Hoe laat ik mijn organisatie privacy ademen?

Bescherming van de privacy van patiënten, hoe zorg je daar nou voor?

Wet- en regelgeving geeft een heel scala aan richtlijnen en voorschriften waar een organisatie aan moet voldoen. Maar zolang medewerkers zich onvoldoende bewust zijn van het feit dat hun werkzaamheden impact hebben op de privacy van patiënten, zal de privacy van patiënten nooit goed beschermd worden.

Privacy in de zorg moet veel beter

Een zeer groot deel van de datalekken die bij de Autoriteit Persoonsgegevens (“AP”) zijn gemeld zijn afkomstig uit de zorg. Een aantal van die datalekken werden veroorzaakt door onzorgvuldig, maar in de dagelijkse praktijk veel voorkomend, handelen van medewerkers. Zij komen dagelijks in contact met patiënten en registreren tal van persoonsgegevens zoals naam, adres, BSN, verwijzing, behandelplan. Deze gegevens worden met anderen binnen de organisatie, maar ook met derden buiten de organisatie, gedeeld.

Een belangrijk aandachtspunt zijn de meldingen van datalekken, die daadwerkelijk zijn gedaan bij de AP. Deze meldingen zijn slechts het topje van de ijsberg. Een datalek kan immers alleen maar gemeld worden als men zich er ook van bewust is dat er sprake is van een datalek. Belangrijker is nog dat de organisatie dan ook niet de mogelijkheid krijgt om het lek te dichten en herstel- en verbetermaatregelen te treffen die een dergelijk incident, of datalek, in de toekomst zullen voorkomen.

Het meest voorkomend (verkeerd) handelen van medewerkers waardoor datalekken ontstaan:

  • Patiëntgegevens worden op een laptop opgeslagen, die de medewerker in zijn auto laat liggen en die vervolgens wordt gestolen
  • Een e-mail met patiëntgegevens wordt per abuis verzonden naar een onjuist mailadres.
  • Patiëntgegevens worden via de mail naar een algemeen info@mailadres verstuurd zonder versleuteling.

De mens vormt het grootste risico

Wat is de oorzaak van deze datalekken? Onzorgvuldigheid? Onwetendheid? Of heeft de medewerker wellicht geen alternatief om zorgvuldiger met de patiëntgegevens om te gaan om dergelijke datalekken te voorkomen? Wat de oorzaak ook mag wezen, de belangrijkste vraag is hoe je datalekken bij de bron kunt voorkomen. Zolang medewerkers zich onvoldoende bewust zijn van de impact van hun handelen op de privacy van patiënten, zijn zij ook niet in staat om die privacy op een goede manier te beschermen. Daarbij kunnen zij hierdoor – onbewust – datalekken veroorzaken.

In het gepubliceerde rapport, dat in opdracht van de minister van VWS is uitgevoerd door het adviesbureau PBLQ, blijkt dat men zich binnen de zorg steeds meer bewust is van het belang van een goede informatiebeveiliging en privacybescherming.

Uit de door PBLQ gehouden enquête blijkt ook dat als grootste risico met betrekking tot (het verwerken van) patiëntgegevens, veelal de mens wordt genoemd: risico’s ontstaan omdat medewerkers onbewust zijn, onbekwaam handelen of dat het werk zodanig is ingericht dat er te weinig ruimte is om privacy-bewust te handelen, waardoor incidenten ontstaan. Als voorbeeld wordt genoemd het onbeveiligd versturen van gegevens naar externe partijen. Bewustwording vereist dus steeds de nodige aandacht. Hierbij doet de PBLQ de aanbeveling om goed gedrag te bevorderen.

Hierbij is het belangrijk te beginnen met het geven van het goede voorbeeld door het management en drempels te verwijderen op de werkvloer die informatiebeveiliging en privacybescherming belemmeren.

Van onbewust onbekwaam naar bewust bekwaam!

Workshop Privacy Awareness in de Zorg

Vergroten van het bewustzijn rondom privacy

Het is dus van belang om continu aandacht te besteden aan het bewustzijn van de medewerker, zodat de medeweker bij de uitvoering van zijn werk weet wat hij kan doen om de privacy van patiënten beter te beschermen. Zoals PBLQ heeft geconstateerd vindt men in de zorg gegevensbeschikbaarheid en integriteit op zich belangrijk, maar worden de digitale dreigingen door zorgverleners onderschat.

Los van een goed ingericht privacybeleid in de organisatie en het op orde hebben van technische en organisatorische beveiligingsmaatregelen, is met een aantal eenvoudige ingrepen een heleboel winst te behalen als het gaat om “privacyproof” handelen en het voorkomen van datalekken. Het gaat hier met name om het bewust maken van de medewerker of het vergroten van het bewustzijn van de medewerker als het gaat om de bescherming van patiëntgegevens.

