Privacy en de bescherming van cliëntgegevens staat bij zorginstellingen extra hoog op de agenda door de nieuwe Europese privacywetgeving (AVG/GDPR). Hoe voorkom je boetes en blijf je ‘compliant’ zonder veel kostbare tijd te steken in bescherming van persoonsgebonden gegevens of extra administratieve handelingen van zorgverleners? Het integreren van slimme technieken in de eigen werkprocessen biedt uitkomst.
De nieuwe privacywetgeving die in mei 2018 van kracht wordt, trekt momenteel veel aandacht. Vooral door het risico op torenhoge boetes (tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet) voor organisaties die niet compliant zijn. Toch zijn de meeste wettelijke eisen niet nieuw voor zorginstellingen. Voor de bestaande certificering voor informatiebeveiliging in de zorg (NEN 7510) moet aan de meeste AVG/GDPR-eisen al zijn voldaan.
“De Europese wetgeving is voor alle zorginstellingen wel aanleiding om nu hun privacybescherming nog eens goed tegen het licht te houden en aan te passen of – voor de voorhoedelopers – om de laatste puntjes op de ‘i’ te zetten”, stelt IT-manager en compliance specialist Gabor Schilten van Zetacom, specialist in zorgsystemen.
Wetgeving biedt ook vrijheid
Zetacom merkt dat het privacythema in de zorg leeft door de vele vragen van zowel cure- als care-organisaties. Schilten: “Die vragen zijn zeer divers en sterk afhankelijk van de primaire werkprocessen. Voor een ziekenhuis, verpleeghuis of bijvoorbeeld een zelfstandige fysiotherapeut is de uitdaging totaal anders. Maatregelen die je neemt, moeten voor de wetgever passen bij je werkproces en logisch zijn voor jouw organisatie. Dat roept in de praktijk veel vragen op. Veel mensen vinden de nieuwe wetgeving daarom ‘vaag’, maar ik adviseer om de geboden vrijheid vooral te zien als een kans. Hiermee kun je de maatregelen voor de bescherming van persoonsgebonden gegevens het best laten aansluiten op je eigen bedrijfsvoering.”
Vraagstukken in de zorg
De vragen van zorginstellingen gaan bijvoorbeeld over identity management of audit logging (oftewel: vastleggen wie wanneer bepaalde aanpassingen doet in een zorgsysteem). Dat is een goed voorbeeld van een maatregel die volgens de normen van NEN 7510 uit 2011 al geregeld moet zijn. “In de praktijk blijken vaak nog verbeterpunten nodig. Die worden doorgevoerd nu mei 2018 snel dichterbij komt.”
Andere vragen van zorginstellingen gaan bijvoorbeeld over het spanningsveld tussen meer klantvriendelijke, patiëntgerichte zorg en de bescherming van persoonsgegevens. Mag een contactcentrum van een zorginstelling bijvoorbeeld bepaalde gegevens van een cliënt of mantelzorger inzien om mensen beter en sneller te helpen? “Ja dat kan, mits goed is nagedacht over de manier waarop je dat netjes regelt, met voldoende privacybescherming,” aldus Schilten.
Slimme oplossingen voor knelpunten
Hoe moet je daar als zorginstelling mee omgaan? Welke maatregelen neem je en hoe zorg je ervoor dat deze maatregelen ook cliënttevredenheid vergroten en werkprocessen verbeteren?
Datamapping is een belangrijke eerste stap om inzichtelijk te maken in welke systemen bepaalde gegevens zijn opgeslagen en met welk doel.
Schilten: “Zo groeit het bewustzijn van kwetsbaarheden in de bedrijfsvoering en wat wel en nog niet goed gaat. Daarna kun je gericht maatregelen nemen die passen bij jouw organisatie. Wij helpen daarbij vaak door slimme technieken in te passen die de knelpunten oplossen zonder alle bestaande systemen te moeten vervangen. Door werkprocessen en technische hulpmiddelen goed op elkaar af te stemmen, kunnen zorgmedewerkers (haast) als vanzelf veiliger en meer privacygericht werken.”
Bijvoorbeeld met behulp van speciale software (zoals uit het Aruba 360 Secure Fabric-concept) die ervoor zorgt dat medewerkers alleen toegang hebben tot gegevens en systemen die voor hen relevant zijn. Potentieel schadelijke apparaten en kwaadwillende gebruikers kunnen zo ook worden weggehouden van bedrijfskritieke en privacygevoelige data.
Advies voor de praktijk
Zorgconsultants van Zetacom – IT-specialisten met een uitvoerende achtergrond in de zorg – helpen zorginstellingen bij alle stappen die nodig zijn voor het (compliant) inrichten van systemen.
“Door hun achtergrond als verpleger of bijvoorbeeld zorgmanager, kennen zorgconsultants de dagelijkse praktijk in zorginstellingen,” aldus Schilten. “Zij kennen de impact van bepaalde werkprocessen en technische hulpmiddelen op de werkvloer en weten hoe processen en tools het best benut kunnen worden. Samen met onze systeemarchitecten en engineers kijken ze hoe we technische hulpmiddelen het best kunnen inpassen in werkprocessen. Of waar juist kleine procesaanpassingen nodig zijn. Door de inpassing hoeven niet complete systemen vervangen te worden en worden werkprocessen en technische hulpmiddelen optimaal afgestemd op de eigen bedrijfsvoering.”
Zetacom kan hierbij volgens Schilten helpen vanaf het eerste idee tot na de implementatie. “Wij realiseren niet alleen een omgeving die voldoet, maar wij blijven als partner vaak ook betrokken. Bijvoorbeeld bij service operations op de langere termijn. Wij adviseren ook vaak over privacy-uitdagingen en business continuity plannen.”
Het eindresultaat moet niet alleen zijn dat zorginstellingen in mei 2018 voldoen aan de nieuwe privacywetgeving. Ook de impact op cliënten en medewerkers is groot.
“Wie alles goed voor elkaar heeft, voorkomt verstorende (privacy)incidenten in de dagelijkse praktijk. Het brengt rust, zekerheid en vertrouwen onder medewerkers en cliënten. Kijk ook daarnaar, niet alleen naar de wettelijke eisen,” adviseert Schilten.
