Gegevensbescherming in de eerstelijns zorgpraktijk

Jan Pieter Schoon, Functionaris Gegevensbescherming Incura & Abakus

Jan Pieter Schoon, Functionaris Gegevensbescherming Incura & Abakus

Een nieuwe afkorting
Zorgondernemers worden de laatste maanden overspoeld met berichtgeving over de nieuwe Algemene verordening gegevensbescherming, in het kort AVG. Deze Europese richtlijn die in mei 2018 van kracht zal worden, volgt de Wet bescherming persoonsgegevens (de WBP) op. De AVG geniet veel media-aandacht en dankt een groot deel van zijn nog jonge reputatie aan de fikse bedragen aan boetes die als zwaard van Damocles boven vrijwel iedere ondernemer hangen.

Dit geldt ook voor de kleinschalige ondernemersgroep van eerstelijns zorgverleners. Na de afgelopen crisis, de contracten met zorgverzekeraars en complexe declaratierichtlijnen ligt nu de AVG op het pad. Deze sterk op menszorg gemotiveerde professionals hebben na deze moeilijke tijden het hoofd boven water kunnen houden, maar worden nu geconfronteerd met het zoveelste ‘moeten’. En zo wordt het door wetgever, door adviseurs en door de media graag gepresenteerd.

Deze strafbenadering kan bij eerstelijns zorgverleners juist averechts werken. Het is denkbaar dat bij hen een afwachtende houding ontstaat. Dat hij of zij denkt dat een risico van een incident op het gebied van gegevensbescherming toch wel aan de praktijkdeur voorbijgaat, of de gevolgen daarvan beperkt zouden blijven tot een boos telefoontje van een cliënt. Een groot datalek wordt daarbij eerder toegedicht aan de soms lekkende gegevensbescherming binnen grote ziekenhuizen of overheidsorganisaties.

Maar de AVG kan meer zijn dan alleen een nieuwe verplichting! Er zijn namelijk wel degelijk voordelen te behalen voor een zorgpraktijk met het adopteren van gestructureerde gegevensbescherming. En een mogelijke weerstand bij praktijkmedewerkers kan worden overwonnen wanneer de nadruk ligt op deze positieve insteek. En zorgvuldiger omgang met vertrouwelijke gegevens wordt pas als verbeterpunt gezien als een noodzaak wordt ‘gevoeld’.

Oh ja, de WBP…
Het moet ook gezegd: aan de voorganger van de AVG (de WBP) is binnen de zorgmarkt lange tijd te weinig aandacht besteed. Dat was mogelijk omdat er onvoldoende gestructureerd op werd toegezien door marktpartijen. Ook bij de kwaliteitstoetsen die binnen verschillende zorgdisciplines gelden, is het aspect van gegevensbescherming onderbelicht geweest ten opzichte van de meer zorginhoudelijke dossiervoering. De normen van de NEN 7510 (volgens welke zorgverleners al jaren zouden moeten werken) zijn daardoor vaak niet op een goede manier opgepakt. En dat is waar veel praktijken nu tegen aanlopen.

IT biedt kansen
We zijn het met elkaar eens dat met slimme IT-toepassingen onze zorg efficiënter kan worden. Steeds meer vindt planning, uitvoering, verslaggeving en declareren van zorg plaats in een geïntegreerd systeem in een online (cloud)omgeving. Niet zelden worden deze systemen gekoppeld binnen ketenzorgsystemen of vindt op andere wijze elektronische communicatie van de gegevens plaats.

Optimisten zien daarin een mogelijkheid van een effectieve samenwerking tussen zorgverleners en verkleining van een foutenkans. Sceptici zien een losgeslagen vastleggingszucht en een potentiële bedreiging van de privacy van cliënten. Waar een gelijk ook ligt, feit is dat een verdere integratie zich zal uitbreiden en eigenlijk niet kán worden gestopt.

