Zorginstelling, trap niet in deze zeven GDPR-valkuilen

Hij is nu al van kracht, maar vanaf 25 mei 2018 wordt hij actief gehandhaafd: de General Data Protection Regulation (GDPR). Deze verordening regelt hoe organisaties, en dus ook

zorginstellingen, om moeten gaan met persoonsgegevens. Met de komst van de GDPR geldt binnen alle lidstaten van de EU dezelfde privacywetgeving.

In de aanloop naar de Algemene Verordening Gegevensbescherming, zoals de GDPR in Nederland heet, wordt er veel gevraagd van zorginstellingen. Zo moet je ervoor zorgen dat je processen juist zijn ingericht en dat je goed vastlegt waarom en hoe je bepaalde data verwerkt. In een tijd waarin veel gesproken wordt over de GDPR ontstaan er ook nogal wat misverstanden. Zo is het een illusie om te denken dat de GDPR alleen geldt voor grote organisaties of dat je helemaal klaar bent voor de GDPR wanneer je organisatie nu al volledig werkt volgens de Wet bescherming persoonsgegevens (Wbp). Stap daarom bij het klaarstomen van jouw zorginstelling voor de GDPR niet in deze veelvoorkomende valkuilen.

Valkuil 1

De term persoonsgegevens is vrij beperkt

De GDPR is opgesteld om de opslag, verwerking en uitwisseling van persoonsgege-vens beter te beveiligen. Maar om welke persoonsgegevens gaat het precies? Allereerst is het belangrijk om je te realiseren dat je als zorginstelling te maken hebt met de cate-gorie bijzondere persoonsgegevens. Binnen deze categorie vallen alle gegevens die zo gevoelig zijn dat de verwerking iemands privacy ernstig kan beïnvloeden. Denk hierbij aan medische gegevens, maar bijvoorbeeld ook de gegevens van iemands seksuele leven. Grote kans dat binnen jouw organisatie ook dit soort bijzondere persoonsgege-vens worden verwerkt. Het is overigens een misverstand om te denken dat het begrip persoonsgegevens vrij beperkt is. Eigenlijk valt elke vorm van informatie die naar een persoon kan leiden, onder de noemer persoonsgegevens. Uiteraard gaat het hierbij om NAW-gegevens, maar ook om digitale gebruikersnamen en IP-adressen. Bij alle informatie die je ver-werkt, moet je je dus afvragen of de data herleidbaar is naar een individueel persoon. Ook het woord verwerken, moet breed opgevat worden. Volgens de GDPR vallen deze handelingen allemaal onder de noemer ‘verwerken’: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, versprei-den, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

Valkuil 2:

Alleen digitale gegevens vallen onder de GDPR

Met alle projecten die er afgelopen jaren in de zorg zijn geweest voor onder andere het elektronische patiëntendossier zou je het haast vergeten: niet alle privacygevoelige informatie is digitaal opgeslagen. Het is dan ook een misvatting om te denken dat de GDPR alleen van toepassing is op de gegevens die je digitaal opslaat. De GDPR omvat alle data waar sprake is van persoonsgegevens, dus ook die opgeslagen kopietjes van paspoorten in het archief. Hier zit voor zorginstellingen dus nog wel een uitdaging. Een onderdeel van de nieuwe privacywetgeving vraagt namelijk ook dat je een verwerkingsregister samenstelt waarin terug te vinden is welke persoonsgegevens je verwerkt en met welk doel. Het format mag je zelf bepalen, maar het is wel belangrijk dat alle data hierop terug te vinden is. Om te zorgen dat jouw zorginstelling GDRP-proof is, is er in veel gevallen dus nog wel een lange weg te gaan. Je moet immers niet alleen al je digitale data analyseren, maar ook je offline data.

Valkuil 3:

De GDPR is alleen iets van de afdeling informatiebeveiliging

Wellicht weet je het al: met de komst van de GDPR ben je als zorginstelling verplicht een functionaris gegevensbescherming aan te stellen. Deze medewerker is verantwoor-delijk voor het bijhouden van gegevensverwerkingen en het houden van toezicht. Deze functie is dus ontzettend belangrijk bij de naleving van de nieuwe privacywetgeving. Met het aanstellen van een functionaris gegevensbescherming ben je er echter nog niet. Het naleven van de GDPR en het goed inbedden van de privacywetgeving blijft namelijk de verantwoordelijkheid van de volledige zorginstelling. Het is daarom ook belangrijk om na te gaan welke kennis over privacy aanwezig is binnen je organisatie en welke medewerkers absoluut bijgepraat moeten zijn over het verzamelen en opslaan van persoonsgegevens. De functionaris gegevensbescherming kan je overigens wel helpen bij het opstellen van een gedragscode, een eerste stap naar bewustwording binnen jouw zorginstelling.

