Nieuws

Interview Functionaris Gegevensbescherming: ‘Het is mijn taak iedereen bij de les te houden’

Sinds de komst van de Algemene Verordening Gegevensbescherming (AVG) hebben STIZON en INSZO een externe Functionaris Gegevensbescherming. Haar naam is Eugenie Verhaar en zij is eigenaar van Informatiebeveiligendoejezo. Eugenie is vanaf 2003 actief als adviseur op het gebied van ICT, kwaliteitsmanagement en informatiebeveiliging.

Wij stelden Eugenie een aantal vragen over haar taak als Functionaris Gegevensbescherming.

Wat is je rol als FG?
De taken van de functionaris gegevensbescherming (FG) zijn precies omschreven in artikel 39 van de Algemene Verordening Gegevensbescherming (AVG). In dit artikel worden de volgende taken genoemd: adviseren, informeren, toezien op de naleving van de AVG, het adviseren bij een DPIA(Data Privacy Impact Assessment), het optreden als contactpersoon voor de Autoriteit Persoonsgegevens (AP) en het samenwerken met de AP. In de praktijk komen de eerst genoemde taken het meeste voor, een DPIA uitvoeren doen we natuurlijk niet dagelijks en het samenwerken met de AP zal alleen voorkomen in specifieke omstandigheden, zoals bij het optreden van een datalek.

Samenvattend kan je zeggen dat het mijn taak is om STIZON met raad en daad te ondersteunen bij het nemen van voldoende maatregelen op het gebied van privacy en informatiebeveiliging. Het doel is dat STIZON in lijn werkt met wetgeving en haar eigen informatiebeveiligingsbeleid. Ik zie de FG ook als degene die moet praten en denken vanuit het perspectief van betrokkenen (ofwel de patiënten wiens data wordt gebruikt). En de FG moet ook degene zijn die lastige vragen kan stellen bij een nieuwe ontwikkeling, zoals: hoe zit het met de rechten van betrokkenen en is hun privacy voldoende geborgd?

Wat zijn de grootse uitdagingen van een FG om het werk goed uit te kunnen voeren?
Hoe word jij als externe FG door de STIZON ingezet?
De grootste uitdaging voor elke FG is het bewaren van voldoende onafhankelijkheid van de organisatie waar hij/zij voor werkt. Immers je wordt betaald door de organisatie waar je ook ‘toezicht’ op moet houden. Dat ik niet in loondienst ben bij STIZON, maakt dit eerder makkelijker dan moeilijker. Daarbij ben ik al ruim vijf jaar actief als adviseur bij STIZON, dus zo ‘extern’ voel ik me niet. Ik moet zeggen dat STIZON mij bij veel zaken betrekt, waardoor ik in staat ben om deze verantwoordelijkheid inhoud te geven.

Wat het werk van een FG bemoeilijkt is dat het een breed speelveld is. Het gaat om juridische zaken én om informatiebeveiliging. Informatiebeveiliging raakt aan ICT technische zaken, maar ook gedrag van medewerkers is een belangrijke factor. Wat mij als FG enorm helpt is dat STIZON een Information Security Management System (ISMS) heeft ingericht en dat STIZON voldoet aan de eisen van de NEN 7510. Ook laat STIZON zich jaarlijks auditen en heeft zij een certificaat. Een ISMS is het beste te omschrijven als een kwaliteitssysteem, dus een Plan Do Check Act Cyclus, gericht op informatiebeveiliging. Door het ISMS hebben wij inzicht in het beveiligingsniveau en kunnen we erop vertrouwen dat we geen dingen over het hoofd zien.

Welke zaken vallen jou als FG op in de praktijk?
Wat gaat er goed en/of kan beter? Wat is jouw meerwaarde als FG?
In de praktijk kom ik natuurlijk zaken tegen die beter kunnen. Zoals veel organisaties heeft ook STIZON last van zogenaamde ‘legacy systems’. Hiermee wordt bedoeld, systemen, applicaties die op het einde zijn van hun levenscyclus en die vervangen gaan worden. Dat loopt niet altijd zo snel als je zou willen. Als FG is het dan mijn taak om iedereen bij de les te houden: als systemen worden vervangen, moeten we toch blijven investeren in de beveiliging van de bestaande systemen. Op dat moment heb ik meerwaarde als externe FG omdat ik uit ervaring de valkuilen ken.

Waar lopen organisaties in de zorg vooral tegenaan als het gaat om privacy en in het bijzonder de AVG?
Wat zijn hier vooral de knelpunten?
Wat ik jammer vind, is dat de AVG en al het gepraat over boetes, veel onzekerheid met zich mee heeft gebracht voor werkers in de gezondheidszorg. Wat mag nu wel en wat mag niet? Terwijl de AVG niet eens zoveel veranderingen met zich mee heeft gebracht. De basis is altijd de WGBO geweest. Wel zijn patiënten bewuster geworden van hun rechten. Voordat de AVG van kracht werd, waren veel organisaties in de gezondheidszorg bang dat op de maandag na invoering van de AVG, (25 mei 2018), rijen patiënten voor de deur zouden staan met het verzoek om inzage in hun dossier. Nou dat is niet of heel beperkt gebeurd. Op dit moment zie je wel een aantal vervelende onhandige neveneffecten van de sterke nadruk op privacy. Bijvoorbeeld de apothekers, die nu niet meer zomaar medicatie mogen meegeven aan een buurvrouw van een patiënt. Daarvoor moeten ze dan eerst allerlei zaken vastleggen, ze mogen niet meer geheel vertrouwen op hun gezond verstand. Ik kan me voorstellen dat apothekers daar vraagtekens bij zetten.

Hoe zie jij de toekomst van privacybescherming in de zorg?
Welke trends en ontwikkelingen?
De belangrijkste ontwikkelingen liggen op het gebied van de uitwisseling van gegevens in de zorg. De nieuwe wet ‘cliëntenrechten bij elektronische verwerking van gegevens’ geeft patiënten straks het recht om zijn/haar dossier elektronisch in te zien. Dat hoeft in principe niet via een portaal, maar veel zorgaanbieders gaan dat wel doen. Dat betekent dat patiënten veel makkelijker toegang krijgen tot hun medische gegevens. Dit zal, denk ik, ook gevolgen hebben voor de manier waarop patiënten en hun zorgverleners met elkaar communiceren. En op het gebied van beveiliging ligt daar natuurlijk een enorme uitdaging, want brede toegankelijkheid en beveiliging gaan gewoon niet zo goed samen.

Wat betekent deze toekomst voor jou als FG?
Het belang van privacy en beveiliging zal alleen maar toenemen. En voor organisaties blijft het heel belangrijk dat ze een FG hebben die én goed rekening houdt met de rechten van betrokkenen én met de werkbaarheid in de organisatie. Ook is de FG degene zicht houdt op technische ontwikkelingen en de consequenties van deze ontwikkelingen voor de organisatie en betrokkenen. Het blijft een boeiend vak!