Op 25 mei jl. is de AVG, de Algemene Verordening Gegevensbescherming, in werking getreden. De Wet bescherming persoonsgegevens, de Wbp, is daarmee komen te vervallen.

Dat we er niet omheen kunnen en het nodige geregeld moet worden is duidelijk: er komen meer verplichtingen voor verwerkingsverantwoordelijken en verwerkers, meer rechten voor de betrokkenen wiens persoonsgegevens worden verwerkt én het niet voldoen aan de nieuwe privacywetgeving kan tot zeer forse boetes leiden. Om nog maar niet te spreken over de imagoschade die kan worden opgelopen.

Samen met Marijke van der Zande, manager compliance & privacy bij Monuta, en Mieke van den Bergh, jurist bij Maasstad Ziekenhuis, bespreekt Barbara Goossens, advocaat arbeidsrecht en privacyrecht, de voor- en nadelen van de AVG, de aanloop er naartoe en wat de ervaring is na een aantal maanden AVG.

Welk aspect van de AVG heeft in de aanloop de meeste tijd opgesloktGaat de AVG leiden tot een golf van klachten en verzoeken tot inzage, wijziging of verwijdering?

Ook wordt de bewustwording van de medewerkers en de noodzakelijke verandering van de bedrijfscultuur besproken, alsook het in kaart brengen van de bedrijfsprocessen en het verwerken van bijzondere persoonsgegevens.
Wordt de nieuwe wetgeving ervaren als een risico, of juist als een kans tot het creëren van een unique selling point? Welke praktische oplossingen worden toegepast?  Maar ook: wat mist de wet?

Van het weghalen van prullenbakken tot integere bedrijfsvoering: de AVG wordt in al haar aspecten besproken.

Barbara:
Zijn jullie blij met de komst van de AVG?

Mieke:
of het goede wetgeving is zal de tijd leren. Het is wel noodzakelijke wetgeving. Kijk maar
naar de schandalen die we in de afgelopen periode hebben gehad met Facebook en allerlei andere grote organisaties, het hacken wat her en der gebeurt. Ik denk dat het wel noodzakelijk is dat bedrijven zich bewust worden van hun zwakheden en dat ze moeten zorgen dat datgene wat ze toevertrouwd en soms toegespeeld krijgen weten te beveiligen.

Marijke:
dat denk ik ook, gezien de technologie die steeds verder ontwikkelt is het steeds lastiger om grip te houden op je persoonsgegevens, als je ziet wat daar uiteindelijk mee kan gebeuren, dan is het waarschijnlijk wel noodzakelijk dat de wetgeving ook wat strenger wordt.

Barbara: Eigenlijk zijn heel veel bepalingen in de AVG hetzelfde als in de Wbp, terwijl je nu het idee hebt dat iedereen er mee bezig is en voorheen niet. Komt dat uitsluitend door de forse boetes die er nu staan op overtreding en meer verplichtingen voor verwerkers en ook meer rechten voor betrokkenen?

Mieke:
ik denk mede door de schandalen die er geweest zijn, maar ook het feit dat er nu een forse geldboete op staat, maakt dat mensen zich toch  gaan realiseren dat je toch echt wat moet gaan doen, EUR 810.000,- per incident, daar kunnen de meeste bedrijven er niet zo veel van hebben in een jaar, nog los van het feit dat accountants in het jaarverslag ook een post voor ‘stel dat’ moeten opnemen. Het heeft inderdaad veel meer implicaties dan de Wbp in het verleden had.
Je realiseert je nu ook veel bewuster, zoals wij in het ziekenhuis, hoeveel persoonsgegevens je eigenlijk met derden deelt.

Barbara:
in principe is het dan toch wel goed lijkt me dat een keer alle bedrijfsprocessen in kaart worden gebracht, want dat gebeurde voorheen eigenlijk niet. Ik hoor van veel klanten dat ze zich nu pas bewust worden van de stromingen binnen hun bedrijf. Welke persoonsgegevens verzamelen we en van wie, met wie delen we die gegevens en hoe wordt het beveiligd.

Marijke:
dat is zeker goed en het helpt mij ook heel erg bij mijn andere rol als compliance officer. Ik wil onze processen goed in beeld hebben, de meeste bedrijven hebben dat niet allemaal beschreven. De AVG helpt mij om dat nu gedaan te krijgen.

Barbara:
de AVG dus als stok achter de deur?

Marijke:
ja dat klopt. Binnen mijn organisatie Monuta zie je dat je elkaar vanuit de verschillende vakgebieden daardoor ook wel versterkt.

Barbara:
zien jullie deze wetgeving als een groot risico of juist als een kans, iets wat je als een unique selling point kan inzetten, een marketing tool bijna, om te benadrukken hoe goed je de privacy wel niet geregeld hebt?

Marijke:
nou dat denk ik zelf niet, als ik zie hoeveel moeite het kost om te voldoen aan de regelgeving, om al die persoonsgegevens in beeld te brengen. Ik zie het niet meteen als een unique selling point, het is iets dat gedaan moet worden. Als ik kijk naar onze branche, de financiële dienstverlening, dan zie ik dat de andere toezichthouders op de een of andere manier een link willen hebben met de Autoriteit Persoonsgegevens, dus dat maakt voor ons met name de toezichthoudende rol sterker. Over het algemeen is dat niet iets waar je meteen commercieel een voordeel van hebt.

