Aandacht voor privacy: Hoe regel je dat goed?

Het organiseren van een Escaperoom en jaarlijkse opruimweken. Bij zorgorganisatie TanteLouise koos het privacyteam voor een speelse, creatieve aanpak. Met resultaat. ‘We wilden dat dit onderwerp echt ging leven en dat er continue aandacht voor is.’

Als kennisorganisatie krijgen we regelmatig vragen binnen over de inzet van zorgtechnologie en privacy. In een gesprek met zorgorganisatie TanteLouise haalden we daarom geleerde lessen op om met andere organisaties te kunnen delen. 

Privacyteam 

TanteLouise begon met een privacyteam toen de Algemene Verordening Gegevensbescherming (AVG) in werking trad. ‘We realiseerden ons al snel dat dit onderwerp echt om een goede implementatie vraagt’, vertelt Muriel Sneep, beleidsadviseur bij TanteLouise. ‘Je wilt privacy levend houden. Bovendien moeten medewerkers ergens terecht kunnen met hun vragen.’

In hun privacyteam zitten verschillende functionarissen. Onder andere een functionaris gegevensbescherming, een locatiemanager, iemand van de afdeling audit en advies, een medewerker van de facilitaire dienst, een beleidsadviseur en iemand van ICT en applicatiebeheer. 

Privacymailbox

‘We willen het medewerkers zo makkelijk mogelijk maken om vragen in te dienen’, vertelt Jos Nijskens. Als extern adviseur is hij ingehuurd voor de rol van functionaris gegevensbescherming. ‘Medewerkers kunnen hun vragen mailen naar een privacymailbox. Iedere vraag krijgt een antwoord. Domme of gekke vragen bestaan niet. Ook als een vraag meerdere keren gesteld wordt door verschillende medewerkers, herhalen we het antwoord meerdere keren. Als privacyteam houd je hierdoor goed contact met wat er leeft in de praktijk.’

Insteek is: Wat mag wel? 

Sneep: ‘De neiging kan soms zijn om bij privacywetgeving vooral te benadrukken wat niet mag. Wij hebben besloten om dat om te draaien: Dus vooral benadrukken wat wel mag. En als iets niet kan, hoe dan wel? Aandacht voor privacy werkt alleen goed als je met medewerkers meedenkt en oog houdt voor de mogelijkheden.’ 

Escaperoom

Sneep: ‘Om aandacht te genereren voor privacy, hebben we een privacy-escaperoom op laten zetten op verschillen locaties in de regio. Medewerkers van al onze locaties konden daar vrijblijvend aan meedoen. Het team met de snelste tijd kreeg een beker uitgereikt. De escaperoom was een succes. Het werkt goed om op een speelse, creatieve manier aandacht te vragen voor dit onderwerp. Op het moment dat je het verplicht gaat opleggen, creëer je namelijk alleen maar weerstand.’

Herhaling 

Nijskens: ‘De kracht zit hem in de herhaling. Privacy en informatiebeveiliging hebben continue aandacht nodig. Zo maken wij drie à vier keer per jaar een privacy-nieuwsbrief. Doe je dat een keer niet, dan zie je gelijk dat er minder vragen over privacy binnenkomen. Ook plaatsen we regelmatig een bericht op intranet. Bijvoorbeeld als we merken dat we heel veel vragen krijgen over een specifiek onderdeel.’

Opruimweken

Jos: ‘Daarnaast organiseren we opruimweken, die laten we jaarlijks terugkomen.’ Sneep: ‘We delen dan meteen een lijst met bewaartermijnen om te voorkomen dat mensen te lang gegevens bewaren. Ook laten we containers op de locaties komen voor alle fysieke stukken. Hier maken medewerkers goed gebruik van.’

Neem privacy mee in programma van eisen 

Sneep: ‘We hebben iedereen in de organisatie ook voorgelicht dat ze ons als privacyteam al vroeg moeten betrekken.’ Nijskens: ‘Zeker bij innovatie kan het vanuit enthousiasme een valkuil zijn om te laat na te denken over privacy. Daarom is het slim om dit onderwerp goed mee te nemen vanaf het begin. Bijvoorbeeld in een programma van eisen. Wat willen we nou precies en waar moet het aan voldoen? Hoe zit het met de informatiebeveiliging? Hoe zit het met de techniek en de juridische aspecten waar je op moet letten?’

