25 mei jl. was het zover. De Wet bescherming persoonsgegevens verviel en de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG werd van toepassing. Zorginstellingen zorgen ervoor dat hun organisatie aan deze nieuwe wetgeving voldoet. De functionaris voor de gegevensbescherming (FG) kan heel behulpzaam zijn bij het op orde brengen van de organisatie. Sinds 1 januari 2018 moeten zorgorganisaties waaronder ziekenhuizen al een FG hebben. Luuk Arends sprak met een FG.
Ed Koevoets is al enkele jaren functionaris gegevensbescherming (FG) in het Bravis Ziekenhuis, een fusieziekenhuis bestaande uit het vroegere Franciscus Ziekenhuis in Roosendaal en het Lievensberg Ziekenhuis in Bergen op Zoom. In het verleden werkte hij onder meer bij defensie, maar Ed Koevoets werkt alweer jaren in de ziekenhuiswereld. In zijn werk hield en houdt hij zich voornamelijk bezig met informatiebeveiliging. De functie van FG was daarom een logische stap.
Hoe gaan zorginstellingen om je heen om met FG-verplichting?
“Ik zie wel veel verschillen. Grote instellingen zoals ziekenhuizen kunnen iemand in dienst nemen en deze persoon vrijstellen van andere werkzaamheden. Toch zie je het ook gebeuren dat een kwaliteitsmedewerker deze taak krijgt ‘toegeschoven’. Daarnaast valt op dat instellingen kijken naar de mogelijkheden voor een externe FG. De Algemene Verordening Gegevensbescherming en de Nederlandse wetgeving bieden die mogelijkheid ook.”
MENS IS ALTIJD DE ZWAKSTE SCHAKEL IN GEGEVENSBEVEILIGING
Is een FG alleen belangrijk voor grote instellingen?
“Nee, ook kleine zorginstellingen moeten ervoor zorgen dat de bescherming van medische persoonsgegevens goed geregeld is. Het overzicht van wat er nodig is om de beveiliging van persoonsgegevens op orde te hebben kun je snel kwijt raken. Zelfs voor een huisartsenpraktijk is dit niet meer altijd goed te behappen. De Autoriteit persoonsgegevens heeft inmiddels bepaald dat Huisartsenpraktijken met minimaal 10.000 patieënten een FG moeten hebben. Maar ook voor kleinere praktijken is het aan te raden om een FG aan te stellen. Ook de AP adviseert dit. Je hoeft een FG niet in dienst te hebben.
Daar kun je iemand voor inhuren.Dat kan ook gezamenlijk, bijvoorbeeld via een zorggroep of een huisartsenkring.”
Wat vind je belangrijke kenmerken voor een FG?
“Het is belangrijk dat een FG de organisatie kent. Waar houdt de zorginstelling zich mee bezig? Wat ik nu zie bij zorginstellingen is dat de focus vooral ligt op het gebied van kwaliteit en niet op de informatiestromen binnen het bedrijf. Men vindt het al gauw gewoon dat er bijvoorbeeld allerlei kwaliteitsmetingen worden gedaan en dat daarbij persoonsgegevens worden verwerkt. Als je daar opmerkingen over maakt, word je lastig gevonden. Als FG moet je daar wel tegen kunnen en daarover de discussie aangaan. De juridische basis voor kwaliteitsmetingen waarbij persoonsgegevens worden gebruikt is namelijk nogal dun.”
Moet een FG jurist zijn?
“Nee, maar het is wel belangrijk dat je goed met de relevante wettelijke kaders bekend bent. Dat is in deze tijd een uitdaging als niet-jurist. Je bent als het ware met deze wet- en regelgeving opgegroeid, maar als die kaders allemaal wijzigen, zoals nu het geval is, moet je je die ook weer eigen maken. Maar voor een deel gaat het er ook om dat je ‘het goede gevoel hebt’, dat wil zeggen dat je goed snapt wat de wetgever wil of bedoelt. Voor de complexe juridische vragen kun je beter advies vragen aan een jurist.”
Wat moet een goede FG verder‘ in huis’ hebben?
“Naast een goede kennis van de organisatie zelf, moet een FG weten hoe de organisatiestromen lopen. Dat is veel complexer dan je wellicht zou denken. Het Bravis Ziekenhuis heeft bijvoorbeeld ruim 600 informatiesystemen waarin persoonsgegevens worden verwerkt. Academische ziekenhuizen, waar veel meer onderzoek wordt gedaan, hebben er vaak nog veel meer. Velen denken verder dat je technische kennis moet hebben, maar ook dat vind ik eigenlijk minder relevant. Die kennis is immers beschikbaar bij andere medewerkers, zoals de ICT-afdeling.”
FG geen security officer
Koevoets vindt dat een FG niet tegelijk ook privacy officer of security officer kan zijn. Anders krijg je toch een beetje dat idee dat de ‘slager zijn eigen vlees keurt’. “Maar in deze overgangsperiode is dat nog niet altijd goed te realiseren. Dus nu vind ik het nog wel kunnen, zolang je maar oplet dat je voldoende scherp en kritisch blijft. Op de langere termijn zouden de functies wel gescheiden moeten zijn. Grotere organisaties (ziekenhuizen) trekken de functies van Information Security officer (ISO) en FG nu al uit elkaar.”
Wat zijn na de AVG de grootste veranderingen voor de FG?