Van onbewust onbekwaam naar bewust bekwaam

Zorg dat medewerkers, als het gaat om de bescherming van patiëntgegevens, in plaats van onbewust onbekwaam, om te beginnen bewust onbekwaam worden om uiteindelijk bewust bekwaam in hun werk bezig te zijn met de bescherming van patiëntgegevens. Bewustwording voor het beschermen van persoonsgegevens creëren is een vereiste onder de AVG. Je moet kunnen aantonen dat je passende organisatorische en technische maatregelen neemt om persoonsgegevens te beschermen. Als je dan niet hebt verteld hoe medewerkers dat moeten doen en dat vervolgens ook niet kan aantonen, voldoe je daarmee niet aan de wet.


Fases leerproces

Dit is een leercyclus die al in de jaren ’70 is ontwikkeld. Dit model geeft de verschillende fasen weer van een leerproces. Het gaat er daarbij om, mensen vanuit de fase van “onbewust onbekwaam” te brengen naar de volgende fase waarin zij “bewust onbekwaam” zijn. Zijn mensen zich bewust van het feit dat zij onbekwaam zijn, dan is er ruimte om te leren zodat zij “bewust bekwaam” te kunnen worden.

Sturen op bewustwording

Terugkerende aandacht voor het beschermen van persoonsgegevens is van groot belang. En vertel vooral wat medewerkers in concrete situaties het beste kunnen doen. Geef handvatten en zorg dat medewerkers weten welke stappen ze moeten nemen als er bijvoorbeeld sprake is van een datalek. Door meer te sturen op bewustwording, wordt de organisatie vanzelf een stuk veiliger en zorgvuldiger in omgang met persoonsgegevens. Hiermee verklein je risico’s en is de zorginstelling in staat op de juiste manier te handelen.

Hoe ga je om met het verzamelen en delen van persoonsgegevens in de zorg?

Lees onze tips en aandachtspunten

Valkuil van onbewust bekwaam handelen

In de fase waarin medewerkers bewust bekwaam zijn, passen zij bewust toe wat zij hebben geleerd. Uiteindelijk maken zij zich een bepaalde handelwijze zo eigen dat zij “onbewust bekwaam” worden, het handelen gaat “automatisch”.  Hierin schuilt echter het risico dat mensen zonder dat zij het in de gaten hebben ook weer onbewust onbekwaam gaan handelen. Bewust handelen vraagt daarom altijd de nodige aandacht.
Begin met bewustwording van je eigen (on)bekwaamheid

Om te beginnen is het van belang dat medewerkers zich bewust worden van het feit dat het kan zijn dat zij onbekwaam handelen als het gaat om de bescherming van patiëntgegevens. De bedoeling is dat zij zich zodanig bewust worden hiervan dat uiteindelijk zorgvuldig omgaan met patiëntgegevens en dat het onbedoeld lekken van patiëntgegevens wordt voorkomen.

1.Oefening baart kunst
Training en voorlichting van medewerkers kan hen van de fase van onbewust onbekwaam brengen in de fase van bewust onbekwaam. Het geven van het goede voorbeeld door het management binnen de organisatie speelt hierbij, zoals hierboven aangegeven, ook een niet onbelangrijke rol.

2.Privacy ademen
Daarbij is voldoende bewustzijn binnen de organisatie niet alleen van belang zodat op tijd de nodige herstelmaatregelen kunnen worden getroffen als er sprake is van een datalek en dit op tijd te kunnen melden bij de AP, maar juist om ervoor te zorgen dat patiëntgegevens continu zorgvuldig en volgens geldende wet- en regelgeving worden verwerkt. Alleen dan kun je spreken van “goede zorg voor privacy”. De organisatie gaat namelijk “privacy ademen” op een zodanige manier dat dit ook voor mensen buiten de organisatie, maar vooral door patiënten herkenbaar is.

3.Herhalen, herhalen, herhalen
Om ervoor te zorgen dat medewerkers door automatisme in hun handelen uiteindelijk niet vervallen van onbewust bekwaam in onbewuste onbekwaamheid, is het van belang om de zorg voor een goede bescherming van patiëntgegevens en de maatregelen die iedere medewerker in zijn werk hiervoor in acht moet nemen, van tijd tot tijd opnieuw onder de aandacht te brengen.

Belangrijkste tip: Wees altijd bewust van wat je doet!

Het lijkt een open deur en toch begint hier het bewustzijn rondom privacy. Is het niet duidelijk of bepaalde patiëntgegevens wel verzameld mogen worden of aan derden verstrekt mogen worden, maak dit dan bespreekbaar binnen de organisatie en ga na of hiervoor mogelijk toestemming van de patiënt is vereist. Zorg van tijd tot tijd voor herhalingsacties, zoals terugkerende trainingen.

Marieke van Dijk

Business Line Manager Legal | Legal Counsel

©2022 Cure4 |

Cure4 is onderdeel van Tenzinger B.V. | Disclaimer
Contact