Barbara:
ik zie namelijk dat sommige klanten van ons een kritisch publiek als doelgroep heeft, die er heel vatbaar voor is of de privacy wel goed is geregeld. De nieuwe wetgeving wordt in die zin niet overal gezien als een risico, maar ook als een kans om nog meer aan klantenbinding te doen, als een vorm van acquisitie ook. Is dat voor jullie herkenbaar?

Marijke:
wat ik wel zie is dat wij natuurlijk gegevens van overledenen hebben, dit zijn geen persoonsgegevens in de zin van de AVG, maar toch behandelen wij die gegevens als ware het wel persoonsgegevens. Dat heeft met je integriteit te maken. Binnen onze organisatie zie je dus wel dat wij er heel veel belang aan hechten om het verwerken van persoonsgegeven op een integere manier te doen, dat is wel iets waar wij ons echt voor inzetten.

Barbara:
benadruk je dit ook naar je klanten toe? Het wordt ook een ethische kwestie, dat je gegevens die eigenlijk geen persoonsgegevens zijn in de zin van de AVG toch, als onderdeel van een maatschappelijk verantwoorde onderneming, conform de daarvoor geldende wetgeving behandelt.

Marijke:
ja maar ik denk, als ik kijk naar onze klantengroep, dat die dat feitelijk ook van ons verwachten. We doen er zelf wel veel extra moeite voor en willen dat ook graag goed doen, maar mensen vinden het niet heel bijzonder denk ik.

Etienne:
Mieke hoe is dat bij jullie in het ziekenhuis, is de AVG daar een risico of een kans?

Mieke:
In een groot algemeen ziekenhuis zoals het onze is het zowel een risico als een kans.

Het is een kans om duidelijk te krijgen wat er met onze persoonsgegevens gebeurt, want gegevens in de zorg zijn bijzondere persoonsgegevens. Je komt er nu ook achter dat instellingen voor commerciële doeleinden gegevens opvragen, medische gegevens verwerken, tegen wie we in het verleden hebben gezegd dat we geen contract met ze aangaan maar nu krijgen we van zo’n instelling wel een verwerkersovereenkomst.
Er werd meer gedaan met de persoonsgegevens dan wij wisten, soms zelfs contractueel afgedwongen. Onze kans is nu dat wij dit gedwongen en geholpen door de wetgeving een halt kunnen toeroepen.

Er wordt dus meer geprobeerd met onze persoonsgegevens dan voorheen duidelijk voor ons was. Dus dat is een kans.

Het is ook een risico, want er hoeft maar één patiënt te gaan klagen bij de AP, dat er via een ander weg vragen komen over zijn gezondheid, dan is dat wel een risico. Er werken 3500 man in dit ziekenhuis; een stickje, een telefoon, een laptop ergens laten liggen, dat risico is best wel groot. Dus ik zie beiden, het is zowel een risico als een kans.

Barbara:
Bij veel organisaties speelt het risico op imagoschade een grotere rol dan de angst voor een boete. Hoe is dat bij jullie?

Marijke:
Ja, je reputatie is in het geding, zeker als je het hebt over verzekeringen omdat die zijn gebaseerd op vertrouwen. Je betaalt een premie, en dan moet je hopen dat als je overlijdt dat er dan een uitkering is. Dus dat hele principe is gebaseerd op vertrouwen dus dat wil je niet schaden. Dat is feitelijk alles wat je hebt als verzekeraar.

Barbara:
Mieke hoe gaat dat bij jullie in het ziekenhuis?
Is het AVG compliant worden iets wat zich met name afspeelt op het gebied van de IT, of  is het van meet af aan interdisciplinair aangepakt?

Mieke:
het wordt interdisciplinair aangepakt, waarbij HR een iets andere koers volgt dan de rest van het ziekenhuis, met name over de gegevens van de academie, van medewerkers en stagiaires, daarbij is de invulling iets anders.

Juridisch gezien houden we ons nu allereerst bezig met hoe we de patiënten het beste kunnen voorlichten en hoe krijgen we het goed met de ICT geregeld. Er is wel een gezamenlijke werkgroep, waar zowel IT, HR, de academie als juridische zaken in zit en wordt ook het verwerken van persoonsgegevens (zoals van medewerkers) door de andere onderdelen van het huis aangepakt.

Barbara:
Als ziekenhuis heb je te maken met bijzondere en uitermate privacygevoelige gegevens hetgeen onder andere ook maakt dat jullie er al jaren mee bezig zijn.  Er zijn echter ook nog veel bedrijven die nog weinig of niets geregeld hebben of de focus ligt op de technische maatregelen en een gezamenlijke aanpak, samen met HR, marketing, verkoop, directie, ontbreekt. Juist met al deze onderdelen binnen de organisatie moet je de bedrijfsprocessen in kaart brengen, zoals jullie dus wel doen.

Mieke:
Dan ben ik blij met het incident met Barbie en het Haga ziekenhuis, daarmee kan ik in het ziekenhuis echt laten zien wat privacy en het beroepsgeheim inhoudt, en waarin zijn wij nu anders zijn dan de Bijenkorf of de Albert Heijn.

