Interview met Harm Jan | FG in de praktijk

Stel jezelf voor

Ik ben Harm Jan Sleijffers en werk als Legal Consultant bij Cure4, hét financieel organisatie en adviesbureau in de zorg. Ik adviseer onder meer zorginstellingen over de praktische implicaties van de Algemene Verordening Gegevensbescherming (AVG) en hoe organisaties privacy van patiënten, klanten, medewerkers het beste kunnen beschermen en ben werkzaam als Functionaris Gegevensbescherming (FG) voor meerdere organisaties.

Wat doe je precies als FG?

De FG is degene die namens de organisatie specifiek toeziet op het naleven van de nieuwe privacyverordening en de inrichting van de belangrijkste gegevensverwerkingen binnen de zorginstelling. Daarbij is het cruciaal dat je de organisatie goed kent en betrokken bent bij de belangrijkste activiteiten van de zorginstelling.

“Het is cruciaal dat je als FG de organisatie goed kent en betrokken bent bij de belangrijkste activiteiten van de zorginstelling.”

Wat zijn de grootste uitdagingen van een FG om het werk goed uit te kunnen voeren?

Een FG moet gevraagd en ongevraagd advies kunnen geven en zich vrij kunnen bewegen in de instelling. Optimaal op de hoogte kunnen zijn van de laatste ontwikkelingen en vraagstukken. Dat vraagt ook om een pro-actieve houding van de FG. Deze moet voor voldoende contact-mogelijkheden zorgen met medewerkers uit de instelling en af en toe een ‘kop koffie’ drinken met medewerkers en de leden van de directie/ Raad van Bestuur van de zorginstelling.

Een valkuil voor een FG is dat deze te druk is met deelprojecten en daardoor niet goed overzicht heeft over wat er speelt. Een FG is daarom altijd afhankelijk van teamleden en andere sleutelfiguren binnen de zorginstelling om gezamenlijk te waarborgen dat de privacy en bescherming van persoonsgegevens een goede plek en prioriteit heeft in de zorginstelling. Blijvend aandacht vragen voor het onderwerp is cruciaal, omdat het een onderwerp is wat snel ondergeschikt wordt op de dagelijkse agenda. De primaire taak van een zorginstelling is immers het verlenen van de beste zorg voor de patiënt. Privacy en bescherming daarvan is en blijft daarbij een belangrijk uitgangspunt.

Hoe wordt jij als externe FG door de organisatie ingezet?

Dat kan in verschillende hoedanigheden:

  • In eerste instantie om na te gaan hoe de privacy huishouding ervoor staat en aan te geven waar de organisatie stappen kan nemen. Waar zitten de voornaamste risico’s en voldoet de zorginstelling aan de AVG.
  • Een andere vorm is een ondersteunende rol voor medewerkers, die door de zorginstelling zijn aangewezen, om toe te zien op de bescherming van privacy van patiënten en op het beveiligen van de belangrijkste gegevensverwerkingen.

Welke zaken vallen jou als FG op in de praktijk?

De impact van de AVG is groot. Het beschermen van persoonsgegevens en het inrichten van je organisatie en processen zodat privacy geborgd is, is minder vrijblijvend en roept veel werk op. Je moet als zorginstelling nu echt zaken kunnen aantonen en kunnen verantwoorden. Bijvoorbeeld het inzichtelijk kunnen maken welke beveiligingsmaatregelen je hebt genomen of het overleggen van een kloppend verwerkingenregister. Niet alleen richting de autoriteiten is het belangrijk om verantwoording te kunnen geven, maar zeker ook richting patiënten. De rechten van deze patiënten zijn met de komst van de AVG uitgebreid en het juist en adequaat informeren van de patiënt is cruciaal. Omdat dit allemaal een veranderde manier van werken vraagt en een andere inrichting van je processen, geeft dit veel werk voor zorginstellingen.

Wat gaat er goed en/of kan beter?

