VERANTWOORDELIJKHEID ZORGVOORZIENINGEN NEEMT TOE

BENT U AL KLAAR VOOR GDPR?

Op 25 mei 2018 wordt de Europese General Data Protection Regulation (GDPR) van kracht. Een nieuwe en strengere privacywet, zeg maar. Met forse boetes voor wie zich niet aan de regels houdt. De meeste zorgvoorzieningen zijn ondertussen volop bezig met de voorbereidingen hierop. Ze kunnen rekenen op ondersteuning van Zorgnet-Icuro. Stafmedewerker Gezondheidsrecht Tom Balthazar en stafmedewerker Technologie & Innovatie Peter Raeymaekers helpen organisaties de veranderingen in goede banen te leiden.

Peter Raeymaekers: De gezondheidszorg is een uiterst gevoelige sector wat de bescherming van de privacy betreft. De impact op de ziekenhuizen, de woonzorgcentra, de geestelijke gezondheidszorg en andere voorzieningen is dan ook erg groot. GDPR reikt zelfs ver voorbij de eigen voorziening.

Tom Balthazar: Komt daarbij dat deze Europese wetgeving ook linken heeft naar andere wetgeving, zoals de Wet op de Patiëntenrechten bij ons. De contexten zijn bovendien complex. Je hebt gegevens die intern in een voorziening blijven, maar er worden ook gegevens uitgewisseld met andere voorzieningen en bijvoorbeeld ook met universiteiten in het kader van wetenschappelijk onderzoek.

“De ‘Gegevensbeschermingsautoriteit’ kan op inspectie komen. We zien dat niet meteen systematisch gebeuren, maar als er ooit een incident of een klacht komt, dan moet je klaar staan en verantwoording kunnen afleggen.”

Peter Raeymaekers: Zelfs de leveranciers van de zorgvoorzieningen zijn betrokken partij in dit verhaal. Externe verwerkers van gegevens moeten zich eveneens aan de regels houden. Denk aan externe clouddiensten, softwareleveranciers, archiefbeheerders of personeelsbeheerders. Nu, het is niet de bedoeling om de organisaties ongerust te maken. De meeste voorzieningen stonden sowieso al vrij ver in de bescherming van gegevens. We hadden immers al een strikte privacywetgeving. GDPR gaat nog een stapje verder, maar het is geen complete vernieuwing.

Tom Balthazar: Een belangrijke vernieuwing is wel het principe van accountability. Je wordt als voorziening verantwoordelijk voor het gegevensbeheer. Je moet kunnen aantonen dat je alles doet wat in jouw macht ligt voor een goede beveiliging. Je moet kunnen bewijzen dat je de nodige maatregelen treft en dat je een coherent beleid ter zake voert. De ‘Gegevensbeschermingsautoriteit’ – wat we tot nu de Privacy­commissie noemden – kan op inspectie komen. Ik zie dat niet meteen systematisch gebeuren, maar als er ooit een incident of een klacht komt, dan moet je klaarstaan en verantwoording kunnen afleggen.

Verder zijn er een aantal nieuwe verplichtingen, zoals het opstellen van een verwerkingsregister. Het gaat om méér dan een louter administratieve verplichting of een opdracht voor de ICT-afdeling. De hele organisatie moet hierbij betrokken worden en er moeten beleidskeuzes gemaakt worden, bijvoorbeeld over welke gegevens bijgehouden worden en waarom, wie toegang krijgt tot welke gegevens, hoe de gegevensstromen verlopen enzovoort.

GEDRAGSCODE

Peter Raeymaekers: Die verplichting legt meer nadruk op het proces en de procedures. Voorzieningen moeten ook een DPO of een Data Protection Officer aanstellen. Dat is een nieuwe functie die de informatieveiligheidsconsulent zal vervangen. Het toont welk belang de wetgever hecht aan het nieuwe GDPR-kader.

Tom Balthazar: Zowel juridisch als technologisch moeten organisaties zich goed voorbereiden. Elke voorziening zal een evaluatie moeten maken. Dat gaat vrij ver. Je moet bijvoorbeeld kunnen aantonen hoe je jezelf beschermt tegen hackers of tegen onzorgvuldigheden van eigen medewerkers.

Peter Raeymaekers: Vandaar ook dat we met Zorgnet-Icuro het initiatief genomen hebben om onze leden-voorzieningen zo goed mogelijk bij te staan, zowel juridisch als technologisch. Zo hoeft niet elke voorziening het warm water uit te vinden. Dat proces van ondersteuning is volop bezig. In 2017 hebben we al vier studiedagen georganiseerd met een grote opkomst.