Barbara:
het is natuurlijk zo dat je alles fantastisch geregeld kan hebben, je hebt een goed privacybeleid, protocollen, noem zo maar op, maar de zwakste schakel is de mens, uiteindelijk valt of staat daar alles mee. De AVG verwacht dat iedereen binnen de organisatie op de hoogte is van de nieuwe privacywetgeving. Je moet je medewerkers immers bewust maken en scholen op dit punt. Zij zijn immers diegene die persoonsgegevens verwerken. De nieuwe privacywetgeving vereist nu eenmaal een andere vorm van benadering ten opzichte van het verwerken van persoonsgegevens.

Hoe gaan jullie om met het bewustwordingsproces van jullie medewerkers? Worden die getraind?

Marijke:
jazeker, het is een hele andere manier van werken. We merken wel dat medewerkers zich al veel meer bewust zijn van zaken, maar we blijven er steeds mee bezig om iedereen bewust te maken op heel veel gebieden. Kijk bijvoorbeeld naar het geval dat je thuis werkt en je gooit iets in een prullenbak wat je op werk in een speciale container zou gooien. Het zit hem er niet alleen in als je met het systeem bezig bent, maar ook in alle randzaken eromheen. Dat proberen we gefaseerd de organisatie in te brengen.

Barbara:
op welke manier doen jullie dat?

Marijke:
in stappen. Zo beginnen we met een clean desk-policy, dat we dat uitrollen over de hele organisatie. Daarna het thuiswerk aspect, en wat er bij komt kijken. Dat mensen zich in stapjes bewust worden van waar ze aan moeten denken en wat op een andere manier moet. Zo zijn bij ons nu alle prullenbakken weggehaald, je kunt alleen nog maar op een centrale plek je troep kwijt en dus ook papieren die je niet meer nodig hebt.

Barbara:
doen jullie dat dan door middel van periodieke trainingen, workshops, een e-learning programma?

Marijke:
we proberen zo veel mogelijk kanalen te benutten, ook om het minder saai te maken. Zo is er nu een filmpje in de maak, maar ook gewoon presentaties of iets op intranet of sharepoint.

Barbara:
En Mieke hoe doen jullie dat?

Mieke:
iedere maand komen er nieuwe medewerkers, de ene keer zijn het er 40 en de andere keer 60, er komen ook vaak nieuwe stagiaires, en dan hebben we introductie bijeenkomsten. Ik heb daar een half uur voor alle niet-artsen en verpleegkundigen om uit te leggen wat privacy in een ziekenhuis inhoudt, en dat het beroepsgeheim van artsen en verpleegkundigen leidt tot een verlengd beroepsgeheim voor alle andere medewerkers, dus ook de administratie en de vrijwilligers. De dag daarna hebben we voor artsen en verpleegkundigen een soortgelijke bijeenkomst, om nog een keer te benadrukken wat hun eed of belofte die ze hebben afgelegd voor dit ziekenhuis inhoudt.
Wij hebben niet alleen te maken met de AVG maar ook met de Wet Geneeskundige Behandelingsovereenkomst (WGBO) waar aangegeven wordt dat je een behandelovereenkomst hebt, en dat dat de enige reden is dat je een medisch dossier in mag zien. Op het moment dat mensen die grenzen overgaan, dus bijvoorbeeld in een dossier kijken vanwege nieuwsgierigheid, levert dat ontslag op. Wij zijn niet (meer) zo soepel als het Haga ziekenhuis, wij ontslaan direct. Daar waarschuwen we ook voor, met name op die bijeenkomsten. Elke opening van een medisch dossier wordt geregistreerd. Je hebt daarvoor een inlogcode en wachtwoord. Als je het opent wordt jouw naam dus geregistreerd als degene die het dossier opent. Voor een aantal beroepsgroepen wordt er ook een waarschuwing gegeven als dat dossier niet tot je vaste terrein behoort. Er is geen bedrijf waar je zo veel moet blootgeven als bij een ziekenhuis, letterlijk en figuurlijk. Je moet alles weten van een patiënt om goede zorg te kunnen leveren en daarom moet er ook zoveel aandacht voor privacy zijn.

Barbara:
bij jullie is het natuurlijk helemaal van belang, logging, dat hebben andere bedrijven vrijwel niet nog maar ga je uiteindelijk wel naartoe. Artsen met verschillende specialisaties moeten in het medisch dossier kunnen, verpleegkundigen, apotheker.

Mieke:
tja, daarom moet iedereen die bij ons werk–zaamheden komt verrichten echt als aanwezig in het ziekenhuis worden aangemeld. We hebben een incident gehad waarbij de dakbedekker niet aangemeld was en we daardoor niet wisten dat hij er was, en dat er op een gegeven moment brand uitbrak. Dan weet je niet wat er gebeurt. Dus vanaf dat moment hebben we gezegd dat iedereen die binnen komt en iets doet, aangemeld moet zijn. Als bezoek krijg je een bezoekerspas, als je echt werkzaam bij ons bent krijg je een wachtwoord en een inlogcode. Daar hebben we gastvrijheids–overeenkomsten voor, als iemand werkzaamheden gaat verrichten heeft hij zo’n overeenkomst of moet hij aangemeld zijn bij de beveiliging dat hij komt.

