Binnen een zorggroep kunnen er vele soorten privacyrisico’s langskomen, waarbij het gevaar van een datalek voor gevoelige medische gegevens altijd op de loer ligt. Des te belangrijker is het dat er een goede samenwerking is tussen de Functionaris Gegevensbescherming (FG) en de Privacy Officer (PO). Wat zijn hun exacte taken, en wat zijn volgens hen de uitdagingen van werken binnen een zorgorganisatie? Onze redactie vroeg het aan Ewout de Jong (FG) en Ruud Florisson (PO) van Amsta.
Ruud Florisson begon in 1986 als fysiotherapeut bij Amsta, een Amsterdamse zorgorganisatie voor ouderen en mensen met een verstandelijke beperking. Daarna maakte hij een overstap naar de salarisadministratie en vervolgens naar de afdeling ICT als onder andere systeembeheer en technisch applicatiebeheer. Zo leerde hij diverse kanten van Amsta kennen. Vlak voordat de AVG in werking trad besloot hij als Privacy Officer aan de slag te gaan, gecombineerd met een nieuwe functie als informatieadviseur. Hij heeft er nooit een officiële opleiding voor gevolgd, vertelt Ruud, maar hij heeft door het volgen van vele cursussen en zelfstudie erg veel opgestoken over het vak. “Er is veel winst te halen op het gebied van omgang met privacy, en ik voel mij geroepen om daar wat mee te doen,” licht hij toe.
Ook Ewout de Jong heeft een veelzijdige carrière gehad voordat hij aan het werk ging als Functionaris Gegevensbescherming. Hij is werkzaam geweest bij non-profit, publieke en commerciële organisaties binnen onder andere HR, maar hij heeft ook privacyopdrachten uitgevoerd bij partijen als Ahold en Albert Heijn. Ewout blikt terug: “Mensenrechten zijn een rode draad in mijn loopbaan. In de basis gaat privacy over de rechten van betrokkenen, van medewerkers, van jou en mij.” Ewout had dus goede redenen om zich op latere leeftijd te laten omscholen tot Functionaris Gegevensbescherming. Sinds januari 2022 is hij dan ook gedetacheerd als Functionaris Gegevensbescherming bij een zorgorganisatie, een branche waar hij al ervaring in heeft.
De samenwerking van het duo is nog vers, maar allebei zijn ze essentieel om de privacy van honderden medewerkers én cliënten te beschermen. Voor één dag per week werkt Ewout bij Amsta, terwijl Ruud zijn tijd moet verdelen tussen zijn verantwoordelijkheden als informatieadviseur en Privacy Officer. Een Functionaris Gegevensbescherming is überhaupt niet verplicht voor élke organisatie, maar wel voor instanties die werken met bijzonder gevoelige informatie. Ewout stelt: “Als Privacy Officer en Functionaris Gegevensbescherming zijn we deel van een twee-eenheid; we kunnen niet zonder elkaar.”
Waar ligt het verschil tussen de PO en de FG? Waar de Privacy Officier een operationele functie heeft, functioneert de Functionaris Gegevensbescherming meer op een bestuurlijk niveau. De primaire rol van de FG is toezicht houden op de organisatie en constateren of alle processen met betrekking tot privacy verlopen volgens wet- en regelgeving. Wordt er rechtmatig uitvoer gegeven aan het privacybeleid, en wordt dit aantoonbaar vastgelegd? Hiervoor mag de FG gevraagd en ongevraagd advies geven aan het bestuur met als doel de organisatie in beweging te zetten. Ewout: “De uitvoering is niet aan mij, de organisatie moet zelf veranderen.”
Als Privacy Officer adviseert en ondersteunt Ruud bij de uitvoering van het privacybeleid binnen de organisatie, maar uiteindelijk blijft de Raad van Bestuur hiervoor eindverantwoordelijk. Ruud weidt uit: “Ik zit hier als medewerker van Amsta dichter op de werkvloer. Ik fungeer als direct aanspreekpunt en degene die privacyproblemen voortijdig signaleert, omdat ik op de werkplek aanwezig ben. Dit kan gaan van dossiers, die op een bureau liggen, of CV’s in een prullenbak… Ik krijg ongelooflijk veel vragen uit de organisatie. Ik denk graag met de mensen mee.”
Ewout: “Je hebt bijna een opvoedkundige rol, Ruud, om de organisatie op een laagdrempelige manier mee te nemen.”
Ruud: “Ja, zo zou je het kunnen zeggen. Soms wel. Het heeft allemaal te maken met bewustwording.”