“Zoveel verandert er eigenlijk niet nu de Avg van toepassing is. Het grootste verschil vind ik het verwerkingsregister en het feit dat we alles aantoonbaar moeten maken. De voornaamste zaken waarnaar ik kijk is of wij de informatiesystemen en de informatiestromen goed in beeld hebben. Daarvoor gebruik ik onder meer het verwerkingsregister. Dat is een register waarin de belangrijkste verwerkingsactiviteiten worden vastgelegd en dat organisaties op grond van de Avg verplicht moeten opstellen. Verder kijk ik als wij bij gegevensverwerkingen gebruik maken van externe opdrachtnemers of er een verwerkersovereenkomst is. In het verwerkingsregister leg ik ook vast welke soorten gegevens worden verwerkt, voor welke doelen en wat de grondslag is voor de betreffende verwerking. Is dat bijvoorbeeld een behandelingsovereenkomst in het kader van zorgverlening of is er een andere grondslag? Bijvoorbeeld een wettelijke bepaling die tot een bepaalde verwerking tot een verwerking verplicht (zoals het verstrekken van medische persoonsgegevens aan de Inspectie gezondheidszorg en Jeugd in het kader van de toezichthoudende taak van de Inspectie). Het in kaart brengen van de gegevensverwerking vormt eigenlijk de basis van het interne toezicht.”
Omgang met gegevens
Ook kijkt Koevoets of gegevens goed beveiligd worden. Hoe gaan medewerkers van het ziekenhuis met persoonsgegevens en de beveiliging daarvan om? “Dan denk ik bijvoorbeeld aan het uitloggen als men van de werkplek afgaat en het niet-delen van wachtwoorden. Extern kijk ik bij de contractering vooral of het juiste programma van eisen wordt gehanteerd. Ik maak daarbij gebruik van een programma van eisen dat is overgenomen van het Nationaal Cyber Security Centrum (NCSC). Daarbij wordt een hoog verwachtingsniveau gehanteerd voor leveranciers van informatiesystemen, om te voorkomen dat de beveiliging op voorhand al tekortschiet door het onvoldoende stellen van eisen aan de poort. Leveranciers moeten minimaal voldoen aan ISO 27001 en bij voorkeur aan NEN 7510. Dat laatste is sinds 1 januari 2018 in de zorg in veel gevallen verplicht. Indien mogelijk eisen wij ook dat leveranciers aantoonbaar aan NEN 7510 voldoen, bijvoorbeeld doordat ze gecertificeerd zijn.”
“De verwerkersovereenkomsten worden jaarlijks herzien. Zelf maken wij bij voorkeur gebruik van de landelijke overeenkomst. Voorheen maakten we gebruik van de Nederlandse Vereniging van Ziekenhuizen (NVZ)-overeenkomst, maar sinds dit jaar gebruiken we de Verwerkersovereenkomst voor Brancheorganisaties in de Zorg (Boz). Een sectorbreed model helpt om leveranciers aan te sporen om deze minimumvoorwaarden te aanvaarden.”
“Wat in de praktijk lastig blijkt, is dat niet duidelijk is wat de laatste technische mogelijkheden zijn, terwijl daaraan wel voldaan moet zijn. De AVG kan dit ook onvoldoende inzichtelijk maken. Een dergelijke norm is immers niet vast te leggen: de techniek verandert vaak en snel. Organisaties moeten in ieder geval steeds kunnen laten zien dat ze een risico-inventarisatie doen, en in ieder geval streven naar het optimaal haalbare.”
Wat zie je als het meest kwetsbare bij de beveiliging en hoe kun daar invloed op uitoefenen?
“Mijn ervaring is dat de mens altijd de zwakste schakel is in de beveiliging. Het is belangrijk om voldoende te controleren hoe medewerkers hun beveiliging op orde houden.
Nóg belangrijker is echter het bewust maken van mensen van hun verantwoordelijkheden op dit vlak. Zo hebben wij in dit verband een (nep)phishingmail gestuurd naar alle medewerkers. Wij merkten toen dat ruim 80% van de medewerkers in het ziekenhuis deze mail gelijk weggooide, maar dat toch nog bijna 20% wel op een link drukte en dus een (groot) risico nam. Dergelijk gedrag maakt de organisatie kwetsbaar voor zaken als ransomware. Wij proberen door deze actie medewerkers op dit risico te wijzen, waardoor hun gedrag hopelijk verandert.”
Bewustwording belangrijk item
Bewustwording is dus een van de belangrijkste items. Het is belangrijk dat een organisatie daar veel energie in steekt. Ook belangrijk is dat er een eenduidig sanctiebeleid is. Onze ervaring is dat wanneer er een duidelijk sanctioneringsbeleid is, dat ook wordt uitgevoerd, de bewustwording toeneemt.
Koevoets: “Als er overtredingen zijn krijgt iemand een waarschuwing en die waarschuwing wordt ook geregistreerd. Daarbij maken wij geen onderscheid wie de overtreding maakt. Een arts krijgt daarbij dezelfde behandeling als een secretaresse. De aard van het ‘vergrijp’ is bepalend voor de sanctie die iemand krijgt. De eerste keer is dat doorgaans een waarschuwing. Bij een herhaling wordt de sanctie zwaarder. Soms kan het ook gebeuren dat iemand direct een zwaardere sanctie krijgt. Bijvoorbeeld als iemand heeft gekeken in het dossier van een collega die zelf in het ziekenhuis behandeld is, of als iemand heeft gekeken in het dossier van een bekende Nederlander.