Marijke:
wij hebben ook wachtwoorden die je regelmatig moet vervangen, een keer per maand. Wij kunnen wel meer doen met loggen dan dat we nu doen. Op zich is er veel geregistreerd omdat alles in het systeem zit, maar het wordt nog niet allemaal benut. Ik moet er ook bij zeggen dat het ook nog niet nodig is geweest. Dus dat is de andere kant. En net wat Mieke ook zegt, ook bij ons moeten bezoekers aangemeld worden, deels om veiligheidsredenen maar ook om de redenen die jij aangeeft.

Barbara:
doen jullie hetzelfde als bij Mieke in het ziekenhuis? Nieuwe medewerkers die ook gelijk een training krijgen hoe om te gaan met de code of conduct op het gebied van privacy?

Marijke:
dat gaat er wel komen, ik ben het gewend om het zo te doen dus dat wil ik graag bij Monuta voortzetten. Dat is dan inderdaad een training van wat doe je met een datalek, hoe werkt dat , maar ook; wat wordt er van jou als medewerker verwacht, wat mag je wel, wat mag je niet.

Barbara:
vindt er eigenlijk ook een soort toetsing plaats? Want de medewerkers horen het aan, maar hoe weet je dan of ook echt het kwartje valt en mensen echt beseffen wat het inhoudt en wat er van ze wordt verwacht?

Marijke:
onderdeel van je taak is het monitoren en erover rapporteren, dus dat betekent zeker toetsing als het om harde elementen gaat, maar ook door interviews af te nemen, zelf te kijken hoe het gaat en wat mensen doen. Daarnaast is awareness een regulier onderdeel van het werk.

Barbara:
gebeurt dat dan steekproefsgewijs?

Marijke:
ja. Van te voren stel je vast waar de risico’s vooral zitten. Daar ligt dan de focus van de monitoring.

Mieke:
wij zijn bezig om een e-learning te ontwikkelen, die verplicht is voordat mensen aan de slag kunnen. Dat zul je ook moeten bijhouden, net zoals bijvoorbeeld een reanimatiecursus.

Barbara:
dus dat is straks gewoon een vast onderdeel en één van de taken van iedere medewerker. Hoe wordt eigenlijk door medewerkers bij jullie tegen deze wetgeving aangekeken? Wordt het als een groot obstakel gezien?

Mieke:
Ja, het wordt gezien als lastig, want er komt weer wat. Wat je nu in de krant leest, dat iedereen minder wil registreren, en er moeten minder regels komen, maar nu is er toch weer een pakket aan maatregelen waar we heel erg veel moeten vinken en regelen en uitdelen aan folders. Dat is lastig.

Etienne:
Kun je praktische aanpassingen noemen op basis van deze wet, zoals bijvoorbeeld dat jullie in het ziekenhuis helemaal geen prullenbakken meer hebben?

Mieke:
Bij de uitgang moet iedereen inderdaad zijn zakken legen. En er moet in de kleedruimte een prullenbak staan met zo’n gleuf.

Etienne:
Het is wat dat betreft natuurlijk een voordeel dat artsen zo’n onleesbaar handschrift hebben, dan kan toch niemand het lezen als iets achter blijft.

Mieke:
Dat is inderdaad een heel groot voordeel!

Barbara:
het compliant worden aan de AVG is een grote kostenpost en met name voor het MKB ook in die zin belastend. Je wordt geacht er aan te voldoen en moet daarvoor de nodige kennis in huis halen en intern kost het ook veel tijd en moeite om aan alle regelgeving te voldoen en te kunnen blijven voldoen. Stel je bent op basis van de wetgeving gehouden om een Functionaris Gegevensbescherming (FG) aan te stellen. Vaak wordt een medewerker, bijvoorbeeld een HR-manager, geacht dat er even bij te doen, terwijl het nogal een verantwoordelijke functie is en je daarvoor wel de geschikte persoon moet hebben die zijn mannetje staat naar de directie toe en er voor zorgt dat hij onafhankelijk kan opereren en dat ook durft. Daarnaast is het is van belang dat er voldoende budget voor ter beschikking is gesteld.

Hoe ervaren jullie dat? Heb je veel vrijheid daarin om zelf te bepalen hoe je dingen inricht?

Marijke:
ja, ik wel. Privacy was altijd al een onderdeel van de compliance functie. Nu met de inrichting en het implementeren kost het meer tijd omdat je daar de hele organisatie bij moet betrekken. Als het dan uiteindelijk ingericht is, dan kan ik de FG-rol gewoon met de compliance functie combineren.

Barbara:
bij Monuta zijn meer dan 700 medewerkers werkzaam. Hoe verdeel je de taken met betrekking tot het privacybeleid?

Marijke:
bij ons is het gesplitst, we hebben nu een project lopen en daarnaast houdt onze juridische afdeling zich ook met bepaalde aspecten bezig. Dus zo kunnen we het een beetje verdelen.

Mieke:
wij hebben sinds een aantal jaren een Functionaris Gegevensbescherming (FG), net zoals de meeste ziekenhuizen in de regio. Daarnaast hebben we een Information Security Officer (ISO) voor alle computersystemen en een Operational Security Officer (OSO) die zich daar ook mee bezig houdt. Een security officer en een medewerker die zich met het daadwerkelijke ontwerp van alle systemen bezig houdt.

Etienne:
zou je kunnen vertellen waar de rol van de jurist ligt? Is dat een belemmerende rol, zoals je vaak ziet bij bedrijfsjuristen, degene die zegt dit en dat mag niet, of meer de rol van de grenzen opzoeken?

