AVG compliant worden? Betrek OR, Patiënten- en Cliëntenraad.

Van oudsher is er binnen de zorgsector ruime aandacht voor het goed omgaan met persoonsgegevens. Met de AVG heeft de Europese wetgever aan organisaties een managementsysteem aangereikt om die gegevens adequaat te beschermen.

Niet alles staat in de AVG. In  andere wet- en regelgeving staan ook bepalingen en daarnaast kan uit sectorale afspraken of eigen beleid van de instelling meer regelgeving naar voren komen. Denk hierbij altijd aan het tijdig betrekken van de Ondernemingsraad en de Patiënten-/Cliëntenraad van een organisatie. 

Het devies is dus: betrek ze, en betrek ze op tijd. Dat wordt helaas nogal eens over het hoofd gezien. We moeten ons realiseren dat de AVG en overige regelgeving gegevens van patiënten/cliënten beogen te beschermen, maar ook die van het personeel. De vraag die je je moet stellen is of vertegenwoordigers van beide organen hierin een rol hebben? En zo ja, welke. Daarnaast komt de vraag op of je ze moet betrekken of dat je ze mag betrekken. 

In het algemeen geldt, betrek ze bij het beleid van de bescherming van persoonsgegevens binnen je organisatie. Dat maakt dat de keuze tussen moeten en willen betrekken feitelijk niet aan de orde is. Het gaat om cliënten en om medewerkers van jouw organisatie. Neem ze mee in dat proces. 

Neem ze niet alleen mee, laat ze ook de ruimte om vragen te stellen. Primair zijn die vragen gericht aan het bestuur. Echter, door de komst van de Functionaris voor Gegevensbescherming (FG) is er in beginsel geen beletsel voor deze organen om ook aan de FG vragen te stellen. Het jaarverslag kan daarbij een kapstok zijn, maar ook een melding van een significant datalek dat gemeld is bij de autoriteiten kan daarvoor aanleiding zijn.

In het jaarverslag zal het bestuur zich moeten verantwoorden over haar beleid. Dat omvat ook het beleid van de bescherming van persoonsgegevens. Heb je een FG dan zal deze het bestuur vooraf moeten voorzien van een verklaring omtrent die bescherming binnen de organisatie. Alle organisaties moeten voldoen aan de Algemene verordening gegevensbescherming (AVG), maar ze zijn niet verplicht om een FG te hebben. Heb je dus geen FG dan zal deze verklaring ontbreken. 

De vraag is dan ‘hoe aannemelijk het bestuur kan maken dat zij de  persoonsgegevens binnen de organisatie goed beschermen’. Met een FG kunnen vragen vanuit deze organen worden voorkomen. Sterker nog, de Ondernemingsraad en de Patiënten- /Cliëntenraad kunnen aandringen op het benoemen van een FG. Daarmee voldoet de organisatie dan aan de oproep van de Autoriteit Persoonsgegevens om in elk geval vrijwillig over te gaan op het benoemen van een FG. Los hiervan zal een organisatie in het jaarverslag richting alle stakeholders moeten aangegeven waarom zij niet voor een FG heeft gekozen.

De AVG fungeert als instrument voor risicoanalyse en risicoafweging. Bij een hoog risico als cliënt- of patiëntgegevens is het bestuur zelfs verplicht dit te melden bij de Autoriteit Persoonsgegevens. Die toetst dat vervolgens. 

Los van de vraag of het nu wel of niet moet, houd de Cliënten- of Patiëntenraad betrokken. Het raakt hun doelgroep. Met andere woorden, betrek ze bij de te maken risicoafweging. Wat de bestuurder en de organisatie (lees: de OR) misschien nog acceptabel vindt, hoeft nog niet acceptabel te zijn vanuit het perspectief van de cliënt/ patiënt of het personeel. Zorg voor draagvlak.

Het contact met een Ondernemingsraad (OR) is niet vrijblijvend, omdat de OR een wettelijk instemmingsrecht heeft op het onderwerp privacy. Binnenkort krijgen zorgaanbieders daarnaast te maken met nieuwe spelregels bij Cliënten- en Patiëntenraden. Daarin staat een overzicht met de te bespreken onderwerpen. Daarbij wordt privacy of bescherming van persoonsgegevens niet expliciet genoemd. Het overzicht is echter niet limitatief. Het gaat om een minimaal aantal te bespreken zaken. Dat geeft deze raad de ruimte om ook stil te willen staan bij het thema privacy.

Het bestuur zal een keuze moeten maken, dat is een feit. Daarbij gaat het om de belangen van patiënten/cliënten (en hun wettelijke vertegenwoordigers) en het personeel. Wat de AVG verlangt, is dat deze keuze transparant is, ook richting stakeholders en deze organen. Daarnaast verlangt zij ook dat één en ander in de AVG-administratie is opgenomen. Wat wel zo is, is dat de FG in de positie zit om de uiteindelijke keuze te toetsen en interventie kan plegen richting het bestuur. Vooraf verkregen draagvlak kan dan vaak een positieve invloed hebben.