Filip Goyens

DATA PROTECTION OFFICER

FILIP GOYENS IN UZA

Ik was twaalf jaar IT-manager in AZ Turnhout. Toen de overheid besliste dat elk ziekenhuis een informatieveiligheidsconsulent moest hebben, heb ik in AZ Turnhout een carrièreswitch gemaakt. Vier jaar geleden ben ik dan voltijds informatie­veiligheidsconsulent geworden in het UZA en van daaruit ook voor de gelieerde ziekenhuizen AZ Monica, AZ Klina en AZ Rivierenland. Mijn focus lag vooral op het implementeren van de ISO27001-norm voor Informatieveiligheid*.

Drie jaar geleden kwam GDPR (of AVG – Algemene Verordening Gegevens­bescherming), de nieuwe privacywetgeving, ter sprake. Mijn focus verschoof opnieuw. De GDPR trad in werking op 25 mei 2018 en vergde heel wat aandacht. Elk ziekenhuis moest voortaan ook een Data Protection Officer (of Functionaris Gegevensbescherming) in dienst hebben. Na een DPO-opleiding heb ik die functie in het UZA opgenomen.

GIGANTISCHE KLUS

In België hadden we eigenlijk al een vrij strenge privacywet. Toch zorgde de GDPR voor nieuwe accenten en een strikter beleid. De focus ligt nu op de verwerking van persoonsgegevens. Dat mag je breed interpreteren: zelfs het zien van persoonsgegevens op een scherm wordt door de GDPR al als een verwerking geïnterpreteerd. En persoonsgegevens zijn niet alleen de gegevens van patiënten, maar ook die van de medewerkers.

De DPO geeft advies over en kijkt toe op de verwerkingsprocessen van alle persoonsgegevens. Hij zorgt ervoor dat het ziekenhuis een privacy policy heeft die
duidelijk zegt wat er met de persoons­gegevens gebeurt en waarom. We moeten ook beleidsdocumenten opmaken met interne afspraken over het omgaan met persoonsgegevens. Verder moet het ziekenhuis een verwerkingsregister bijhouden: voor elk proces moeten we tot in detail uitschrijven welke persoons­gegevens we verwerken, waarom, hoe, voor wie … Dat moet voor elk verwerkingsproces gebeuren! Een grote klus. Medische toestellen, softwaretoepassingen – overal waar persoonsgegevens worden verwerkt – moet er worden geregistreerd. Die opdracht zal nooit af zijn, want er komen voortdurend nieuwe toepassingen en toestellen bij. Als we nieuwe technologie gebruiken, moet er overigens eerst een risicoanalyse worden gemaakt.

Vandaag zijn de gegevens beter beschermd dan vroeger. Dat is zeker. Het gebruik van toepassingen met gevoelige informatie moeten we regelen met toegangsrechten en een logging van het effectieve gebruik van de toepassingen. Het toezicht is veel strenger geworden. De rechten van alle betrokkenen, zoals het recht op inzage of een afschrift, moeten we ook waarborgen. 

Ook voor derden die in contact komen met persoonsgegevens van het ziekenhuis moeten we maatregelen treffen. Met veel leveranciers hebben we verwerkingsovereenkomsten afgesloten. Gelukkig is in de schoot van Zorgnet-Icuro een werkgroep opgericht die vorig jaar een GDPR-­gedragscode voor zorgorganisaties heeft opgesteld en een aantal tools heeft ontwikkeld. Dat maakt het werk toch iets gemakkelijker. Niet alleen voor de ziekenhuizen, maar ook voor de leveranciers. Meestal werken zij voor verschillende ziekenhuizen. Ook zij hebben belang bij eenvormige formulieren. Toch blijft het een hele karwei. Ik ben er nog eventjes zoet mee.

*Een informatiebeveiligingssysteem is een basisvoorwaarde om de juistheid, volledigheid, beschikbaarheid en confidentialiteit van bedrijfsinformatie te garanderen.

 

TEKST: FILIP DECRUYNAERE • BEELD: JAN LOCUS