Zorg en AVG: Onderneem nu actie, maar raak niet in paniek

wo 27 september 2017 - 15:35
Blog

Vorig jaar werd de Meldplicht Datalekken van kracht. De Autoriteit Persoonsgegevens (AP) kreeg in het eerste jaar van de meldplicht bijna 5.700 meldingen binnen. De zorg was daarbij ruim koploper. Bijna 30 procent van de meldingen betrof een organisatie in gezondheidszorg en welzijn en die kregen van de AP een waarschuwing. De Meldplicht Datalekken is een opmaat naar de nieuwe Europese privacywetgeving die volgend jaar ingaat. Vanaf dat moment zijn de regels strenger en de straffen zwaarder. Hoogste tijd dus om in actie te komen.

Voor wie het gemist heeft : op 25 mei 2018 wordt de General Data Protection Regulation (GDPR) van kracht, de Europese opvolger van de landelijke privacy- en databeveiligingsrichtlijnen. De GDPR, in Nederland bekend als de Algemene Verordening Gegevensbescherming (AVG), heeft grote impact op elke organisatie die met persoonsgegevens werkt. De voorschriften zijn vergaand en de straffen op non-compliance zijn streng.

Kans op fouten en lekken is groot

Zo moeten organisaties kunnen aantonen dat ze technische en organisatorische maatregelen hebben genomen om de beveiliging te garanderen en moeten ze datalekken direct melden. Zorgorganisaties moeten een data protection officer aanstellen – in het Nederlands: een ‘functionaris gegevensbescherming (FG)’. De AVG is bedoeld om burgers meer grip op hun digitale gegevens te geven en het gebruik van persoonsgegevens transparanter en inzichtelijker te maken.

Het grote aandeel van de zorg in het aantal meldingen, zegt niet automatisch iets over het gebrek aan gegevensveiligheid in de sector. In de zorg worden nu eenmaal veel persoonsgegevens verwerkt, dus de kans op fouten en lekken is groter. Maar het zegt wel iets over de ernst van de uitdaging. Zorginstellingen moeten nu in actie komen, zonder meteen door te schieten in paniek. Onderzoek waar de risico’s zitten in technologie en in procedures. Bij zo’n analyse zal misschien ook blijken dat er veel al goed geregeld is. Een goed ingerichte IT-omgeving (bijvoorbeeld gebaseerd op een modern cloudplatform) zit vaak al behoorlijk dicht tegen de nieuwe eisen aan. Bovendien stelt de AVG ook geen absurde eisen: het recht op privacy wordt nu gewoonweg steeds beter verankerd in de wet.

Is iedereen doordrongen van de ernst?

Het gaat om technologie, beleid en gedrag - kennen, kunnen én willen. Dus niet alleen met management en ict-afdeling of ict-dienstverlener de boel dichttimmeren. De mensen op de werkvloer zijn net zo belangrijk bij compliance in de praktijk – misschien wel de belangrijkste. Uit cijfers van de AP blijkt dat datalekken bij ruim de helft van de meldingen veroorzaakt worden door menselijk handelen: er worden bijvoorbeeld gegevens naar de verkeerde persoon gestuurd, een usb-stick raakt kwijt of documenten met persoonsgegevens worden bij het oud papier gezet.

Start met een gap-analyse om compliance en non-compliance in kaart te brengen en daarop actie te kunnen ondernemen. Maar vergeet dus vervolgens niet de medewerkers mee te nemen. Zoals bij ieder project, wordt ook hier het succes vooral bepaald door de mate waarin medewerkers de nieuwe regelgeving en techniek ‘adopteren’. Iedereen in de organisatie moet doordrongen zijn van de ernst en het belang. En  wie nog niet begonnen is: er resteren nog krap acht maanden en de klok tikt onverbiddelijk door.

Blog is geschreven door: Ronald Brouwer, Business Manager bij Winvision B.V.