Valkuil 4:

Het hebben van een privacy statement is genoeg

Veel zorginstellingen hebben al een privacy statement, maar met de komst van de GDPR wordt dit statement een verplichting. In dit statement moeten patiënten infor-matie kunnen vinden over de identiteit van de zorginstelling (naam en adres) en de reden waarom jouw organisatie persoonsgegevens verwerkt. Bij de huidige statements worden nog geen eisen gesteld aan de manier waarop je de informatie met patiënten deelt. Met als gevolg dat veel privacy statements ingewikkelde lappen tekst zijn geworden. Om te voldoen aan de nieuwe wetgeving is het daarom van belang om het (eventuele) huidige privacy statement eens grondig onder de loep te nemen. Dit statement moet namelijk ook eenvoudig, toegankelijk en begrijpelijk zijn. Ook zijn zorgorganisaties verplicht om meer gegevens in het privacy statement te delen. Zo moet je in het state-ment onder andere de contactgegevens van de functionaris gegevensbescherming, de bewaartermijn en het recht op verwijdering en inzage opnemen. De uitdaging is dus dat alle informatie in het statement staat en dat het document ook nog eens begrijpe-lijk is voor de gemiddelde Nederlander. Een tip om het privacy statement begrijpelijk te houden, is om het document uit verschillende lagen op te bouwen. De lezer kan zo eerst op hoofdlijnen en vervolgens in detail teruglezen hoe jouw organisatie omgaat met zijn persoonsgegevens. Maar alleen het updaten van je privacy statement is niet genoeg. Bij de GDPR gaat het om het beschermen van de privacy van burgers. Om te voldoen aan de wetgeving is het dus essentieel om goed stil te staan bij de persoonsgegevens die je verwerkt en de risico’s die dit met zich meebrengt voor de identiteit van iedere burger. Deze analyse leg je vast in een data protection impact assessment (DPIA). Het belangrijkste in deze analyse is uiteraard het vastleggen van de maatregelen die jij neemt om te voorkomen dat de persoonsgegevens van patiënten op straat komen te liggen.

Valkuil 5:

Alleen registreren van datalekken met vervelende gevolgen

Binnen de GDPR geldt een meldplicht voor datalekken. Voor Nederlandse zorginstellin-gen is dit niet nieuw, wij kennen al binnen de Wet bescherming persoonsgegevens een meldplicht voor datalekken. De meldplicht schrijft voor dat je binnen 72 uur de Autori-teit Persoonsgegevens op de hoogte stelt wanneer er een datalek is, met een aanzien-lijke kans op, of met ernstige nadelige gevolgen voor de bescherming van persoonsge-gevens. Als dat ook resulteert in nadelige gevolgen voor de privacy van de patiënt, dan moet je die ook op de hoogte brengen. Naast een meldplicht is er echter ook een administratieplicht. Je bent verplicht om álle datalekken te registreren en niet alleen de lekken met nadelige gevolgen voor de bescherming van persoonsgegevens. Wil je je administratie helemaal op orde hebben voor de GDPR, dan ben je dus verplicht om ieder incident, waarbij iemand (per ongeluk of bewust) toegang heeft gekregen tot persoonsgegevens te registreren. Ook de inci-denten die je niet hoeft te melden bij de Autoriteit Persoonsgegevens.

