Klaar voor de GDPR?

19 april 2018

‘Laatste sprint naar Algemene Verordening Gegevensbescherming (AVG)! Nog 70 dagen te gaan’ lezen we zo even op de site van de privacy commissie. In werkelijkheid zijn het nog minder dan 50 dagen wanneer jullie dit lezen. Klaar voor de General Data Protection Regulation (GDPR), de Engelse term voor AVG?

© © Belga Image

Nog enkele weken en het is zo ver: 25 mei 2018 nadert inderdaad met rasse schreden. Een laatste sprint kan zeker helpen, maar wellicht ware het beter even op de plaats rust te houden. Zeker als arts of verplegend personeel in een ziekenhuis. Om gewoon even te overwegen waar je vandaag staat, zowel naar de letter als de geest van de Europese privacy wetgeving.

25 mei is immers niet de dag dat de befaamde/beruchte/gevreesde/welkome/(schrappen wat niet past) Europese privacywetgeving van kracht wordt, want dat laatste is al het geval sinds de dag van publicatie in 2016. Op 25 mei 2018 verstrijkt gewoon de periode die elk bedrijf en elke organisatie kreeg om ervoor te zorgen dat die wet ook keurig wordt nageleefd. Dat je ‘conform de wet’ werkt en handelt. Twee jaar voorbereiding is wel een hele tijd, dus ben je klaar voor de GDPR, alias Algemene Verordening Gegevensbescherming (AVG)?

Het werk gaat door

Er is zeker al veel gebeurd, met de wereld van de gezondheidszorg voorop, inclusief de ziekenhuizen. Gegevens over gezondheid behoren immers tot ‘bijzondere categorieën’ van persoonsgegevens, en de verwerking ervan is verboden tenzij aan een rist strikte voorwaarden wordt voldaan (sla er artikel 9 op na, inclusief lid 3 waar naar geheimhouding wordt verwezen). En als het mag, mag je zeker het brede spectrum van acties die onder ‘verwerking’ valt, niet onderschatten (zie kaderstuk).

In de voorbije periode werd ongetwijfeld hard gewerkt om de ziekenhuiswerking conform de letter van de wet te maken, met onder meer aandacht voor het data-register, instemming door betrokkenen en andere vereisten. Zowel ICT, als de administratie, de personeels- en juridische afdelingen, hebben hieraan hard gewerkt, allicht samen met externe experten. Maar ‘klaar met de GDPR’? Toch niet…

Zelfs na twee jaar zijn immers nog niet alle aspecten van de wet in de praktijk uitgekristalliseerd. Dus ‘100 procent conform’ zijn, is een illusie. Hopelijk werd bij de aanpak van de GDPR door alle partijen dan ook het ‘zekere voor onzekere’ genomen, en dus de wet veeleer wat strikter, wat ‘voor alle zekerheid’, dan losser geïnterpreteerd. Zeker voor ziekenhuizen kan immers een foutje de reputatie zuur opbreken. Niemand wil toch het volgende verhaal in de pers zijn, hoe medische data via een partner, of op oude computers werden gelekt (om maar een paar voorbeelden te noemen)…

En voorts zal men nooit ‘klaar’ zijn met de GDPR! 25 mei is niet het eindpunt, maar slechts de start van het continu proces om conform de GDPR te blijven. Denk aan de nieuwe technologieën (met steeds meer connectiviteit), nieuwe processen, nieuwe communicatievormen, nieuwe medewerkers… Alles en iedereen moet steeds weer worden getoetst en/of geïnformeerd conform de eisen van de GDPR. Naast de voorbereidingen in de voorbije twee jaar moet dus ook hard worden gewerkt aan de processen om de GDPR te blijven naleven.

Zorg ervoor dat de GDPR zo nauw verweven is met de dagelijkse praktijk (‘by design’, ‘by default’, weet u wel) dat de naleving niet kan worden omzeild, maar ook geen blok aan been vormt. Dat geldt niet alleen voor het personeel, maar ook voor de patiënten. Ook zij moeten leren hoe om te gaan met hun medische gegevens. Kortom, acties om het besef rond de GDPR (‘awareness raising’) te verbeteren, blijven cruciaal, zowel intern als extern. Beschouw die bewustwordingscampagnes van hetzelfde belang als de acties om iedereen aan te moedigen de regels inzake het wassen/ontsmetten van handen (ook door bezoekers etc.) te doen naleven. De naleving van de GDPR is even fundamenteel.

De geest van de wet

Tja, als allicht niet 100 procent van de letter van de wet kan worden nageleefd - ondanks de voorsprong van de gezondheidswereld en ziekenhuizen op andere bedrijven - is het wellicht tijd om nog even de geest van de wet te beschouwen? Bondig gaat de GDPR (AVG) er om persoonsgegevens in het algemeen - en zeker gezondheidsgegevens in het bijzonder - ‘te beschermen tegen misbruik en oneigenlijk gebruik, binnen en buiten bedrijven en organisaties, in bestanden en andere vormen van gestructureerde opslag, zowel in elektronisch formaat als op papier’.