En dat is ook de grote reden waarom de AVG het daglicht ziet: de snelle ontwikkeling van online bestanden, het mobiel ontsluiten daarvan en de mogelijkheden van een open communicatie tussen databestanden vragen om een passende eigentijdse regelgeving. Dat is ook de reden dat zorgverzekeraars recent de aanbieders van zorgsoftware heeft verplicht aantoonbaar NEN 7510 (of een vergelijkbare norm) te implementeren. Daarmee kunnen gebruikers van die software steunen op maatregelen die de softwareleverancier heeft ingebouwd. Maar alleen daarmee voldoet de praktijk niet aan de norm. En het is een kwestie van tijd voordat een bepaalde vorm van certificeringsplicht ook voor zorgverleners zal gelden.

Therapeut aan het werk op laptop

 

Fan van NEN
Tot die tijd hoeft gelukkig niemand stil te zitten. Het naleven van de norm NEN 7510 is, mits juist voorbereid, haalbaar voor een eerstelijns zorgpraktijk. Er zijn, zoals gezegd, door een zorgverlener met een gecontroleerde invoering van NEN 7510 (en in het verlengde de aanvullende eisen van de AVG) grote voordelen te behalen. Een aantoonbaar zorgvuldige behandeling van persoonsgegevens straalt kwaliteit uit naar de cliënten van de praktijk en naar partners waarmee wordt samengewerkt. Het is een geruststelling voor cliënten en het is aantrekkelijk voor gekwalificeerde zorgprofessionals die in hun zoektocht naar een goede werkgever juist letten op deze aspecten.

Daarnaast kiest een verantwoordelijke praktijkeigenaar voor professionele groei van de praktijk en van de medewerkers. Dat is alleen mogelijk als de risico’s bij informatiebeveiliging worden ‘gevoeld’ en worden gesignaleerd. Vervolgens kunnen met beheersmaatregelen deze risico’s waar mogelijk worden voorkomen of verkleind. Een geruststellend gevoel.

Een beginnetje
Voldoende reden dus om gegevensbescherming in de praktijkvoering ‘in te bakken’. Is het daarmee simpel? Nee, het is een verandering van ons denken over de dagelijkse routines en dat is nooit eenvoudig. Door het ontwikkelen van een ‘antenne’ voor risicosituaties zal het gedrag van praktijkmedewerkers in komende tijd veranderen. Een gefaseerde aanpak en het betrekken van alle medewerkers binnen de praktijk maakt het voor iedereen mogelijk om een werkwijze te implementeren die aansluit op de NEN 7510-norm.

Een mooi begin zou zijn om te inventariseren welke gegevens worden vastgelegd van welke groep mensen en in welke mate risico wordt gelopen dat deze gegevens (a) verloren zouden gaan (b) zouden kunnen worden beschadigd/verminkt en/of (c) door onbevoegden zouden kunnen worden ingezien. Deze drie risico’s (beschikbaarheid, integriteit en vertrouwelijkheid) staan centraal in alle procedures en maatregelen rondom gegevensbescherming. Hoe grondiger deze inventarisatie wordt gemaakt, hoe concreter passende maatregelen kunnen worden geformuleerd. En passende maatregelen leiden vervolgens tot een betere acceptatie in de organisatie. Gaandeweg vormt zich een bewustwording die de gehele praktijk op een kwalitatief hoger niveau brengt. En dat is echt de grootste beloning.

De AVG lijkt in eerste gezicht een bedreiging ‘in de dop’. Maar ze wijst ons op een kans om dit, in vele jaren opgebouwde, achterstallig onderhoud te repareren en een praktijk sterker te maken. Dat komt ten goede aan de zorg, de cliënt en daarmee dus aan de praktijk.

Juist dat is ondernemen in de zorg.

Meer weten over de AVG en NEN 7510?

Volg ons gratis webinar NEN 7510 in 10 stappen!