Wat er goed gaat is dat er nu echt concrete stappen worden genomen, die de privacy van iedereen echt beter gaan beschermen. Organisaties en medewerkers stellen zichzelf heel bewust de vraag of zij bepaalde gegevens mogen delen en onder welke voorwaarden. Dit bewustzijn versterkt het beter en zorgvuldiger omgaan met persoonsgegevens. Dat het handig is bepaalde persoonsgegevens met andere instellingen of organisaties te delen, wordt vaak onderkent. De vraag of het ook mag en of er een grondslag voor is, wordt nu bewuster gesteld en vastgelegd. Hiermee wordt voorkomen dat partijen persoonsgegevens delen voor meerdere doelen, zonder dat zij de patiënt bijvoorbeeld om toestemming hebben gevraagd of in ieder geval vooraf aan het delen zich hebben afgevraagd of de gegevens überhaupt wel mogen worden gedeeld.

Organisaties moeten hun genomen maatregelen blijven verbeteren en na het nemen daarvan niet te snel tevreden zijn. Het voldoen aan de AVG wordt vaak nog gezien als een ‘check in the box exercise’ en vervolgens verslapt de aandacht voor de genomen maatregelen. Om ervoor te zorgen dat de Plan do check act- cyclus echt werkt in je organisaties moet er meer aandacht zijn voor verbeteracties en het optimaliseren van je privacy huishouding.”

Wat is jouw meerwaarde als FG?

Als FG lever je jouw meerwaarde aan een zorginstelling door het tijdig signaleren en oplossen van privacyvraagstukken door middel van vaak simpele en praktische maatregelen. Hierdoor draag je bij aan de zorgvuldigheid van werken in een zorginstelling en het bieden van een nog betere kwaliteit van zorg. Een FG bewaakt de belangrijkste processen en kijkt naar risico’s en bepaalt samen met de organisatie hoe deze het best kunnen worden aangepakt. Hiermee worden zorgverleners ook ondersteunt bij deze verantwoordelijkheid en ontlast, zodat zij zich kunnen focussen op het leveren van dagelijkse zorg.

“De impact van de AVG is groot. Het beschermen van persoonsgegevens en het inrichten van je organisatie en processen zodat privacy geborgd is, is minder vrijblijvend en roept veel werk op.”

Waar lopen organisaties in de zorg vooral tegenaan als gaat om AVG implementatie?

Het grip krijgen op alle verwerkingen van persoonsgegevens en het behouden van overzicht op deze verwerkingen. In een gemiddelde zorginstelling worden gegevens van patiënten voor meerdere doeleinden gedeeld en met diverse organisaties. Voor enerzijds multi-disciplinaire behandeling, verantwoording van geleverde zorg ten behoeve van zorgverzekeraars en medisch wetenschappelijk onderzoek, maar ook andere doeleinden zoals e-health toepassingen en extern draaiende ICT-oplossingen. Binnen de keten van verwerkingen van persoonsgegevens zijn bij uitstek in de zorg meerdere partijen betrokken met ieder een andere rol. Het echt grip krijgen op deze verwerkingen en het er zeker van zijn dat alles wat geregeld moet worden ook daadwerkelijk is geregeld, vormt een uitdaging voor veel zorginstellingen.

Wat zijn hier vooral de knelpunten?

Een knelpunt is allereerst het nemen van de waarborg van een verwerkersovereenkomst. Het sluiten hiervan is niet in alle gevallen noodzakelijk en partijen hebben het niet duidelijk welke rol en welke verantwoordelijkheden zij hebben bij het verwerken van persoonsgegevens. Het beoordelen of een verwerkersovereenkomst nodig is, is voor veel zorginstellingen een lastige klus. Ook het afsluiten ervan en het beoordelen of de verwerkersovereenkomst voldoet aan alle vereisten, die de AVG daaraan stelt, is lastig. Vaak treed je in een juridische onderhandeling, omdat er voorwaarden aan de verwerkersovereenkomst worden toegevoegd, die niet primair vereist zijn. Hiermee wordt ook je juridische positie bepaald en verandert deze als je in het verleden andere afspraken hebt gemaakt. Het goed inrichten van processen rondom het hanteren van verwerkersovereenkomsten en het overzicht houden over alle lopende contracten is een uitdaging en vraagt veel van het contractmanagement van de zorginstelling.

