'Gewaarborgde privacy hoort onlosmakelijk bij goede patiëntenzorg'

De Autoriteit Persoonsgegevens (AP) zou volgens sommige (zorg)organisaties de AVG duidelijker moeten uitleggen en meer visie en sturing moeten tonen. Vicevoorzitter Monique Verdier vindt juist dat er – naast de bewakende taak – veel aan advies en bevordering van privacybescherming wordt gedaan.

Volgens Verdier leidde de invoering van de AVG (Algemene Verordening Gegevensbescherming) bij veel bedrijven en organisaties aanvankelijk tot 'allergische reacties.' Zeker in de zorg stond men niet te trappelen om de eigen privacybescherming en -protocollen kritisch tegen het licht te houden. 'Verklaarbaar ook', vindt zij, 'want zorgorganisaties willen allereerst goede zorg verlenen. Daarbij zie je dat er soms minder aandacht is om administratieve en ICT-zaken goed te regelen; het zit gewoon niet in het DNA van de zorgverlener. Toch zou dat wel zo moeten zijn, want goede zorg voor de patiënt betekent ook: de privacy van de patiënt of cliënt goed regelen en waarborgen. Sommigen halen er hun schouders over op en zeggen dat ze niets te verbergen hebben. Dat kan misschien zo zijn als je je been breekt, maar als je bij een uroloog loopt vanwege een erectiestoornis, wil je echt niet dat die gegevens op straat komen te liggen.'

Ruimte voor interpretatie

Sommige zorgorganisaties verwachten van de AP een duidelijkere uitleg van de AVG en meer visie en sturing. Verdier zal de laatste zijn om te beweren dat er binnen de AP geen ruimte is voor verbetering. 'Maar er wordt nog weleens vergeten dat wij met 180 medewerkers een kleine organisatie zijn, die als werkgebied heel Nederland heeft. Onze toezichthoudende taak betreft alle vakgebieden en sectoren, inclusief de zorg. Er is onderzocht dat wij, om aan onze wettelijke taken te kunnen voldoen, eigenlijk driemaal zo groot zouden moeten zijn. Dit betekent dus dat we keuzes moeten maken. De invoering van de AVG door de EU in 2018 heeft alles op zijn kop gezet. Deze opennormenwet stelt doelen die ruimte bieden voor interpretatie. Een van onze taken is hier richting en duiding aan te geven, plus het opzetten van werkbare en sluitende procedures. Zo beantwoorden we jaarlijks bijvoorbeeld 1.200 vragen over de AVG.'

Hand in eigen boezem

Sommige bedrijven en organisaties vinden dat de AP vooral sanctioneert en te weinig visie en sturing toont. Terechte kritiek? 'De AP beboet niet om het beboeten zelf. Sanctionering kan bijvoorbeeld ook betekenen dat we een ziekenhuis eerst een stevige brief sturen over een vastgestelde misstand. Als dan bij een volgende controle blijkt dat daar niets of onvoldoende mee is gedaan, kan alsnog een boete volgen. Maar die is dan toch echt bedoeld om de bescherming van persoonsgegevens op een hoger niveau te brengen.'

De AP kwam in 2016 voort uit het College Bescherming Persoonsgegevens. Dat kon bedrijven en organisaties een dwangsom opleggen om de privacymaatregelen te verbeteren. De AP kan direct een boete opleggen, waarbij zij de hoogte laat afhangen van diverse parameters. Wat is de omvang van de organisatie en van het probleem? Wat is de impact ervan voor de patiënt of cliënt? Is het probleem wel of niet gesignaleerd en wat is ermee gedaan? Verdier: 'Organisaties die beboet zijn en kritiek leveren, mogen best de hand in eigen boezem steken. Ze hebben jaren de tijd gehad om hun zaken op orde te brengen. Ook hebben ze bijna allemaal een eigen toezichthouder in huis in de persoon van een Functionaris Gegevensbescherming (FG). Als die zijn of haar werk goed doet, is de privacy van cliënten en ook medewerkers gewaarborgd en voorkom je dit soort problemen. Maar vooral: dan bied je betere patiëntenzorg, waarmee die boete zou zijn voorkomen.'

HagaZiekenhuis

Een bekend voorbeeld is de boete van 460.000 euro die de AP het HagaZiekenhuis in 2019 oplegde, omdat het de interne beveiliging van patiëntendossiers niet op orde had. Cliënten hebben hiervan aantoonbaar schade ondervonden. De zorgsector is daar flink van geschrokken. Dat geld had beter aan het verlenen van zorg kunnen worden besteed? Verdier: 'Dat is nu precies het punt dat ik wil maken: zorgverleners moeten zich realiseren dat gewaarborgde privacy onlosmakelijk deel uitmaakt van goede patiëntenzorg. Het is het dus waard om te investeren in de bescherming van persoonsgegevens en dat voelt ook zeker prettiger dan een forse boete betalen aan de AP. Dat bewustzijn moet niet alleen leven bij de FG en de medewerkers binnen de organisatie, het moet ook doordringen tot in de bestuurskamers van ziekenhuizen en andere zorgorganisaties. Bescherming persoonsgegevens moet vast deel uitmaken van het beleid, met duidelijke werkprocessen, protocollen en afgebakende autorisaties om bijvoorbeeld een patiëntendossier te kunnen inzien.'

Is er verbetering zichtbaar?

'Hoge boetes opleggen is voor niemand leuk, maar het schudt organisaties wel wakker. De goede wil is aanwezig, zeker in de zorg. Dat zie je onder meer aan de hoge meldingsbereidheid. In het AP-rapport over de meldplicht van datalekken in 2020 voert de sector gezondheid en welzijn de lijst met voorsprong aan. Van alle meldingen was 30% afkomstig uit de zorg, gevolgd door de sectoren Financiële dienstverlening en Openbaar Bestuur, beide 22%. Verreweg het grootste deel van de datalekken, 66%, bleek te gaan om persoonsgegevens die aan de verkeerde ontvanger waren verstuurd of afgegeven. Dat lijken me toch procedures die vrij eenvoudig beter in te richten zijn. Een organisatie als Intrakoop zou zorgaanbieders kunnen ondersteunen, door bijvoorbeeld bij softwareontwikkelaars aan te dringen op privacy by design. Op zo'n manier borg je privacy al in het inkoopproces en hoef je later niet of minder bij te sturen.'