Marijke:
ik was altijd ook bedrijfsjurist, dus ik kijk ook een beetje vanuit die rol, toch nog.
De juridische grens is niet altijd de grens die je in je integere bedrijfsvoering wilt. Dat blijft altijd een discussiepunt. Soms mag je wel meer maar wil je niet meer.
De bedoeling van de wet is anders geweest, of de bedoeling van onze organisatie is anders. Het is goed om de grens te kennen maar je moet daar op je eigen manier mee omgaan.

Etienne:
Mieke, hoe zie jij jouw rol van bedrijfsjurist?

Mieke:
De jurist in de organisatie waar ik het meest mee clash in mijn rol is de FG, die het heel strikt en heel strak geregeld wil hebben.
Daar probeer ik wel mee te schipperen, het moet wel werkbaar blijven voor alle medewerkers. Ik probeer het op dat gebied wel wat meer te verruimen, wat voor de FG best wel lastig is want die, zeker omdat het een soort onafhankelijke functie is, moet wel binnen het ziekenhuis kunnen functioneren. Zo iemand krijgt vaak het stempel opgedrukt dat hij alles tegenhoudt. Het mag niet vrijer maar het mag ook niet in de systemen wat soepeler, dus dat is best lastig voor een FG om die rol goed uit te oefenen, dus daar probeer ik hem wel een beetje in te beschermen naar de rest van de organisatie toe. Dat is nou eenmaal zijn functie, maar ik probeer wel het een en ander voor hem te regelen zodat het nog wel werkbaar blijft. Respecteer de wet, blijf integer maar stop niet met denken.

Barbara:
de positie van FG binnen een organisatie is inderdaad een lastige. Je moet je onafhankelijkheid zien te bewaren, stevig in je schoenen staan, maar medewerkers zullen je vaak zien als een verlengde van de directie. Omgekeerd moet je de nodige statuur en overwicht hebben om de directie duidelijk te maken dat bepaalde dingen niet goed lopen, dat en wat er moet worden veranderd en dat daarvoor dus ook budget moet zijn. Niet iedereen is dus geschikt voor die functie. Er kan natuurlijk ook voor een externe worden gekozen. externe in te schakelen. Maar jullie hebben dat dus intern geregeld. Marijke jij bent de FG binnen jullie organisatie.

Marijke:
ja, ik ben de enige binnen Monuta die als FG is aangemeld bij de AP. In de toelichting op de AVG worden verzekeraars expliciet genoemd als een partij die een FG moet instellen.

Barbara:
jullie zijn allebei werkzaam bij een organisatie die werkt met bijzondere persoonsgegevens. Welke wettelijke grondslag hanteren jullie? Het toestemmingsvereiste wordt niet altijd graag gehanteerd. Hoe werkt dat bij jullie in de praktijk?

Mieke:
Er wordt bij ons al sinds jaar en dag in de patiënten-informatiefolders aangegeven dat wij gegevens delen met databases van andere instanties. Bijvoorbeeld dat als iemand een pacemaker krijgt, dat we die gegevens doorgeven aan de fabrikant van die pacemaker, zodat op het moment dat er problemen zijn met de ontwikkeling iedereen kan worden opgeroepen. Het ijs wordt glad als de informatie alleen een commercieel belang dient.

Barbara:
bij jullie zal dat vaak ook niet zo’n probleem zijn, omdat een patiënt er alleen maar blij mee is als die gegevens op die wijze worden gedeeld.

Mieke:
klopt, waarbij ik me ook realiseer dat een heleboel gegevens doorgegeven worden vanwege statistische gegevens, contracten, medicijnonderzoeken of wetenschappelijke onderzoeken. Ook daarvoor moet apart toestemming worden gevraagd.

Etienne:
Mieke verwacht je veel problemen, omdat jullie bij een ziekenhuis veel data hebben? Verwacht je veel inzageverzoeken en klachten?

Mieke:
Ja ik verwacht het wel, zeker het eerste half jaar. We zien al sinds enige tijd dat steeds meer mensen een kopie van hun medisch dossier vragen, dat ze sommige dingen daaruit verwijderd willen hebben. Dat staat in de WGBO al zo’n 20 jaar dat dat kan, maar nu wordt het in de AVG nog een keer benadrukt dat je het recht hebt om bepaalde gegevens te wijzigen en/of te verwijderen.

Barbara:
per geval zal dan bekeken moeten worden of er redenen zijn waarom je al dan niet tegemoet dient te komen aan een dergelijk verzoek?

Mieke:
ja, er is altijd een behandelovereenkomst waar de arts zijn mening over moet geven of iets wel of niet verwijderd kan worden. Maar op het moment dat een patiënt zegt “ik verhuis naar Groningen en ik wil dat jullie mijn hele dossier vernietigen”, dan heb ik toch echt wel goede argumenten nodig om te zeggen dat ik dat niet nodig vind of dat ik dat niet wil doen.

Barbara:
Marijke, hoe is dat bij jullie, verwacht jij dat veel mensen inzage willen of gebruik zullen maken van het recht op wijziging of het recht op ‘vergetelheid’?

