De risico’s van het opslaan van persoonsgegevens

25 mei is het zover, dan geldt in heel Europa dezelfde privacywet: de Algemene Verordening Gegevensbescherming (AVG). Is de zorg in Nederland hier klaar voor? Privacy-professionals Jeroen Terstegge en Karen Siemers geven hun visie.

De AVG is dwingender dan de Wbp 'Vanaf 25 mei 2018 krijgen mensen het recht om overmatige, illegaal verzamelde of niet meer ter zake doende gegevens te laten wissen uit bestanden', zegt Jeroen, die vanuit VNO-NCW nauw betrokken was bij de totstandkoming van de AVG.  'Bestaande rechten, zoals het inzagerecht, worden aangescherpt. Ook moeten organisaties, dus ook de Rijksoverheid, aantoonbaar aan de nieuwe wet voldoen, op straffe van forse boetes. Ten opzichte van de huidige Wet bescherming persoonsgegevens (Wbp) worden de regels fors aangescherpt.' Ingrijpende veranderingen, die nog worden aangevuld met de Uitvoeringswet AVG, waarin specifieke bepalingen over gezondheidsgegevens zijn opgenomen.

Veel zorgverleners zijn nog niet klaar voor de AVG

'Klopt', zegt Karen, zorgspecialist bij PMP. 'Voor zorgverleners die onder de Wbp hun zaakjes al op orde hadden, verandert er niet veel, maar de meeste zullen een flinke verbeteringsslag moeten maken.' Als mogelijke verklaring noemt Karen dat bescherming van privacy en persoonsgegevens op de werkvloer vaak - overigens ten onrechte - als belemmerend wordt ervaren. 'Functionarissen die ermee belast zijn, maken dit dagelijks mee. Toch is zorgvuldigheid bij gegevensbescherming in de zorg geen overbodige eis. Zeker niet als je nagaat dat een gemiddeld persoon in ruim 10.000 databases voorkomt. De meeste mensen hebben er werkelijk geen idee van dat het er zó veel zijn. De AVG moet hierin de gewenste transparantie brengen, zodat mensen zich beter bewust worden van hun privacy en de risico’s rond het opslaan van persoonsgegevens. Dit geldt uiteraard ook voor zorgverleners.'

Zorgverleners gaan slordig om met vertrouwelijkheid

'Ja en nee', vindt Jeroen. 'In de zorg is de medische geheimhoudingsplicht een groot goed, maar dat is niet genoeg. Je moet als instelling concrete maatregelen nemen om daar handen en voeten aan te geven. Neem een computerscherm met vertrouwelijke patiëntgegevens dat niet automatisch wordt afgesloten als er niemand achter zit. Of het inhuren van een ICT-leverancier zonder goede afspraken te maken over de  bescherming van persoonsgegevens' Karen: 'In de praktijk gaat dat nog weleens mis. Ook daarom moeten zorginstellingen zich beter bewust worden van hun verantwoordelijkheden voor de bescherming van persoonsgegevens. Een medewerker die informatie lekt, kan flinke schade veroorzaken, juridisch en financieel.'

De bal ligt bij de bestuurder

'Eens', vindt Karen. 'Gestructureerd privacybeleid is een zaak van de hele organisatie, maar veel raden van bestuur zien de noodzaak nog onvoldoende in, ook in de zorg. Tot het een keer goed misgaat en een ziekenhuis bijvoorbeeld negatief in het nieuws komt na een datalek. Dan komt het onderwerp plots wel boven aan de agenda, terwijl het idealiter top-down zou moeten werken. In onze workshops wordt regelmatig gevraagd wat medewerkers nu wel of niet mogen. 'Vraag maar aan je manager' is dan vaak het antwoord.' Jeroen beaamt dat ook in de zorg een cultuuromslag nodig is. 'Privacy van de patiënt en het optimaal managen van de zorg blijken vaak lastig te combineren. Immers, een groot deel van het werk betreft het vastleggen en delen van patiëntgegevens en rapportages aan instanties en toezichthouders. De minister moet beleid ontwikkelen op basis van data die door zorgverleners en verzekeraars worden verstrekt. Privacymanagement vraagt dan om een strakke structuur, maar het hoger management moet hierin wel het voortouw nemen. Gelukkig staan steeds meer bestuurders hiervoor open.'

Meer ICT is vragen om datalekken

Jeroen: 'Met technologie kun je zorg efficiënter maken, ook buiten ziekenhuizen en zorginstellingen, bijvoorbeeld met e-health. Nuttig, zeker binnen het beleid om ouderen zo lang mogelijk thuis te laten wonen. Maar ook bij ICT geldt: een ketting is zo sterk als de zwakste schakel en negen van de tien keer is dat de factor mens. Denk alleen al aan aanvallen met cryptoware en ransomware via e-mail. Een ICT-afdeling kan veel moeite steken in beveiliging en voorlichting, maar het gaat erom dat gebruikers een verdachte e-mail of link herkennen en niet doorklikken.'

Inkopers moeten eisen stellen

Karen: 'Als we doorgaan op ICT: hoe veilig is het e-mailen van patiëntgegevens? Met enige regelmaat zie je datalekken waarbij gegevens naar het verkeerde e-mailadres zijn gestuurd. Statistieken wijzen uit dat de sector Gezondheid en Welzijn hoog scoort in datalekken. In het derde kwartaal van 2017 was dat 29% van het totaal van 2.508. Daarbij moet je je wel afvragen: komt dit nu omdat de zorg zo slecht scoort, of omdat zij zo goed registreert?' Jeroen: 'ICT is ook een prima voorbeeld hoe belangrijk het inkooptraject in de zorg is. Vroeger stond een ziekenhuisinformatiesysteem in het gebouw, nu - met dataopslag in de cloud - kan een dataserver overal ter wereld staan. Ook de AVG stelt dat gevoelige data niet zomaar buiten Europa mogen worden opgeslagen. Daarom moeten inkopers concrete vragen stellen aan hun leveranciers: hoe worden de gegevens beveiligd, waar worden ze opgeslagen, zijn er subverwerkers, hoe (snel) wordt een datalek bij ons gemeld, hoe krijgen we de gegevens terug bij einde contract? Sturen op concrete maatregelen, niet alleen afspraken maken op papier. Dat noemen we privacy by design.'

Privacywetgeving staat efficiënte zorg in de weg

'Het gaat om een gezonde balans tussen doel en ingezette middelen', zegt Karen. 'Alleen pakken wat je nodig hebt om optimale zorg te bieden. Zoals met camera’s en sensoren bij een patiënt thuis voor observatie en veiligheid. Heel efficiënt, maar wanneer zet je ze aan? Hoeveel inbreuk wil en mag je maken op iemands privacy?' Jeroen: 'Dataprotectiewetgeving gaat, behalve over privacy, ook over veiligheid, reputatie, sociale status, economische schade en discriminatie van de patiënt. Mensen worden beoordeeld en afgerekend op basis van hun persoonsgegevens. De uitdaging is dus optimale zorg bieden, met alle beschikbare mogelijkheden, terwijl de persoonlijke integriteit van elke patiënt altijd wordt gewaarborgd. De AVG trekt dit voor alle EU-lidstaten gelijk.'