Valkuil 6:

Extra persoonsgegevens opslaan voor het geval dat

De GDPR heeft in de eerste plaats de privacy van de patiënt als individu voor ogen. Daarom mag je als zorginstelling alleen die gegevens verwerken waar een doel en rechtmatigheidsgrond voor is. Binnen de GDPR wordt daar de term dataminimalisatie voor gebruikt. Het dwingt jou om bij alle data te bepalen of er een grond is om deze gegevens te verwerken. En als dat doel is verdwenen, ben je, als er geen eisen zijn voor de bewaartermijn, verplicht om die data te verwijderen. En ga daarbij grondig te werk: ook data uit je back-ups en archieven moeten verwijderd worden. Een ander principe waarmee bewerkstelligd wordt dat alleen die gegevens worden verwerkt die strikt noodzakelijk zijn, is ‘privacy by default’. Daarbij komt het er kort gezegd op neer dat de standaard is om zo min mogelijk gegevens te verwerken. En dat de patiënt er actief toestemming voor geeft om meer gegevens te bewaren. Zo staan bij een online medisch onderzoek bijvoorbeeld standaard alle vinkjes uit en is het aan de persoon in kwestie om zelf de vinkjes aan te zetten. Tot slot hebben jouw patiënten ook het recht op vergetelheid, hiermee wordt het bestaande recht om te verzoeken gegevens te verwijderen uitgebreid. Met de nieuwe privacywetgeving ben je niet alleen verplicht om gegevens op verzoek uit je eigen systemen te verwijderen, maar moet je er ook voor zorgen dat deze gegevens worden verwijderd bij organisaties die die gegevens van jou hebben gekregen. Denk aan zorg-verzekeraars en aanverwante zorginstellingen. En dat alles moet binnen een maand geregeld zijn.

Valkuil 7:

De voordeur op slot doen, maar de achterdeur op een kier laten staan

De nieuwe privacywetgeving is dus strikter in welke persoonsgegevens je mag ver- werken. En als je ze dan verwerkt, dan moet de beveiliging ervan optimaal zijn. Veel zorginstellingen kijken dan allereerst naar de voorkant en zorgen ervoor dat gegevens van buitenaf goed achter slot en grendel zitten. En dat terwijl er juist aan de achter-kant, waar de beheerders werken, grote risico’s op de loer liggen. Bij veel zorginstel-lingen is in de loop der jaren een wildgroei aan beheerdersaccounts ontstaan. Of het tegenovergestelde is waar: iedereen werkt met de inloggegevens van één beheerders-account. Zie dan nog maar eens te achterhalen waar een datalek vandaan komt... Dan is het fijn om te weten dat er tools op de markt zijn die het eenvoudiger maken om het aantal beheerders binnen je organisatie te controleren. Een van de tools is Password Manager Pro. In feite komt het erop neer dat de beheerders binnen jouw zorginstelling niet meer werken met een beheerdersaccount, maar toegang krijgen tot een goed beveiligde webapplicatie. Met die applicatie kunnen ze toegang krijgen tot de servers waarop zij hun werk moeten doen. Maar omdat ze het wachtwoord van de desbetreffende server niet meer weten, is de kans op een hack een stuk kleiner. Ook externe partijen geef je met deze tool gecontroleerd toegang. Je kunt hier zelfs een tijdslimiet aan koppelen. Hoef je niet meer te onthouden om iemand de toegang te ontnemen of wachtwoorden aan te passen. Password Manager Pro kent ook een uitgebreide (video)log. In het geval van een datalek kun je snel zien welke beheerder welke taken heeft uitgevoerd.

Ga goed voorbereid aan de slag

Klaar zijn voor de GDPR; het vraagt nogal wat van zorginstellingen. Om te kunnen voldoen aan de nieuwe privacywetgeving, speelt een goede inrichting van processen en IT-systemen een belangrijke rol. Je wil tenslotte de administratieve handelingen die de GDPR vraagt zo slim mogelijk kunnen doen, zonder dat het je teveel tijd kost. Tijd die je liever in de zorg voor patiënten steekt. De consultants van PQR hebben de juiste expertise in huis om jouw zorginstelling te helpen IT-systemen zó in te richten dat jij er straks zo min mogelijk tijd aan kwijt bent, maar wel voldoet aan de eisen van de GDPR. Zij kennen de mogelijkheden binnen Microsoft Office 365, maar kunnen ook ondersteunen in het inrichten van beheerderstools zoals Password Manager Pro. Zo kun je jouw patiënten op 25 mei verzekeren dat hun gegevens veilig zijn.

1

2

3

4

5

6

7

PQR B.V.Rijnzathe 73454 PV, De MeernThe NetherlandsTel: +31 30 66 29 729E-mail: info@pqr.nlwww.pqr.com