Veel vragen zorginstellingen door nieuwe privacywetgeving AVG/GDPR
Privacy en de bescherming van cliëntgegevens staat bij zorginstellingen extra hoog op de agenda door de nieuwe Europese privacywetgeving (AVG/GDPR). Hoe voorkom je boetes en blijf je ‘compliant’ zonder veel kostbare tijd te steken in bescherming van persoonsgebonden gegevens of extra administratieve handelingen van zorgverleners? Het integreren van slimme technieken in de eigen werkprocessen biedt uitkomst.
De nieuwe privacywetgeving die in mei 2018 van kracht wordt, trekt momenteel veel aandacht. Vooral door het risico op torenhoge boetes (tot 20 miljoen euro of 4 procent van wereldwijde jaaromzet) voor organisaties die niet compliant zijn. Toch zijn de meeste wettelijke eisen niet nieuw voor zorginstellingen. Voor de bestaande certificering voor informatiebeveiliging in de zorg (NEN 7510) moet aan de meeste AVG/GDPR eisen al zijn voldaan.
“De Europese wetgeving is voor alle zorginstellingen wel aanleiding om nu hun privacybescherming nog eens goed tegen het licht te houden en aan te passen of – voor de voorhoedelopers – om de laatste puntjes op de ‘i’ te zetten”, stelt IT-manager en compliance specialist Gabor Schilten van Zetacom, specialist in zorgsystemen.
Wetgeving biedt ook vrijheid
Zetacom merkt dat het privacy thema in de zorg leeft door de vele vragen van zowel cure als care organisaties. Schilten: “Die vragen zijn zeer divers en sterk afhankelijk van de primaire werkprocessen. Voor een ziekenhuis, verpleeghuis of bijvoorbeeld een zelfstandige fysiotherapeut is de uitdaging totaal anders. Maatregelen die je neemt, moeten voor de wetgever passen bij je werkproces en logisch zijn voor jouw organisatie. Dat roept in de praktijk veel vragen op. Veel mensen vinden de nieuwe wetgeving daarom ‘vaag’, maar ik adviseer om de geboden vrijheid vooral te zien als een kans. Hiermee kun je de maatregelen voor de bescherming van persoonsgebonden gegevens het best laten aansluiten op je eigen bedrijfsvoering.”
Vraagstukken in de zorg
De vragen van zorginstellingen gaan bijvoorbeeld over identity management of audit logging (oftewel: vastleggen wie wanneer bepaalde aanpassingen doet in een zorgsysteem). Dat is een goed voorbeeld van een maatregel die volgens de normen van NEN 7510 uit 2011 al geregeld moet zijn. “In de praktijk blijken vaak nog verbeterpunten nodig. Die worden doorgevoerd nu mei 2018 snel dichterbij komt.”
Andere vragen van zorginstellingen gaan bijvoorbeeld over het spanningsveld tussen meer klantvriendelijke, patiëntgerichte zorg en de bescherming van persoonsgegevens. Mag een contactcentrum van een zorginstelling bijvoorbeeld bepaalde gegevens van een cliënt of mantelzorger inzien om mensen beter en sneller te helpen? “Ja dat kan, mits goed is nagedacht over de manier waarop je dat netjes regelt, met voldoende privacybescherming,” aldus Schilten.
Slimme oplossingen voor knelpunten
Hoe moet je daar als zorginstelling mee omgaan? Welke maatregelen neem je en hoe zorg je ervoor dat deze maatregelen ook cliënttevredenheid vergroten en werkprocessen verbeteren? Datamapping is een belangrijke eerste stap om inzichtelijk te maken in welke systemen bepaalde gegevens zijn opgeslagen en met welk doel.
Schilten: “Zo groeit het bewustzijn van kwetsbaarheden in de bedrijfsvoering en wat wel en nog niet goed gaat. Daarna kun je gericht maatregelen nemen die passen bij jouw organisatie. Wij helpen daarbij vaak door slimme technieken in te passen die de knelpunten oplossen zonder alle bestaande systemen te moeten vervangen. Door werkprocessen en technische hulpmiddelen goed op elkaar af te stemmen, kunnen zorgmedewerkers (haast) als vanzelf veiliger en meer privacy-gericht werken.” Bijvoorbeeld met behulp van speciale software (zoals uit het Aruba 360 Secure Fabric concept) die ervoor zorgt dat medewerkers alleen toegang hebben tot gegevens en systemen die voor hen relevant zijn. Potentieel schadelijke apparaten en kwaadwillende gebruikers kunnen zo ook worden weggehouden van bedrijfskritieke en privacygevoelige data.