Privacy in zorgsector: Praktische oplossingen

DPO Consultancy (DPOC) en Nederlandse Privacy Academie (NPA) slaan handen ineen

Voor veel instellingen in de zorg is het voldoen aan privacy complianceverplichtingen van de Algemene Verordening Gegevensbescherming (AVG oftewel GDPR in het Engels) vaak een uitdaging te noemen. Helaas worden veel misconcepties over privacy in de zorg gevoed doordat ‘de blinde de lamme lijkt te leiden’. Verantwoorde praktische oplossingen voor zorginstellingen liggen gelukkig binnen handbereik dankzij een intelligente combinatie van kennis, expertise en implementatiekracht die voor zorginstellingen het verschil kan maken. De combinatie DPO Consultancy en de Nederlandse Privacy Academie (NPA).

 

Misconcepties over privacy in de zorgsector

In het publieke debat over privacy in de zorg worden feiten en ficties niet altijd even goed van elkaar gescheiden. Enkele voorbeelden

  • Elk datalek leidt tot een fikse boete

Deze veronderstelling klopt niet. Ja, het is belangrijk om aan te kunnen tonen dat je serieus aan de slag bent met dit onderwerp. Nee, geen reden om op voorhand in de kramp te schieten.

  • ICT is betrokken, dus alles is geregeld

ICT is volgens de AVG niet verantwoordelijk voor privacycompliance, maar heeft een faciliterende rol.  Onlangs heeft de Duitse privacytoezichthouder een bedrijf een boete opgelegd omdat het Hoofd ICT tevens de rol van DPO (FG) vervulde (zie hieronder meer).

  • Ik heb toestemming, dus verwerken van persoonsgegevens is geen probleem

Ook dit is niet correct. De Autoriteit Persoonsgegevens heeft dit in meerdere onderzoeken nader uitgelegd.

 

Praktische oplossingen

In plaats van ‘op hoge kosten gejaagd te worden’ door onder andere bovengenoemde misconcepties, zijn diverse praktische oplossingen denkbaar waardoor instellingen in de zorgsector wel op een correcte, structureel verantwoorde en praktische wijze kunnen voldoen aan hetgeen per 25 mei 2018 door de van toepassing wording van de AVG wordt verlangd. De vier belangrijkste oplossingen op een rij

  1. Aanstellen van een interne DPO

Instellingen in de zorg die voldoen aan art. 37 AVG moeten een DPO/FG aanwijzen. De DPO/FG verricht onder andere de volgende taken voor de organisatie :

  • Informeren en adviseren over de AVG
  • Desgevraagd adviseren over een Data Protectie Impact Assessment (DPIA)
  • Toezien op naleving van de AVG
  • Samenwerken met de nationale privacytoezichthouder (AP)
  • Contactpersoon zijn voor de AP en ieder ander inzake de relatie ‘organisatie en privacy’

Voor kleinere instellingen in de zorgsector kan, in afwachting van nadere richtlijnen van de AP de DPO/FG functie tot op zekere hoogte worden gecombineerd met meer uitvoerende taken zoals het houden van een verwerkingsregister, klachtbehandeling etc.). Veel zorgverleners kunnen niet op eigen kracht een Data Privacy Officer (DPO/FG) aanstellen. Daarom biedt DPO Consultancy de tweede optie aan, DPO-as-a-Service.

  1. DPO-as-a-Service

Met deze dienst wordt AVG compliance ook schaalbaar voor kleinere zorginstellingen, zoals een huisartsenpraktijk. Onze kracht ligt in het combineren en integreren van compliance, informatiemanagement, techniek en wettelijk vereiste permanente educatie.

Het uitbesteden van deze door de AVG erkende functie heeft de volgende voordelen. De zorginstelling is zeker van de onafhankelijkheid van de DPO. Een ander voordeel is het hoge expertiseniveau van de DPO-as-a-Service. Zij hebben meer ervaring met andere zorgverleners en hebben toegang tot een netwerk van andere DPO’s. Hierdoor zijn zij uitgerust met de meest up-to-date en relevante informatie en kennis. Daarnaast wordt een externe DPO continu opgeleid en bijgeschoold. Tot slot wordt een externe DPO alleen ingezet wanneer nodig. Afhankelijk van de omvang van de zorginstelling is hij/zij dus niet 40 uur per week voor alleen úw organisatie werkzaam. Op deze manier bent u kostenefficiënt compliant aan de wetgeving.