Het is dan ook allicht een goede suggestie om nu nog even iedereen – artsen, verzorgend en ondersteunend personeel, alle mogelijke supportdiensten – rond te laten kijken en zich de vraag te stellen: “Waar kom ik in contact met persoonsgegevens en hoe voorzichtig/nonchalant/… ga ik daarmee om?” Waar en wanneer laat ik dergelijke informatie achter, zodat derden die kunnen inkijken? Hoe past dit in de werking van elke dag?

Toegegeven, deze oefening is allicht al lang geleden gedaan, en wellicht al meerdere malen. Maar het is aan te bevelen, op de valreep van 25 mei, deze vraag nog eens te stellen. Laat iedereen letterlijk even rondkijken. Waar blijft informatie nog rondslingeren (bijvoorbeeld op papier)? Blijven schermen open staan? Op welke wijze wordt informatie doorgegeven? Tussen behandelende artsen en verzorgend personeel? Aan de patiënten? Wordt daarbij geadviseerd hoe met die informatie voorzichtig om te gaan?

In België kennen we gelukkig al goede voorzieningen om veilig informatie uit te wisselen tussen de actoren in de gezondheidszorg, zowel in als tussen ziekenhuizen, en met derden buiten het ziekenhuis. Maar hoe wordt er omgesprongen met die info op de ‘eindpunten’? Wie neemt hiervoor welke verantwoordelijkheid? Voor personeel en artsen in dienst van een ziekenhuis, vormt dat geen probleem. Het ziekenhuis als ‘controller’ van de gegevens draagt immers de verantwoordelijkheid. Maar wat met andere vormen van samenwerking tussen bijvoorbeeld artsen en het ziekenhuis? Werd tot ieders duidelijkheid geregeld wie wanneer waarvoor verantwoordelijk is? Wat bijvoorbeeld als een arts informatie uitwisselt met zijn privé-praktijk: hoe goed is daar de privacy verzekerd (en de verantwoordelijkheid duidelijk)? En wat als die praktijk een groepsinitiatief is? Als daar gebruik wordt gemaakt van diensten door derden, werden die contracten op de GDPR getoetst (zoals een online afspraak/agenda dienst). Patiënten laten daar immers vaak al vormen van medische informatie achter. Hoe privacy/GDPR-bewust zijn die diensten (en staat dat in het contract vermeld)? Denk maar even aan opslagdiensten van medische beelden, waar de plaatsen van beeldvorming, opslag en consultatie verschillend kunnen zijn, inclusief de betrokken actoren.

Toegegeven, in de medische wereld ga je allicht geen gebruik maken van een ‘app’ als Grindr, maar het is wel een voorbeeld van hoe apps soms hypernegligent met gevoelige persoonsgegevens omspringen (Grindr gaf informatie over de HIV-status van de gebruikers door aan derden!).

Wordt er door de personen op de eindpunten voldoende aandacht besteed aan een veilige communicatie van gegevens? Immers, je kan niet zomaar medische gegevens doorsturen in een gewone e-mail. En je moet ook patiënten zelf op het hart drukken dat ook zij gepast moeten omspringen met medische gegevens (rondslingeren, doorgeven…).

Even rondkijken

Kortom, er is ongetwijfeld al veel en goed werk geleverd, waarbij hopelijk de GDPR niet als een sleur of een pestwet, ‘omdat het moet’, werd aangepakt. Persoonsgegevens, en zeker de medische gegevens die omgaan in ziekenhuizen, verdienen de grootste inspanning wat bescherming betreft. Privacy is een recht, ook in elk aspect van de dagelijkse werking van een ziekenhuis, ook als het niet makkelijk is. En het een ‘nooit eindigend verhaal’ vormt.

Helemaal klaar op 25 mei? Allicht niet. Laat iedereen dus even goed rondkijken, met de geest van de wet in gedachten. Iedereen in het ziekenhuis, in de eigen of groepspraktijk, en bij derden. En ga na 25 mei door met de inspanningen om iedereen de privacybescherming te bieden waar ze recht op hebben!

Wie wat ‘inspiratie’ zoekt, om te weten waarop te letten bij het rondkijken, kan terecht in twee erg toegankelijke publicaties van de ‘privacy commissie’ (https://www.privacycommission.be/nl): ‘Een overzichtelijke presentatie over de basisbeginselen van de AVG’

Guy Kindermans

‘Verwerking’ is een klein vlagje…

…dat een erg brede lading dekt. Om nog even de aandacht op scherp te zetten, volgt hier de definitie in de GDPR (AVG) van wat ‘verwerking’ allemaal inhoudt. Hou daar rekening mee!!!

Artikel 4 - definities

2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

Besef dat je hiervoor als ‘verwerkingsverantwoordelijke’ (‘controller’) verantwoording moet over afleggen, en voor verantwoordelijk bent. En dat je moet toezien dat de ‘verwerker’ (‘processor’) zich houdt aan de letter en geest van de wet.