Tech

Elk ziekenhuis heeft een privacy-waakhond met tanden nodig

In Nederlandse ziekenhuizen gaat het gemiddeld een keer per dag mis met de privacy van patiënten. Persoonlijke data zijn te belangrijk om bij de automatiseringsafdeling te houden. Privacy moet in de portefeuille van de raad van bestuur. Punt uit.

Het nieuws dat er dagelijks minimaal één wettelijk verplichte melding van een datalek wordt gedaan door een ziekenhuis is niet alleen pijnlijk voor de betrokkenen en verontrustend voor de betrokken patiënten. Het is het zoveelste signaal dat privacybescherming en de omgang met persoonlijke gegevens op een andere manier moeten worden aangepakt. De belangen en de risico's zijn groot. Een zorginstelling die zorgeloos of argeloos omgaat met data is hiervoor juridisch aansprakelijk, loopt enorme financiële risico's en kan een goed reputatie bliksemsnel zien verdampen. Het is ook niet niks: de kans om uiterst intieme medische details over mensen op straat te laten belanden.

Wie een datalek signaleert, is sinds dit jaar wettelijk verplicht dit te melden. Dat is vast en zeker een oorzaak voor het explosief gestegen aantal meldingen. Een ander risico bevindt zich nog in de schaduwen van het publieke bewustzijn. Medische instellingen delen dagelijks grote hoeveelheden data om hun werk goed te kunnen doen en hetzelfde mogelijk te maken voor anderen: onderzoeksinstituten, zorgverzekeraars, andere zorgverleners, farmaceutische bedrijven met wie onderzoeksprogramma's lopen. Zodra data de zorginstelling verlaat, verliest men er mogelijkerwijs de controle over. Patiënten mogen er vanuit gaan dat derden die de beschikking krijgen over 'hun data', hier even zorgvuldig mee omgaan als de instantie aan wie zij in eerste instantie toestemming gaven om deze data op te slaan.

Technische hoek

Ik heb geen enkele reden om aan te nemen dat ziekenhuizen en andere zorginstellingen niet zo zorgvuldig mogelijk omgaan met persoonlijke data. Maar de vraag is of dat op het juiste niveau gebeurt en met voldoende kennis van zaken en het vermogen om in te grijpen. Informatie is nog heel vaak het domein van de automatiseringsafdeling en de problematiek van databescherming wordt dan ook vooral benaderd vanuit de technische hoek. Dat is te beperkt. Het gaat immers ook om het juridisch waterdicht maken van afspraken met de partijen met wie informatie wordt gedeeld, om interne communicatie en protocollen, om voorlichting aan de patiënt. De totale ziekenhuisorganisatie is betrokken bij patiëntdata en dus is het logisch dat dit wordt belegd waar alle lijntjes samenkomen. De grote baas, oftewel de raad van bestuur.

Privacy en data verdienen een eigen, vaste plek in de raad van bestuur, met een vaste portefeuillehouder die de tijd, kennis en bestuurskracht heeft om in te grijpen in alle onderdelen van de organisatie en haar processen waar de zorgvuldigheid van data in het gedrang is. Kortom, een interne privacy waakhond die waaks is en op tijd blaft en bijt. Waar een RvB of directie niet de kennis in huis heeft om dit te doen, moet actie worden ondernomen.

Bestuursaandacht

Koop kennis in, breid de directie desnoods uit en maak intern en extern duidelijk dat privacy de bestuurs-aandacht krijgt die het verdient. Zet de organisatie op scherp met goede werkwijzen, geboden en verboden. Breng de totale keten in beeld waarbinnen data van de instelling rondgaat en leg de afspraken vast waarbinnen dit gebeurt. Monitor het gebruik en grijp in als partners de afspraken niet nakomen. Zoals gezegd, een bestuurder kan dit overzien en afdwingen, 'gewone' medewerkers niet. Dit alles is geen honderd procent-garantie dat er nooit een datalek of andere calamiteit zal ontstaan. Maar als het gebeurt, kan in ieder geval niemand het verwijt van bestuurlijke verwaarlozing gebruiken.

Jan Andringa

Advocaat bij HVG Law

Jan Andringa_311

---

Op 12 december vindt het Skipr - ONVZ Zorgdebat plaats. Hier gaan de zorgwoordvoerders van meerdere politieke partijen de degens kruisen over zorgonderwerpen die aan de orde komen tijdens de campagnes voor de aankomende Tweede Kamerverkiezingen. U bent van harte welkom aanwezig te zijn bij het startdebat van Skipr en ONVZ. De toegang is gratis en inschrijven kan hier.

1 Reacties

om een reactie achter te laten

Jacob Wijnia

8 december 2016

De verplichte melding van een datalek was er altijd al. Nieuw per 1-1-2016 is de boete van 820.000 of 10% van de omzet. Daar gaan de bestuurders wel van lopen.

Top