Bescherming van persoonsgegevens in de zorg:

verder kijken dan de AVG wet

9 MEI 2019 | PETER OSKAM

 “Het verantwoord omgaan met persoonsgegevens is onderdeel van onze kernwaarden geworden. Het is dus niet langer alleen een wettelijk verplichting, het is opgenomen in het DNA van onze organisatie.” aldus een bestuurder van een Jeugdzorginstelling bij de afronding van het AVG-project. De AVG is veel meer dan de implementatie van een wet. Het is vooral een kans om de mind-set rondom privacy binnen uw organisatie structureel te veranderen. Dit is zeker in een organisatie binnen de zorgsector van groot belang en al helemaal als het ook nog eens over jeugdigen gaat.  

Techniek én organisatie 

De implementatie van de AVG raakt de technische systemen en alle medewerkers binnen uw organisatie. Of het nu gaat om verzorgers, directieleden, administratief medewerkers of IT-ontwikkelaars, iedereen heeft een bijdrage te leveren aan het veilig omgaan met persoonsgegevens. De rechten en rollen kunnen technisch perfect ingeregeld zijn. Tegelijkertijd is het niet te voorkomen dat een medewerker een foto maakt van het dossier op het scherm om te delen met een collega. 

Bewustwording gaat verder dan processen en procedures 

Het is in alle situaties van groot belang dat processen voor het verwerken van persoonsgegevens voor iedereen bekend én duidelijk zijn. Daarnaast zullen zich echter altijd situaties voordoen die we (nog) niet hadden voorzien. Vooral in dit soort situaties is het goed als de bewustwording rondom informatiebeveiliging bij alle medewerkers op een dusdanig niveau is dat ze risicovolle situaties binnen de organisatie zullen herkennen en bespreken. Met alleen een jaarlijkse cursus lukt het niet om een risicobewuste cultuur te creërenInformatiebeveiliging moet een onderdeel worden van de cultuur en dat behoeft terugkerende aandacht. 

Doe wat nodig is 

Zoals bij iedere verandering in uw organisatie is het ook hier van groot belang om de scope van de verandering heel duidelijk vast te stellen. Ik hoef hier niet te gaan vertellen waar u aan moet voldoen. Hier is al voldoende over geschreven [1] [2]. Inzicht is nodig in alle processen en systemen die persoonsgegevens bevatten. Daarnaast is het nodig om te weten hoe medewerkers persoonsgegevens benutten. Binnen de eigen systemen, delen van informatie met andere organisaties, via e-mail, via smartphone, om maar een paar scenario’s te noemen. Door de hele organisatie te betrekken verhoogt de noodzakelijke bewustwording rondom privacy in de organisatie en komt er zicht op de verbeterpunten. 

Check op persoonsgegevens bij alle processen en projecten 

Naast alle primaire beveiligingsprocessen (zoals fysieke en ICT-toegangsbeveiliging, encryptie en penetratietesten) is het ook zeker goed om te kijken naar processen die minder op de voorgrond staan. Denk hierbij aan gearchiveerde data en data die achterblijft in oude systemen. Met name bij de overgang naar nieuwe systemen vormen zich dan privacy risico’s. Een recent voorbeeld toont de (reputatie) schade die voortvloeit uit het gebrek aan aandacht voor persoonsgegevens [3]. Binnen alle projecten zal hiervoor extra aandacht moeten zijn. Geef dit dan ook een plek in de governance structuur van projecten.  

Privacy aanpak als onderscheidend vermogen 

Het resultaat van een zorgvuldige inbedding van privacy is dat alle medewerkers, cliënten en toezichthouders er vol op vertrouwen dat eenieder goed omgaat met de persoonsgegevens. Geef uw privacy aanpak ook in externe uitingen een duidelijke plek zodat uw organisatie zich op een positieve manier onderscheidt. 

 

Wees niet bang voor eventuele hoge boetes van de AVG, het reputatierisico is waarschijnlijk groter. 

Meld je nu gratis aan voor de training IT Master in de Zorg t.w.v. € 595,– *
27 juni 2019 | 13:00 – 17:00 uur | Inntel Hotels – Utrecht Centre

Peter OskamROI Manager IT-Councelor West