Marijke:
het zou kunnen dat er eerst misschien wat verzoeken komen, maar ik verwacht eigenlijk dat het wel meevalt. Vooral omdat het nu ook al kan, en er niet echt veelvuldig gebruik van wordt gemaakt, dat is denk ik anders dan in een ziekenhuis. Recht op inzage dat kan natuurlijk, daar kunnen we aan voldoen. Het recht om vergeten te worden wordt in veel gevallen lastiger, omdat we toch een overeenkomst sluiten, je kunt niet daarin zomaar alles wissen, dan zal er van geval tot geval bekeken moeten worden wat er gewist kan worden, maar de kans is groot dat dat helemaal niet mogelijk is. Wat wij wel doen is testen hoeveel van die verzoeken wij tegelijkertijd kunnen hebben en hoeveel tijd we daar mee kwijt zijn, of we dat kunnen afhandelen binnen de wettelijke termijnen.

Mieke:
voor de personeelsleden is het nieuw, dus ik denk dat er een aantal best wel nieuwsgierig zal zijn hoe snel ze hun gegevens kunnen krijgen. Voor patiënten loopt het al, dat doen we al, alleen het uitdraaien van de logresultaten duurt wat langer, dat zal best wel spannend worden om dat binnen de gestelde termijnen te doen. Wij hebben hele strikte regels als het gaat om legitimatie, wie wel en wie niet een medisch dossier mag opvragen, dus daar zie ik niet zo veel problemen in.

Barbara:
je mag natuurlijk ook aangeven dat het meer tijd gaat kosten of wanneer iets een onredelijk verzoek is, dan kan je wel zeggen dat je niet aan de termijn kan voldoen. In die zin heb je dus wel enige speelruimte.

Mieke:
Ja en dat doen wij nu ook al, op het moment dat er op verschillende plekken in het ziekenhuis dossiers opgevraagd moeten worden, op verschillende afdelingen, waarbij de ene wat sneller reageert  dan de ander, dan geven we aan dat een deel van het dossier al wel binnen is, maar dat we op het andere deel even langer moeten wachten, dat het meer tijd kost.

Barbara:
Marijke hoe is dit bij jullie geregeld, jullie hebben ook een hoofdkantoor in Düsseldorf, hetgeen ook onder jouw verantwoordelijkheid valt. Het is wel een groot voordeel van deze wetgeving dat je straks wel nog maar te maken hebt met één toezichthouder. Werd dat voorheen door jullie als een obstakel ervaren?

Marijke:
We hebben in Duitsland ook iemand daarvoor aangesteld, die dichter op de bal zit, ook om het allemaal in kaart te brengen om te voldoen aan de wetgeving. Fijn is voor ons dat veel wetgeving Europees is, waaronder deze AVG, dat werkt gewoon feitelijk hetzelfde, dat maakt het heel praktisch als je dat vanuit Nederland wil monitoren en daar beleid op wil maken.

Mieke:
Deze privacywetgeving heeft voor ons ook wel een voordeel. Wij doen natuurlijk veel met contracten betreffende medicijnen, met farmaceuten, en grote farmaceuten zitten vaak in Amerika. Deze wetgeving geeft ons de mogelijkheid om aan degene die het contract tekent aan te geven, dat wij niet meer instemmen met databases die in Amerika staan, omdat hun privacywetgeving een stuk minder strak geregeld is dan die van ons. Je ziet nu met het Facebook verhaal dat daar stemmen opgaan om daar ook een strengere privacywetgeving in te voeren. Voorheen was dat lastig om uit te leggen en kwam je gauw over als een zeurpiet, als je wilde dat de gegevens binnen Europa bleven, nu gaat iedereen daar veel makkelijker mee akkoord omdat het zo in de aandacht is. Het helpt dus ook wel om sommige dingen in de contracten nu wat beter geregeld te krijgen.

In contractonderhandelingen geven wij aan dat de gegevens niet buiten Europa mogen komen. Dan zie je dat bedrijven bereid zijn om er mee in te stemmen dat een server alleen in Europa staat, en dat gegevens  van daaruit hooguit geanonimiseerd doorgegeven kunnen worden. Dus het helpt wel.

Barbara:
Bedingen jullie ook audits, dat je tussentijds gaat checken of de zaken bij een verwerker goed op orde zijn? Is dat een probleem bij onderhandelingen over de inhoud van de verwerkersovereenkomst?

Mieke:
Ik ben helaas nog niet zover dat ik die audits ga houden, maar dat zal ongetwijfeld komen. We hebben bijvoorbeeld wel binnen de Rotterdamse samenwerkende ziekenhuizen een document over gegevensuitwisseling. Daarin wordt gezegd dat er onder toezicht van de privacy-commissie wel audits georganiseerd moeten gaan worden, of dat de aangesloten instellingen zelf audits moeten regelen en ons de resultaten daarvan moeten geven. Bij farmaceuten is dat nog wat lastiger om dat goed vast te leggen en te regelen.

