Sinds bekend is geworden dat op 25 mei 2018 de Algemene verordening gegevensbescherming van de Europese Unie rechtstreeks van toepassing wordt, worden zorginstellingen bestookt door bureaus en bureautjes die hen aanbieden om de organisatie klaar te stomen voor die datum. De advisering vangt steevast aan met een assessment of privacy impact assessment (PIA) waarbij alle vlaggetjes van het meegeleverde ‘dashboard’ op rood gaan. Zodat de organisatie maar weet dat het bar en boos is gesteld met de naleving van de privacywetgeving. Er moeten een hoop (advies)kosten gemaakt worden om de organisatie op orde te krijgen. En dan wordt er niet eens rekening mee gehouden dat de zorg per 1 juli aanstaande nog een andere wet over zich heen krijgt: De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Geen wonder dat de privacywetgeving niet de grootste populariteit onder bestuurders geniet. Maar kan het ook anders?