Tom Balthazar: In samenwerking met het gespecialiseerde advocatenkantoor Dewallens & Partners hebben we ook een lijvige ‘GDPR-Gedragscode voor zorgvoorzieningen’ opgesteld. Die kan ondertussen geraadpleegd worden door onze leden. In die bundel zijn ook ettelijke modelformulieren opgenomen die de voorzieningen kunnen gebruiken als leidraad bij hun eigen beleid. We hebben deze Gedragscode ook voorgelegd aan de Privacycommissie. Dan weet iedereen die deze Gedragscode volgt dat hij goed bezig is. Voor bepaalde elementen hebben we ook het advies van de Orde van Artsen gevraagd.

Peter Raeymaekers: Zo hebben we in de Gedragscode ook een voorbeeldclausule opgenomen die voorzieningen kunnen gebruiken bij hun leveranciers. Hoe meer uniformiteit in dat soort clausules, formulieren en afspraken, hoe beter en efficiënter voor zowel de voorzieningen als voor de leveranciers. De meeste voorzieningen zijn ondertussen bezig met de implementatie. Ik kan me voorstellen dat er gaandeweg nog praktische vragen zullen opduiken. De echte implementatie ter plaatse moet door elke voorziening afzonderlijk gebeuren, aangepast aan de eigen plaatselijke omstandigheden. Maar leden mogen ons altijd contacteren voor vragen over de toepassing van de gedragscode. Dit is een schoolvoorbeeld van hoe we als koepel een uitdaging gezamenlijk aanpakken door de krachten te bundelen en informatie en expertise te delen.


WAT MET NIEUWSBRIEVEN?

Het omgaan met medische gegevens van patiënten, bewoners of cliënten krijgt uiteraard de meeste aandacht van GDPR. Maar wat bijvoorbeeld met de digitale nieuwsbrief van het ziekenhuis of het woonzorgcentrum? Komen ook daar extra beperkingen?
“Voor nieuwsbrieven met algemene informatie over de voorziening zie ik geen bijkomend probleem”, zegt Tom Balthazar. “Mensen moeten zich wel inschrijven en moeten ook de mogelijkheid hebben om zich uit te schrijven. Voorzichtigheid is wel geboden als je bijvoorbeeld een heel specifieke nieuwsbrief naar een heel specifieke doelgroep stuurt, bijvoorbeeld een nieuwsbrief die je alleen richt aan patiënten met hartfalen. Als die gegevens op een of andere manier openbaar of gehackt worden, weet iedereen meteen dat dit adressenbestand bestaat uit mensen met hartfalen. Maar een algemene nieuwsbrief die je naar een brede doelgroep richt, vormt geen probleem. Ook algemene informatie over je voorziening op Facebook of andere sociale media is geen bezwaar. GDPR wil ons niet naar het Stenen Tijdperk terugsturen. Het is net de bedoeling van GDPR om hedendaagse communicatie en informatiedeling mogelijk te maken, maar dan wel op een voor iedereen veilige manier.”


BOEK: GEGEVENSBESCHERMING IN DE ZORG – EEN PRAKTISCHE GIDS BIJ DE GDPR

Om de Vlaamse zorgvoorzieningen te helpen bij het moeilijke proces van de ‘GDPR compliancy’ werkte Zorgnet-Icuro samen met ervaren specialisten uit de sector en advocatenkantoor Dewallens & Partners een gedragscode uit. Aan de hand van vragen en antwoorden wordt de uitvoering van de GDPR gedetailleerd en praktisch toegelicht. Het boek bevat ook een beknopte inleiding bij de GDPR, samen met nuttige verwijzingen om verder te werken aan de optimale bescherming van de privacy van bewoners, patiënten en medewerkers.

Het boek kost 23 euro en kan besteld worden via de webshop van Die Keure.

Bij de gedragscode horen een reeks modellen om de nieuwe verplichtingen zo vlot mogelijk uit te voeren. Leden van Zorgnet-Icuro kunnen de modellen in de ledenzone (“my dashboard”) van www.zorgneticuro.be (knop GDPR) elektronisch raadplegen en downloaden. In het boek staat ook een link naar de website van de De Keure, waar de modellen eveneens raadpleegbaar zijn.

 

TEKST: FILIP DECRUYNAERE • BEELD: PETER DE SCHRYVER