  1. Gecertificeerde permanente educatie voor de zorgsector

De privacy kenniseisen van organisaties en de DPO/FG worden strenger. Recent heeft Spanje het voortouw genomen, door een soort van DPO-keurmerk in te voeren. Dat is een goede stap in de richting van serieuze certificering. Maar tot er een officiële internationale standaard van kracht is, werkt DPO Consultancy samen met de Nederlandse Privacy Academie (NPA) aan het opleiden en blijvend bijscholen van hoogwaardig gekwalificeerde DPO’s.

  1. Privacy audits en Privacy Keurmerk voor de Zorg

In de AVG is op diverse plaatsen het belang onderstreept van objectieve en onafhankelijke betrokkenheid van privacy en dataprotectie professionals (bijvoorbeeld in de vorm van DPO/FG’s, gedragscodes, privacy audits en certificeringen). Ter borging van onafhankelijke en professioneel uitgevoerde objectieve privacy audits bij zorginstellingen beschikt het Privacy Center for Excellence (PRICE) over goed opgeleide privacy auditors die de vereiste privacy audits in uw organisatie kunnen uitvoeren.

 

Uw AVG-reis begint met goede informatie, voorlichting en kennis

Het is in het belang van elke instelling in de zorgsector om zich goed te laten informeren over de AVG om te voorkomen dat men wordt opgezadeld met dure, niet-structurele op ad hoc angstbeelden gebaseerde quasi-oplossingen die uiteindelijk een ‘kat in de zak’ blijken te zijn. Een gedegen nulmeting zorgt voor hét vertrekpunt naar compliance zonder dat daar torenhoge kosten mee gepaard gaan.

Wenst u een degelijk advies of heeft u vragen over het bovenstaande, neemt u gerust contact met ons op via: contact@dpoconsultancy.nl .

 

Na een carrière van ruim 12 jaar in de financiële dienstverlening en bijna 5 jaar als ondernemende CEO binnen de ICT-branche, heeft Jelmer zijn kennis en ervaring gebundeld in zijn positie als founder van DPO Consultants. Als directeur Private Banking heeft Jelmer veel projecten gemanaged die zijn oorsprong hadden vanuit de steeds strengere wet- en regelgeving binnen de branche. Hij ontwikkelde hierbij een methodiek die aan de ene kant een zero tolerance beleid opleverde ten aanzien van het wetgevende kader en aan de andere kant een maximale klanttevredenheid. Als CEO van een middelgrote ICT-dienstverlener en een opleidingsbedrijf heeft Jelmer een passie ontwikkeld voor het vertalen van ICT-mogelijkheden naar klantgerichte oplossingen, waarbij kennisoverdracht altijd centraal staat.

Romeo Kadir heeft ruim 27 jaar kennis en ervaring op het terrein van privacy en dataprotectie. Na zijn relevante studies op dit terrein heeft hij praktijkervaring opgedaan bij onder andere de Autoriteit Financiële Markten (AFM) – als Hoofd Privacy & Compliance – , De Nederlandsche Bank (DNB), PGGM, Philips International en is daarnaast bij vele bedrijven en instellingen in diverse hoedanigheden betrokken geweest in het kader van de AVG. Als eerste DPO bij een ZBO (Zelfstandig Bestuursorgaan) in Nederland, heeft hij in 2003 heeft hij samen met andere FG’s het NGFG (de huidige beroepsorganisatie) opgericht. Later heeft hij Stichting Privacy Nederland (SPN) opgericht, het Nederlands Privacy Klachten Instituut (NPKI) alsook de Nederlandse Privacy Academie (NPA) die al vanaf 2010 de eerste beroepsopleiding FG van Nederland verzorgt. Per 01 januari 2018 verricht Romeo Kadir wetenschappelijk onderzoek naar de aansprakelijkheid van de DPO (FG) bij de Universiteit Utrecht.

 

 

Gerelateerde berichten...