Gegevensbescherming binnen de zorg (NEN7510/AVG): “katalysator voor kwaliteit”
Het zorgvuldig en veilig omgaan met (persoons)gegevens van cliënten is een essentieel onderdeel voor kwalitatief hoogstaande zorgverlening. Uit de meest recente cijfers van de Autoriteit Persoonsgegevens blijkt dat de zorgsector in Nederland het meest getroffen wordt door datalekken en informatiebeveiligingsincidenten.
We zien regelmatig grootschalige datalekken in de zorg langskomen in de media, bijvoorbeeld het datalek bij een Jeugdhulpinstelling op 10 april 2019 waarbij de dossiers van 3000 minderjarigen waren betrokken. De landelijke politiek legt dan ook het vergrootglas op veilig omgaan met gegevens van cliënten. Wij verwachten dat dit zal resulteren in een verhoogde aandacht van de toezichthouders voor privacy en informatiebeveiliging. De gedachte is dat juist persoonsgegevens van kwetsbare groepen een hoger niveau van bescherming verdienen en vereisen, met name als je de gevolgen van dit soort datalekken in perspectief plaatst.
Datalekken met financiële gegevens versus gezondheidsgegevens
Het digitaal “op straat” hebben liggen van een cliëntendossier met daarin bijvoorbeeld informatie over de gezondheid of vermoedens van seksueel misbruik kan iemand levenslang blijven achtervolgen. Dit in tegenstelling tot gestolen creditcardgegevens, waar iemand tijdelijke hinder van kan ondervinden. Het verschil zit hem in het soort informatie dat via een datalek openbaar is geworden.
Een creditcard kan binnen een paar minuten worden geblokkeerd door de bank en getroffen persoon kan binnen enkele dagen beschikken over een nieuwe creditcard. De oude creditcard gegevens zijn dan niet meer bruikbaar en niet meer relevant. Bij een gezondheidsgegevens ligt dit heel anders. Deze zijn statisch en blijven vrijwel altijd relevant. Gelekte informatie over bijvoorbeeld een chronische aandoening of een vermoeden van seksueel misbruik zal een persoon daarom altijd blijven achtervolgen nadat deze openbaar is geworden.
Highberg ondersteunt de zorgsector al jaren bij de inrichting van het veilig omgaan met persoonsgegevens. Primair om cliënten te beschermen en daarnaast om aan alle eisen te voldoen, bijvoorbeeld aan de Algemene Verordening Gegevensbescherming (AVG) en wetgeving van toepassing zijn op elektronische uitwisseling van medische gegevens. Certificering op de voor de zorg specifieke ontwikkelde informatiebeveiliging norm NEN7510:2017 is hierin een belangrijk middel.
Implementeren van de AVG en NEN7510 bij zorginstelling Triade Vitree
Triade Vitree is een zorginstelling in Flevoland en zorgt in de regio voor o.a. jeugdhulp, geestelijke gezondheidszorg en langdurige gehandicaptenzorg. Highberg ondersteunt Triade Vitree al jaren bij haar informatiebeveiliging en de bescherming van persoonsgegevens. De organisatie heeft na haar fusie in 2018 de ambitie uitgesproken om hierin blijvend te investeren, vanuit de visie dat veilig omgaan met cliëntgegevens onderdeel uitmaakt van de primaire zorg.
Highberg is door Triade Vitree gevraagd om gegevensbescherming op een pragmatische manier te begeleiden en ervoor te zorgen dat de organisatie aantoonbaar kan voldoen aan de privacywetgeving en gereed is voor NEN7510:2017 certificering. Highberg heeft allereerst invulling gegeven aan alle verplichte en formele onderdelen die hierbij komen kijken. Het gaat hier dan onder meer om het register van verwerkingsactiviteiten, opstellen en afstemmen van informatiebeveiligings- en privacy beleid, de inrichting van een integraal Management Systeem voor gegevensbescherming en het uitvoeren van gecombineerde Privacy Impact Assessments en Risicoanalyses op informatiebeveiliging.
Tijdens het leggen van deze basis heeft Highberg haar peilen gezet op alle medewerkers van Triade Vitree. Medewerkers zijn intensief bij het project betrokken en werden daardoor steeds meer bewust bekwaam ten aanzien van gegevensbescherming. Highberg heeft vervolgens samen met de organisatie een Privacy/informatiebeveiligings-office ingericht van waaruit Triade Vitree alle processen voor gegevensbescherming coördineert en monitort. Bij dit Office kan iedereen die is verbonden aan Triade Vitree vragen stellen over privacy en informatiebeveiliging. Ook geven medewerkers van het Office informatiebeveiliging en privacy trainingen en brengen zij gevraagd en ongevraagd advies uit op het gebied van gegevensbescherming aan het management en de Raad van Bestuur.
Succesverhaal van Triade Vitree – gegevensbescherming als katalysator
Voor een succesvolle invoering van gegevensbescherming moet iedereen binnen de organisatie worden betrokken. Binnen Triade Vitree is deze aanpak zeer succesvol gebleken, met name wanneer we kijken naar de resultaten die het Office binnen één jaar tijd heeft geboekt.
Een jaar na de start van het project zijn ruim 500 privacy en informatiebeveiliging gerelateerde vragen gesteld en beantwoord, hebben meer dan 40 teams trainingen gekregen, zijn meerdere DPIA’s en risicoanalyses uitgevoerd en worden verbeteringen ten aanzien van gegevensbescherming continu doorgevoerd en gemonitord. Het Office van Triade Vitree kan dan ook gezien worden als een olievlek waar iedere medewerker mee in aanraking komt en waar de medewerkers elkaar op wijzen.
Een kleine greep uit de adviezen die Highberg tijdens het project heeft geïnitieerd en inmiddels zijn of worden doorgevoerd binnen de organisatie:
- Een nieuwe methode om veilig te kunnen e-mailen, die in lijn is met de NTA7516, de norm die toeziet op veilige e-mail in de zorg.
- Het implementeren van de zorg specifieke Instant Message Applicatie als vervanger voor onder meer Whatsapp.
- Advies over een nieuwe en toekomstbestendige methode van autorisatieverlening binnen het elektronische cliëntendossier (ECD).Het succesvol uitvoeren van het project en het enthousiasme vanuit de Triade Vitree medewerkers hebben een positieve werking op andere werkzaamheden binnen de organisatie. Het wordt bijvoorbeeld gezien als katalysator voor de ISO 9001 certificering.
Highberg heeft Triade Vitree met heel veel plezier bijgestaan. We zien dat de bescherming van cliëntgegevens inmiddels integraal onderdeel uitmaakt van de primaire zorgverlening. De manier waarop Triade Vitree invulling geeft aan gegevensbescherming is een voorbeeld voor alle zorgorganisaties in Nederland.
Het project bij Triade Vitree is één van de vele Highberg-schoolvoorbeelden, die aantoont dat de uitwerking van een verplicht onderwerp kan resulteren in zoveel meer betekenis en positieve effecten op een organisatie.
Wilt u meer weten over deze casus? Neem dan vrijblijvend contact op met onze cybersecurity en privacy expert Sander Vols