Marijke:
bij ons is het anders dan bij jou Mieke betreffende de audits. Op de verzekeraar is ook onderworpen aan de eisen uit  financiele wetgeving (Wft en SolvencyII regelgeving). Vanuit de financiële wetgeving wordt een cloudoplossing bijvoorbeeld als uitbesteding gezien. Dat brengt met zich mee dat er in een contract een bepaling opgenomen moet worden dat toezichthouders en auditors in het kader van toezicht toegang moeten hebben.. Dus in ons geval is het regelmatig een verplicht element van de overeenkomst. Een aantal van die verplichte elementen hebben we “standaard” gemaakt: ook als er geen directe wettelijke verplichting is, maken deze elementen deel uit van de standaard overeenkomst. Wat we inderdaad wel moeten doen is overeenkomsten die we al hadden en die niet meer overeenkomen met de AVG, allemaal checken en aanpassen.

Barbara:
soms is dat toch ook best wel moeilijk om bepaalde bepalingen wel of niet in de verwerkersovereenkomst te krijgen, als je bijvoorbeeld te maken hebt met een hele grote partij, dat het dan een kwestie is van slikken of stikken.

Marijke:
in ons geval, met name voor de kritische processen, de grote uitbestedingen voor de verzekeraar, helpt het ook dat er in andere Europese wetgeving ook een veranderslag gemaakt moet worden. Die contracten moeten ook opengebroken worden, en daar kunnen we de verwerkersovereenkomsten makkelijk in meenemen, als je dan toch al om de tafel moet.

Barbara:
wat slokt bij jullie nu de meeste tijd op Mieke? Met welk onderdeel van de AVG ben je de meeste tijd kwijt? Of is het alles tegelijk?

Mieke:
het is een beetje alles tegelijk. Met bijvoorbeeld het inbouwen in de systemen, daar hoef ik als jurist alleen de controle op te houden, maar daar zijn een groot aantal mensen mee bezig. De verwerkersovereenkomsten gebruiken wij sinds 2016, en daar moesten we aanvankelijk heel veel slag voor leveren om de aansprakelijkheden geregeld te krijgen. Er is inmiddels een verwerkersovereenkomst opgesteld door de Nederlandse Vereniging van Ziekenhuizen waar de zorginstellingen bij aangesloten zijn, en dan zinkt het wel in bij organisaties dat elk ziekenhuizen met deze verwerkersovereenkomst werken. Dat gaat aanzienlijk soepeler inmiddels in de afgelopen twee jaar dan de afgelopen tijd. Daar had ik aanvankelijk heel veel discussies met de juridische afdelingen van verschillende partijen over, omdat men de contracten niet wilde aanpassen, en/of ze zo’n verwerkersovereenkomst niet wilden. Dat loopt inmiddels goed. We waren eigenlijk op weg om een papierloos ziekenhuis te worden, maar dat kan nu dus niet meer. We moeten nu echt weer formuliertjes geven aan mensen, zodat ze kunnen tekenen bij het kruisje, dat ze weten welke informatie wij delen en waarvoor. Dat is een behoorlijke organisatie om dat allemaal op tijd op de plank te hebben liggen en om het in te bouwen.

Barbara:
Enerzijds wordt er geprobeerd om het makkelijk te houden, het moet heel simpel zijn, iedereen moet het kunnen begrijpen. Duidelijke woorden, kort maar krachtig. Maar anderzijds is het ook een administratieve rompslomp om te zorgen dat je iedereen geïnformeerd krijgt en ook houdt.

Mieke:
en dat mensen toestemming geven voor het delen van die gegevens. We hebben gezegd dat we weer gaan inscannen, en dat kost veel tijd. Er is een enorme patiëntenstroom en je moet elk papiertje inscannen. Dat kan in juridische procedures wel heel belangrijk zijn op een gegeven moment. In stress zijn patiënten vaak de helft vergeten wat hen verteld wordt, en dan moeten wij in procedures toch kunnen zeggen dat ze er echt zelf voor hebben getekend, hier ziet u uw naam en een kruisje staan. En dat kan niet alleen met een vinkje dat door de verpleegkundigen of door de arts aangeraden wordt.

Barbara:
Wat dat betreft is het weer terug naar af. Marijke hoe zit dat bij jullie?

Marijke:
ook een beetje van alles wat, om op jouw eerste vraag terug te komen. Aan de ene kant vraag je aan de mensen dat ze het op hun afdeling moeten gaan regelen, maar dan willen ze ook advies en hulp. Er zijn heel veel vragen intern van hoe men überhaupt aan de slag moet. Daarnaast is het ook een enorme opdracht voor de ICT om het toch geautomatiseerd te krijgen. Dat is namelijk de wens.

Barbara:
hoe kijken jullie überhaupt tegen het vereiste van de beveiligingsmaatregelen aan? Die maatregelen zijn onderverdeeld in technische maatregelen en organisatorische maatregelen, en waar zitten de meeste hiccups volgens jullie? In de technische of in de organisatorische maatregelen?

Mieke:
ik denk in allebei. Het komt op beide aan. Technisch gezien, sommige dingen die de AVG verplicht kunnen nu gewoon niet, dus daar moet echt het nodige voor gebouwd worden. Maar het organisatorische deel om alles geregeld te krijgen, dat is wel een behoorlijke klus. Het kost beide heel veel tijd.

Barbara:
het organisatorische deel dwingt je tot nadenken over welke medewerker toegang moet hebben tot welke gegevens. Er moet ook iemand anders toegang hebben als die persoon ziek is of op vakantie, dus je moet een ook een vangnet hebben.

