Nieuwe privacywetgeving heeft grote impact op zorgorganisaties
Volgend jaar, op 25 mei 2018, gaat de Algemene Verordening Gegevensbescherming (of General Data Protection Regulation, zoals het in het Engels wordt genoemd) van kracht. De AVG is een veelomvattende en ingrijpende wet, die gevolgen heeft voor elke organisatie die met persoonsgegevens werkt. Dat betekent in de praktijk dus voor vrijwel elk bedrijf en elke instelling. Zeker voor zorginstellingen, waar de hele organisatie ongeveer draait op persoonsgegevens, zijn de nieuwe richtlijnen ingrijpend.
De AVG is een Europa-brede wet die in de plaats komt van de landelijke privacy- en databeveiligingsrichtlijnen van alle EU-lidstaten. De AVG gaat niet alleen om de technologische bescherming van data en persoonsgegevens. De techniek moet uiteraard op orde zijn, maar het gaat vooral om organisatorische en procesmatige maatregelen. Wie niet aan de regels voldoet, riskeert enorme boetes. Het is dus erg belangrijk om nu in actie te komen, met nog minder dan een jaar te gaan.
Wat zijn de belangrijkste aspecten uit de AVG voor de zorg? Hieronder een aantal punten op een rij:
Privacy als standaard: Databescherming moet een standaard onderdeel zijn bij de ontwikkeling van een systeem. Dit is wettelijk vastgelegd in de AVG; privacy moet het uitgangspunt zijn (‘privacy by design’).
Meldplicht: De Meldplicht Datalekken werd vorig jaar al van kracht in Nederland. Dit houdt in dat een datalek binnen 72 uur gemeld moet worden bij de Autoriteit Persoonsgegevens. In de AVG blijft die meldplicht bestaan, alleen is in de Europese wetgeving de opvatting van het begrip datalek breder.
Rechten van de betrokkenen: De rechten van degenen die zijn opgenomen in een gegevensbestand worden uitgebreid. Databeheerders moeten op verzoek aangeven of de gegevens van diegene worden verwerkt, waar dat gebeurt en waarom. Bovendien moet de beheerder op verzoek een gratis digitale kopie van de opgeslagen gegevens verstrekken. Wie opgenomen is in een gegevensbestand heeft ook het recht ‘vergeten’ te worden – op verzoek moet de data, onder voorwaarden, gewist worden. De persoonsgegevens moeten ook zonder moeite overdraagbaar zijn naar een andere beheerder.
Data protection officer: Grote organisaties moeten een data protection officer aanstellen – een hoofd databeveiliging. Dat moet een interne functionaris zijn, maar mag ook door een externe dienstverlener worden ingevuld. Voor zorginstellingen kan het verplicht op de loonlijst zetten van een functionaris gegevensbescherming een zware wissel op de begroting trekken. Samenwerken met andere zorginstellingen kan dan een oplossing zijn.
Boetes – Wie niet voldoet aan de Europese regelgeving riskeert hoge boetes. De maximumboete bedraagt 4 procent van de jaaromzet óf 20 miljoen euro (het hoogste bedrag telt). Voor het niet op orde hebben van databestanden en het niet melden van datalekken aan de AP en de personen wier gegevens het betreft, geldt een maximumboete van 2 procent van de jaaromzet.
Adoptie
Naast het nemen van technologische, organisatorische en procesmatige maatregelen, is het vooral van belang dat de hele organisatie op de hoogte is en dat zij de technologie accepteren. De bekende wet van Maier luidt E=KxA: het effect van nieuwe ict wordt bepaald door de kwaliteit van de technologie maal de acceptatie door de gebruikers. Als we er even vanuit gaan dat het goed zit met de kwaliteit van de ict, hangt het succes van een ict-project dus vooral af van de mate waarin gebruikers uit de voeten kunnen met de nieuwe software. Het is dan ook belangrijk om veel aandacht te besteden aan de acceptatie, ook wel adoptie genoemd. Dit kan bijvoorbeeld worden gedaan door voor alle medewerkers informatie- en trainingssessies te houden. Niet alleen is zo’n adoptieproces prettig voor de medewerkers zelf, het zorgt er vooral voor dat een nieuw systeem toegevoegde waarde oplevert voor de organisatie.