Eigenaarschap

Sneep: ‘Verder is het belangrijk om het eigenaarschap goed te beleggen. De verantwoordelijkheid voor goede omgang met privacy ligt bij de verschillende afdelingen zelf. Wel gaan we regelmatig langs om te kijken: Wat loopt er allemaal qua verwerkingen op jouw afdeling en loopt het allemaal nog goed? We gaan hierover in gesprek met de managers van de afdelingen. Die nemen het op hun beurt weer mee in de verschillende werkoverleggen.’

Kritisch blijven in gesprek met leverancier

Daarnaast is het ook belangrijk om kritisch te blijven naar de leverancier. Nijskens: ‘Vaak zeggen leveranciers dat data niet herleidbaar zijn, maar dat valt vaak tegen in de praktijk. Een kamernummer geeft nog geen persoonlijke informatie prijs, maar dat soort gegevens zijn makkelijk te achterhalen. Hetzelfde geldt voor cliëntnummers en geboortedata. Daarom is het belangrijk om kritisch door te vragen. Welke data worden er nou verwerkt? En wat wordt er precies waar bewaard?’ 

Omgaan met data 

TanteLouise ziet voor de toekomst ook kansen in het benutten van data die gegenereerd worden door de inzet van technologie. Denk daarbij aan data uit bedsensoren. Maar ook hierin is het belangrijk om kritisch te blijven op privacy. Nijskens: ‘Qua privacy is bij ons het uitgangspunt: Is het echt nodig om die data te verzamelen? Dat het leuk en interessant is, is geen goed argument. Het moet ook echt wat opleveren voor cliënten of medewerkers. We kijken ook goed naar wat te doen met data als een pilot afloopt.’ 

Kennis delen met andere organisaties 

Het is ook slim om gebruik te maken van de kennis van andere organisaties. Nijskens: ‘Zo nemen we deel aan een regionaal privacy-overleg. Daarnaast biedt een brancheorganisatie als ActiZ handige informatie. Zo heb ik onlangs een online sessie bij hen gevolgd over ICT en informatiebeleid. Verder kun je een ‘data protection impact assessment’ (dpia) samen met andere organisaties oppakken. Het scheelt enorm als je dat met vier VVT-organisaties samen kunt doen.’

MDR

Sinds 26 mei 2021 geldt tot slot de nieuwe Europese regelgeving voor medische hulpmiddelen (MDR). Dit kan betekenen dat een product in een andere risicoklasse kan vallen dan voorheen en daarom moet voldoen aan strengere veiligheids- en kwaliteitseisen. Ook in de langdurige zorg kan een hulpmiddel als medisch hulpmiddel worden beschouwd. Doorslaggevende factor daarbij is of het hulpmiddel wordt ingezet voor een medische doelstelling. 

In de zorg gebruikte technologieën zijn vaak producten die ook software omvatten. Denk hierbij aan apps, of het Elektronisch Cliëntdossier (ECD), of technologie die gebruik maakt van software, zoals slimme sensoren of een robot. Ook hier kan MDR op toepassing van zijn. 

Zorgaanbieder nu vooral bemiddelaar

Nijskens: ‘Als privacyteam komen we over MDR tot nu toe nog geen vragen tegen van professionals. Dit kan bij ons wel gaan spelen bij bijvoorbeeld diabetes- of meetapparatuur. De data-uitwisseling vindt meestal plaats op basis van een overeenkomst tussen gebruiker en leverancier. De zorgaanbieder is dan eerder een bemiddelaar, dus dit is vooral een aandachtsgebied wat de afdeling inkoop of innovatie zal meenemen. Maar ik verwacht dat MDR een grotere rol gaat spelen in de toekomst. Zeker ook door de vergrijzing en de toenemende krapte op de arbeidsmarkt waardoor de inzet van technologieën eerder vaker dan minder zal voorkomen.’

Meer weten over MDR? Bekijk dan onze factsheet en video op ‘Factsheet over Medical Device Regulation’