn er ook technieken en systemen om zoveel mogelijk dit soort menselijke fouten te voorkomen’, vertelt Brouwer. De verzamelnaam daarvan is prevention enabling technology; software die in staat is te ‘zien’ dat er NAW-gegevens, een BSN-nummer of bijvoorbeeld een patiëntnummer in de mail staat en de verzender nog eens waarschuwt goed te controleren of wel de juiste geadresseerde is ingevuld. Zo’n waarschuwing kan zelfs bij elk mailtje naar adressen buiten de zorginstelling worden ingezet.

Verder beschikt een bedrijf als Winvision (zie ook het kader) over medewerkerstrainingen, zowel op de werkplek als via e-learning. Als onderdeel van zo’n bewustwordingscampagne worden onder meer ook instructiefilmpjes op het intranet geplaatst en frequently asked questions ingezet.

Boardroom is essentieel

De verplichte functionaris gegevensbescherming heeft hier een actieve taak. ‘Maar’, zegt Brouwer. ‘Het belang van privacybescherming moet door de top worden gedragen. De boardroom is essentieel voor het slagen van zo’n campagne. De bestuurder/directie moet het belangrijk vinden. En de raad van toezicht moet er op toezien. Want de reputatieschade door publicaties over datalekken kan aanzienlijk zijn.’

Gap-analyse

In mei volgend jaar wordt de nieuwe, Europese algemene verordening gegevensbescherming van kracht. Deze verordening is strenger dan de huidige wetgeving. IT-dienstverlener en Microsoft-partner Winvision heeft samen met juridisch partner DPA Privacy een aantal producten ontwikkeld die zorginstellingen kunnen helpen op tijd compliant te zijn.

Een zogenoemde gap-analyse (of privacy impact assessment) legt bloot waar de instelling wel en niet in overeenstemming is met de verordening. Vervolgens kan Winvision/DPA afhankelijk van de uitkomst helpen bij het inrichten van zaken als privacy by design, prevention enabling technology, het opzetten van een verwerkingsregister en/of het inrichten van een bewustwordingscampagne.

Voor de wat kleinere zorginstellingen trekt het op de loonlijst zetten van een verplichte functionaris gegevensbescherming een zware wissel op de begroting. Samenwerken met andere zorginstellingen is een oplossing. Individueel of gezamenlijk zo’n expert inhuren bij Winvision/DPA behoort eveneens tot de mogelijkheden en voldoet aan de regelgeving.

Dit artikel is ook verschenen op Boardroomzorg.nl

Meer weten?

Mark Wegman
Key Account Manager
mark.wegman@winvision.nl

+31 (0)6 10 32 25 95
+31 (0)30 658 01 58