Afbeelding 1 - Ruud Florisson
Beide privacyprofessionals hebben al ruime ervaring binnen de zorg en weten ‘hoe de hazen lopen’. Ruud zet uiteen: “Ik snap de knelpunten uit de zorg en de hoge werkdruk. Maar toch moet je altijd privacyrisico’s blijven aankaarten, zeker met het oog op de toenemende digitalisering. Een fout is zo gemaakt, en de consequenties zijn veel groter geworden door het Internet.” Hierdoor bestaat een groot deel van het werk van Ewout en Ruud uit het beoordelen van privacyvraagstukken vanuit de organisatie. Die kunnen zeer divers zijn, van het delen van adressen van medewerkers tot artsen die inzage moeten krijgen in het elektronisch patiëntendossier.
Soms kan onzorgvuldige omgang met bijvoorbeeld papieren dossiers leiden tot een lek. Ewout legt uit hoe er vervolgens een proces op gang komt: “Er kan enkel sprake zijn van een beveiligingslek, maar als er persoonsgegevens gelekt zijn kunnen we spreken van een datalek. In dat geval neemt Ruud contact op met mij. Als het ernstig is, kan het zijn dat we moeten opschalen. De Raad van Bestuur wordt dan geïnformeerd door Ruud, de afdeling Communicatie wordt erbij betrokken en er moet worden gekeken hoe we verder moeten handelen.” Betrokkenen en hun mantelzorgers zouden bijvoorbeeld kunnen worden geïnformeerd door leidinggevenden en een gesprek kan volgen met een medewerker die onzorgvuldig gehandeld heeft. In bepaalde gevallen moeten zorgorganisaties ook de Autoriteit Persoonsgegevens informeren.
Afbeelding 2 - Ewout de Jong
In de zorg is goede omgang met niet alleen de privacy van medewerkers belangrijk, maar ook met die van de cliënten. Het bewaren van gegevens gebeurt volgens strakke protocollen die moeten voldoen aan meerdere soorten wetgeving. Cliëntendossiers moeten bijvoorbeeld sinds 1 januari 2020 voor twintig jaar bewaard worden in plaats van vijftien jaar, conform de Wgbo (Wet geneeskundige behandelingsovereenkomst). Naast de AVG zijn dus deze en vele andere zorgwetten ook van groot belang. Daarnaast moeten ook meerdere beveiligingsnormen in de zorg in acht worden genomen, zoals de NEN 7510, NEN 7512 en NEN 7513.
Amsta staat verder voor een extra uitdaging, omdat zij ook zorg leveren aan mensen met een verstandelijke beperking. Ruud vertelt: “We hebben ook overleggen met de werkvloer over de manier hoe toestemming moet worden gevraagd bij cliënten om medische gegevens op te vragen. Kan of mag een cliënt zelf gegevens opvragen? Wanneer moet er een wettelijk vertegenwoordiger aan te pas komen? Daar adviseren we heel duidelijk over… Het grootste doel blijft bewustwording. Ik stel de medewerkers hier altijd de vraag: hoe zou je zelf willen dat mensen met jouw privacy omgaan?”
Ewout: “Dat is een hele mooie wat Ruud zegt.”
Ruud: “In de commerciële wereld, zoals de verzekeringen of het bankwezen, is privacy een heel vanzelfsprekend onderdeel van de werkzaamheden. In de zorg is dat nog veel minder.”
Ewout: “Ik werk ook voor andere organisaties als FG, en wat ik zie binnen Amsta is dat er meer waardering is voor het werk van Ruud en mijn voorganger en dat het privacyteam vaker benaderd wordt met privacyvragen. Het privacybewustzijn is groeiende. Daar staat of valt het mee.”
Op de vraag hoe de toekomst van privacybeveiliging in de zorg eruitziet heeft Ewout een kordaat antwoord. Ewout: “Complex. Vanuit mijn rol als FG is de grote vraag: hoe kan ik toezicht houden op hele complexe digitale processen waarin persoonsgegevens worden verwerkt? Daar heb je nu al bijna een algoritme voor nodig, en hoe zo’n algoritme ingericht is, daar heb ik de deskundigheid nu niet voor.”
Ruud geeft weerwoord: “Vanuit de overheid wordt daar al hard aan gewerkt. Een van de wetten die eraan zit te komen is de Wegiz (Wet elektronische gegevensuitwisseling in de zorg), waarin wordt gekeken naar betere en veiligere standaarden om gegevens te delen tussen zorginstellingen. Als dingen beter gestandaardiseerd zijn en je weet welke gegevens wel of niet overgedragen mogen worden, wordt het werk hopelijk iets minder moeilijk in de toekomst.”
De komende jaren zullen een behoorlijke uitdaging gaan vormen, maar het privacyteam van Amsta kijkt er niet tegenop. Integendeel. Eenstemmig antwoorden Ewout en Ruud op de vraag of ze optimistisch naar de toekomst kijken.
Ruud: “Ik ben altijd optimistisch.”
Ewout: “Ik ook. Je moet altijd naar kansen en mogelijkheden blijven kijken.”