Nederlandse ziekenhuizen zijn goed op weg met het verorgen van een volwaardige positie van hun functionarissen voor gegevensbescherming (FG). Dat blijkt uit een steekproef van de Autoriteit Persoonsgegevens (AP) in het kader van de nieuwe privacywet AVG. De toezichthouder geeft nog wel enkele aanbevelingen mee aan de bestuursraden van ziekenhuizen, zoals verdere uitwerking van de FG-rol in het interne privacybeleid.
De onderzochte FG’s opereren volgens de toezichthouder goed en geven een goede invulling aan de taken die zij hebben op grond van de vorig jaar mei ingevoerde privacywetgeving. Wel kunnen voornamelijk kleinere ziekenhuizen nog verbeteringen realiseren door meer schriftelijke waarborgen door te voeren, zo laat de AP weten.
Goed functionerende FG waardevol
De AP trekt zijn conclusies na een verkennend onderzoek naar het functioneren van FG’s in elf ziekenhuizen. Monique Verdier, bestuurslid bij de AP zegt hierover: "Als de functie van een FG goed ingebed is in een organisatie, kan dat iets zeggen over hoe goed een organisatie de privacywet naleeft. Voor de AP is een goed functionerende FG waardevol: hij of zij helpt ons om adequaat toezicht te houden."
De FG’s vervullen bij grotere zorgorganisaties een belangrijke functie om de medische gegevens van mensen te beschermen en om de privacywetgeving na te leven. De FG kan vanuit een onafhankelijke positie adviseren over hoe de privacywetgeving moet worden toegepast in zijn organisatie.
Bij twee eerdere onderzoeken in 2018 bleek in eerste instantie dat een kwart van de ziekenhuizen (en zorgverzekeraars) onvoldoende toegang bood tot hun FG's - bijvoorbeeld door het ontbreken van contactgegevens op de website. Bij een vervolgonderzoek in oktober bleek dat alle betrokken partijen deze onvolkomenheden aangepakt hadden.
Aanbevelingen voor effectieve FG
Op basis van het verkennend onderzoek komt de AP met aanbevelingen voor de raden van bestuur en voor de FG’s. Deze bevindingen zijn relevant voor de hele ziekenhuisbranche en daarbuiten, benadrukt de toezichthouder. De AP heeft de aanbevelingen voor een effectieve FG in het ziekenhuis verwerkt in een poster die als pdf te downloaden is.
Aanbevelingen RvB:
- Werk regels en richtlijnen uit over de positie van de FG’s in een intern privacybeleid. Maak duidelijk wat de taken, werkzaamheden en bevoegdheden van de FG zijn en hoe de functie is afgebakend.
- Zorg ervoor dat FG’s voldoende middelen krijgen om hun werk goed te kunnen doen. Laat aan de organisatie zien dat het werk van FG’s belangrijk is en gedragen wordt door de raad van bestuur.
- Zoek zelf actief contact met de FG. Laat dit niet uitsluitend over aan een manager of secretaris.
Aanbevelingen FG’s:
- Houd een goede balans tussen de adviserende en de toezichthoudende rol. Vervul niet alleen een adviserende rol, besteed meer aandacht aan de toezichthoudende rol.
- Voorkom conflicten tussen de adviserende en de toezichthoudende rol. Maak binnen de organisatie duidelijk welke rol je wanneer inneemt.
- Maak duidelijke interne afspraken over de verdeling van verantwoordelijkheden en de rol van de FG, bijvoorbeeld bij een datalek.
- Wees zichtbaar. Zoek als FG het contact met de werkvloer en ga het gesprek aan.
- Leer van elkaar. Zoek contact en wissel ervaring en kennis uit met andere FG’s in de regio of bij andere zorgaanbieders in het land. Veel FG’s hebben te maken met dezelfde problematiek. Onderling contact voorkomt dat ze het wiel opnieuw moeten uitvinden.