Externe Functionaris Gegevens­bescherming biedt uitkomst

De AVG is een feit. Veel zorgorganisaties moeten beschikken over een Functionaris Gegevensbescherming (FG). Een flinke belasting voor je organisatie! Arkin huurde de FG via Intrakoop in. Adviseur informatiebeveiliging Fred Pietersma over het voordeel van een onafhankelijke adviseur.

Zette de komst van de AVG alles op z’n kop?

'Binnen de zorg en zeker binnen de ggz is privacy altijd een belangrijk issue geweest. Veel zaken waren al geregeld via bijvoorbeeld de Wet op de geneeskundige behandelingsovereenkomst en de Wet bescherming persoonsgegevens. Maar de AVG dwingt je om compliant te zijn en maakt het minder vrijblijvend waardoor het dus een flinke belasting voor de organisatie betekende. We zetten in 2016 al de eerste stappen. Eind 2017 deed een extern bureau een assessment om te kijken waar de witte vlekken zaten. Daar kwam een lijst uit met sterke punten en een Top 10 van zaken waar we op korte termijn aandacht aan moesten besteden.'

Waarom besloten jullie om een externe FG in te schakelen?

'Een van de conclusies uit het privacy assessment was dat de positie van onze toenmalige FG niet onafhankelijk genoeg was om deze functie uit te voeren. Dat kun je je ook wel voorstellen, want iemand die én informatiearchitectuur én informatiebeveiliging doet kan niet daarna als FG zijn eigen werk controleren. Je laat de slager ook zijn eigen vlees niet keuren. Het nam bovendien onevenredig veel tijd in beslag. Neem alleen al de verwerkingsovereenkomsten. Dat lijkt heel simpel, maar daar kun je wel dagen en soms weken mee bezig zijn. Dan kun je beter iemand hebben die specialistische kennis heeft. Dat is efficiënter en sneller. Via Intrakoop hebben we nu een FG die rechtstreeks aan de raad van bestuur rapporteert.'

Welk werk neemt de FG jullie uit handen?

'Onze FG krijgt veel vragen vanuit de organisatie waar we niet altijd direct een pasklaar antwoord op hebben. Geen vraag is hetzelfde. Ook de Autoriteit Persoonsgegevens heeft nog niet altijd gelijk een helder standpunt, dus dat vergt veel overleg. Alleen al met het beantwoorden van deze vragen kan onze FG twee dagen per week druk zijn. Iets anders wat veel tijd vraagt, is het gestructureerd beschrijven van hoe we de informatie gebruiken die we verzamelen in het zogenaamde Verwerkingsregister. Een cliënt kon altijd al inzage krijgen in zijn dossier, maar nu heeft een cliënt er ook recht op om te weten in welke systemen zijn gegevens staan, hoe we deze systemen beveiligen, waarom we gegevens verzamelen en welke systemen met elkaar gekoppeld zijn. En wij moeten bijvoorbeeld in één oogopslag kunnen zien wat we moeten doen als een cliënt ons vraagt zijn informatie te verwijderen. Dat gaat verder dan alleen het verwijderen van de informatie uit ons Elektronisch Cliënten Dossier (ECD). We moeten de gegevens ook wissen uit alle gekoppelde systemen zoals onder meer het medicatiesysteem en het Routine Outcome Monitoring systeem (ROM).'

Is het een goede zet geweest?

'Jazeker. Niet alleen voor het ontlasten van mijn collega en mij, maar ook vanwege de kennis die hij inbrengt en de manier waarop het gaat. Arkin is een grote instelling met meer dan honderd locaties en elf merken, ieder met zijn eigen expertise binnen de ggz. De FG is onafhankelijk en kan zich juist daardoor veilig en objectief in de organisatie bewegen en de juiste mensen aan zich binden. Het brengt ons nog meer dan we van tevoren hadden verwacht. Het feit dat het binnen zo korte tijd, zo goed loopt is wel heel erg prettig. Dan denk je bijna: dat hadden we eerder moeten doen.'