Een ander aspect is het beoordelen of de verwerker de juiste beveiligingsmaatregelen heeft genomen. Het enkel beloven dat de verwerker dit zal doen, is niet voldoende en de verantwoordelijkheid om hierop toe te zien, ligt primair bij de zorginstelling. Vaak is de kennis om dit te beoordelen niet in huis en kan een FG (eventueel met aanvulling van een security officer) de oplossing bieden.

Een ander knelpunt is het juist hanteren van bewaartermijnen. Ook dit is een lastige en tijdrovende klus. Veel organisaties bewaren gegevens te lang of verspreid over meerdere systemen. Het is dan bijzonder lastig om erop toe te zien dat persoonsgegevens niet te lang of te wijd verspreid (‘dubbel’) worden verzameld. Dataminimalisatie is hier namelijk het uitgangspunt.

Hoe zie jij de toekomst van privacybescherming in de zorg?

Binnen zorginstellingen is er al een natuurlijke focus op de patiënt en het welzijn van de patiënt. Zorgvuldig omgaan met gegevens van de patiënt is reeds onderdeel van de manier van werken. Met de komst van de nieuwe verordening is het bewustzijn zeker toegenomen. Privacy is nog meer onderdeel geworden van de dagelijkse manier van werken en zorginstellingen hebben concrete maatregelen genomen. Dit bewustzijn heeft echter als wezenskenmerk om te ‘verwateren’ en te verdwijnen in de dagelijkse routine. Blijvend aandacht vragen voor het onderwerp gegevensbescherming en goed omgaan met persoonsgegevens blijft van belang.

Wat zijn de trends en ontwikkelingen?

Belangrijke ontwikkelingen in de zorg zijn gelegen in het optimaliseren van zorg door het inzetten van digitale middelen, zoals e-health toepassingen en digitale systemen, die behandelingen thuis mogelijk maken. Dit zorgt inherent voor het verwerken van meer persoonsgegevens en het verwerken daarvan in een nog kwetsbare omgeving buiten het ziekenhuisinformatie-systeem of het keteninformatie-systeem om. Dit levert de zorg efficiëntie op en de patiënt kan worden behandeld in een vertrouwde omgeving en hoeft minder vaak de reis te aanvaarden richting het ziekenhuis of andere zorginstelling. Ondanks de vele voordelen die dit biedt, zitten hier ook risico’s en privacyvraagstukken aan vast waar heel bewust over nagedacht moet worden, voordat deze nieuwe middelen worden ingezet.

6. Wat betekent deze toekomst voor jou als FG?

Als FG moet je oog blijven houden voor deze nieuwe ontwikkelingen en zorginstellingen faciliteren om privacy en bescherming van persoonsgegevens optimaal te borgen bij de inzet van deze nieuwe technologieën.

Omdat het hebben van een FG een relatief nieuwe rol is binnen zorginstellingen, zal deze zich de komende tijd verder moeten ontwikkelen en professionaliseren. In de toekomst zal een FG steeds meer kunnen laten zien waar de toegevoegde waarde van de FG ligt en hoe deze de zorginstelling kan faciliteren bij het reageren op nieuwe ontwikkelingen.

Harm Jan Sleijffers

Legal Consultant

Harm Jan Sleijffers

Legal Consultant

©2018 Cure4 |

Werken bij Cure4 | Disclaimer | Privacy Statement | Over Cure4 | Aanmelden Nieuwsbrief
Contact