Simpel gezegd, maar ook simpel gedaan?
Opzet, bestaan en werking – een drieslag die als mantra fungeert als het gaat om beveiliging van zorgdata. Van beleid opstellen tot implementeren en monitoren – simpel gezegd, maar ook altijd simpel gedaan? De praktijk is weerbarstiger.
Passend beleid
De inwerkingtreding van de Algemene Verordening Gegevensbescherming (“AVG”) was voor veel organisaties aanleiding tot het opstellen of rigoureus herzien van onder andere hun privacybeleid. Dit interne beleid vormt de basis voor verder uit te werken procedures en werkinstructies op het gebied van privacy binnen een organisatie. Er kan invulling mee worden gegeven aan de vele open normen uit wet- en regelgeving.
De AVG stelt bijvoorbeeld dat een betrokkene het recht heeft zijn persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, te verkrijgen in een gestructureerde, gangbare en machineleesbare vorm. In beleid kan worden aangegeven voor welk format de organisatie kiest – bijvoorbeeld een Excel-bestand.
De opdracht: de vertaalslag maken van wet- en regelgeving naar de praktijk. Dat blijkt in de praktijk niet zo eenvoudig. Soms wordt de wettekst min of meer letterlijk overgenomen. Dat heeft minpunten: onduidelijk blijft hoe de organisatie invulling geeft aan de open normen en wat de toegevoegde waarde is ten opzichte van het zelf doorzoeken van wetten.nl. Het stuk staat al snel vol juridisch jargon zodat werknemers, die ermee moeten werken, snel afhaken.
En de AVG naar de letter volgen levert problemen op omdat de zorgsector bij uitstek de sector is waar veel aspecten van de (uitoefening van) rechten van patiënten en de plichten van de zorgverleners al zijn vastgelegd. Eerder, en meer specifiek, denk aan de Wet op de Geneeskundige Behandelingsovereenkomst (“WGBO”), Wet aanvullende bepaling verwerking persoonsgegevens in de zorg (“Wabvpz”) en het Besluit elektronische gegevensverwerking door zorgaanbieder.
Onder de druk van én met de drukte rond de implementatie van de AVG is het een risico gebleken dat andere, subtielere en meer complexe, afwegingen van belangen gemakkelijk uit het oog konden raken. Zo wordt het AVG-recht op vergetelheid en WGBO-recht op vernietiging van gegevens in het medisch dossier voor het einde van de bewaartermijn wel eens met elkaar verward. Dit kan tot problemen leiden bij de belangenafweging bij en uitvoering van dit soort verzoeken.
Werkbaarheid?
En werkbaar beleid opstellen is niet zomaar papieren exercitie van juristen en privacy en security officers. Beleid rondom de omgang met zorgdata raakt iedereen in de zorginstelling; elke dag, praktisch bij elke handeling, steeds weer. Het beleid moet juridisch correct zijn, in lijn met de toepasselijke NEN-normen en voorzien in alle belangenafwegingen namens de organisatie. En hoe zit het met het gebruiksgemak voor de medewerkers en patiënten? Als er teveel wordt gezucht en gesteund bij het voldoen aan de vereisten dan is dat immers ook een risico.
Zo eist de AP tweefactor-authenticatie – bezit plus gebruikersnaam en wachtwoord – en lijkt heel concreet de zogenaamde grace period (binnen bepaalde tijd kan er worden ingelogd met eenfactor-authenticatie) van de hand te wijzen. Goed voor de beveiliging, maar misschien minder werkbaar voor de medewerkers, zodat er vanwege gebruiksongemak creatieve oplossingen onder de radar worden gezocht. Deze aspecten van Identity Access Management moeten allemaal worden onderkend en meegewogen bij de toetsing van de werkbaarheid van beleid in de praktijk.
Implementatie
Dan: het beleid ligt er, het is afgewogen, concreet waar nodig, toepasbaar in de praktijk, rekening houdend met elkaar kruisende wet- en regelgeving. What’s next? Het echte werk begint eigenlijk pas: de vertaling naar werkinstructies en procedures, het bekend maken en houden ervan, training verzorgen en bewustzijn creëren. Bijvoorbeeld aan de hand van gamification; het aanwenden van spelprincipes.
Governance
En een andere crux die wel eens uit het oog wordt verloren: hoe zit het met de governance? “Good governance” vereist dat rollen en verantwoordelijkheden helder zijn gedefinieerd en voor iedereen duidelijk zijn binnen een organisatie, waaronder op het gebied van privacy. Een grote organisatie zoals een ziekenhuis kan kiezen uit een centrale of decentrale privacy governance structuur, of een combinatie van beiden.
Een centrale privacy governance structuur houdt in dat privacy rollen en verantwoordelijkheden zijn gecentraliseerd binnen de organisatie, bijvoorbeeld bij privacy professionals direct onder de raad van bestuur. Een decentrale structuur kent daarentegen geen geclusterde rollen en verantwoordelijkheden binnen de organisatie: deze zijn verspreid over verschillende afdelingen. Het binnen ziekenhuizen meest gehanteerde model betreft de combinatie van beiden: een aantal rollen en verantwoordelijkheden wordt belegd bij een centrale ‘privacy office’. Dat zijn veelal de tweedelijns verantwoordelijkheden, zoals het beoordelen van privacy overeenkomsten door een privacy jurist. Eerstelijns verantwoordelijkheden worden verspreid door de organisatie opgepakt door privacy professionals. Denk aan het up-to-date houden van een register van de verwerkingsactiviteiten.
Een gedegen governance vormt het fundament van uit te voeren beleid. Als de privacy governance onvoldoende is verankerd binnen een organisatie, kan beleid moeilijk worden uitgevoerd. Het is dan immers niet duidelijk wie op welke wijze uitvoering geeft aan het beleid. Een datalekkenbeleid kan bijvoorbeeld niet worden uitgevoerd wanneer niet duidelijk is wie binnen de organisatie verantwoordelijk is voor het melden van een datalek.
Werking
Als het beleid is opgesteld en geïmplementeerd, volgt de laatste stap: monitoring en operatie. Dat vindt meestal plaats aan de hand van hard en soft controls in een ‘privacy control framework’. Uiteindelijk kan door middel van een ‘in control statement’ intern en extern verantwoording worden afgelegd over de werking van het beleid.
Cursus (digitaal) Persoonsgegevens uitwisselen in de zorg
De zorg maakt een digitaliseringsslag. Maar wat betekent dat voor jouw organisatie/afdeling? Hoe zorg je voor een veilige elektronische uitwisseling van gegevens? Dit leer je tijdens deze 2-daagse cursus.
Bezoek de website