Marijke:
bij ons is het de organisatorische kant die de meeste aandacht vraag. Nu wil ik helemaal niks tekort doen aan het technische deel, want dat is ook een klus. Maar we hebben best wel veel vestigingen door het hele land heen, waar allemaal persoonsgegevens worden verwerkt. Om dat allemaal op een consistente, identieke manier voor elkaar te krijgen, dat vraagt organisatorisch wel wat. En dat kost de meeste tijd. Vooral ook omdat dat voor het grootste deel toch mensenwerk blijft.

Barbara:
Marijke hoe doen jullie dat met 100 vestigingen?

Marijke:
we proberen de mensen zoveel mogelijk mee te nemen, dus in eerste instantie bewust te maken. Deels door systemen op te lossen, protocollen op te stellen van wat wel en niet mag en autorisaties. Via dat soort wegen proberen we het te beheersen.

Barbara:
is er dan nog een verschil omdat jullie 3 poten hebben: uitvaart verzekeren en Monuta Ontzorgt (richt zich op het ontzorgen, veraangenamen en verrijken van het leven van ouderen met een zorgbehoefte),  is er per onderdeel een andere  aanvliegroute?

Marijke:
zeker, want van oorsprong heeft de verzekeraar wat meer affiniteit met persoonsgegevens omdat we al twee toezichthouders hebben, de Nederlandse bank en de AFM. Die kennen we al als toezichthouders, en nu komt er een derde bij. Dat is een wat minder grotere verandering in dat opzicht dan voor een uitvaartbedrijf, die geen toezichthouder kent, nu nog. Dat werkt gewoon wel anders. We doen wel veel om te beheersen en processen in kaart te brengen, maar er is geen wetgeving die je daartoe verplicht, zoals bij de verzekeraar wel het geval is. Dat is toch wel een andere tak van sport.

Barbara:
Een hele klus dus. Wanneer denk je dat je dan compliant bent? De meeste bedrijven gaan 25 mei waarschijnlijk niet halen. Nu zal de AP niet zozeer overal gelijk een boete gaan opleggen maar vooral adviseren en waarschuwen, met uitzondering van grote partijen waar echt iets aan de hand is. Hoe kijk je daar tegenaan? Het is natuurlijk een ongoing process, het is niet iets wat na 25 mei klaar is en dan ben je er, je moet constant blijven monitoren. Denk je dat je straks veel meer mensen nodig hebt om compliant te blijven?

Marijke:
Of we veel meer mensen nodig gaan hebben weet ik niet. Wat wij zelf nu doen is dat we vóór 25 mei onze meest kritische processen af willen hebben, en voor alles wat niet helemaal lukt hebben we een plan. We hebben het in kaart gebracht, en we werken vervolgens  het plan af.

Barbara:
Mieke hoe is dat bij jou?

Mieke:
dat is bij ons ook zo. De informatiefolders voor patiënten en een register waar de gegevensverwerking in staat, dat moeten we zo veel mogelijk op 25 mei af hebben. Daarna hebben we onszelf tot november de tijd gegeven om alle aanvullende zaken te regelen. Die periode hebben we wel genomen.
Barbara:
Is het lastig dat nog niet alles uitgekristalliseerd is?

Mieke:
nee, dat maakt het hooguit wat makkelijker om uit te leggen dat je nog niet klaar bent op 25 mei en geeft me eigenlijk wel wat comfort.

Barbara:
de rode lijn in de AVG is de accountability, de verantwoordingsplicht, dat je kunt laten zien wat je doet en kunt uitleggen waarom je iets juist niet hebt gedaan. In jullie geval zit er een FG, voor heel veel bedrijven is het niet noodzakelijk maar je moet wel kunnen uitleggen waarom je er geen hebt. Bij de meldplicht voor dataplekken is het precies zo, zoals waarom ben je van mening dat een bepaald datalek niet gemeld hoeft te worden? De meldplicht datalekken bestaat natuurlijk allang, maar ineens denkt iedereen dat het nieuw is omdat de boetes fors zijn en er wat wijzigingen zijn. Nu moet je bijvoorbeeld hoe klein een datalek ook is dit wel intern documenteren. Hoe zie je dat bij jullie organisaties?

Mieke:
Wij melden natuurlijk al erg veel. Al 2 jaar lang blijkt telkens weer dat de zorg veel datalekken meldt, en ik denk dat ze dat doen omdat het onderwerp in beeld is dat datalekken moeten gemeld. Ik zie het niet als een negatief punt dat wij veel melden.

Marijke:
Wij hebben er ook protocollen voor en medewerkers worden geïnstrueerd. Alles wat er is aan datalekken moet intern worden gemeld en wordt geregistreerd. Conform de AVG kijken wordt eerst gekeken of er een risico is ontstaan. Op basis daarvan wordt de afweging gemaakt of we het datalek aan de AP moeten melden

Barbara:
Bekijk je dat in een team? Ik neem aan dat je een centraal meldpunt hebt voor datalekken voor de medewerkers.

Marijke:
Ja we hebben een procedure voor datalekken, waarin ook het melden (door de medewerkers) is beschreven. Als we melden aan de AP wordt de directie geïnformeerd en leidinggevende van de afdeling waar het datalek heeft plaatsgevonden.
Voor ons is een datalek ook het leren ervan, dat het niet nog een keer gebeurt, dus herhaling voorkomen. Dat is überhaupt bij incidenten zo.

Barbara:
Jullie zijn allebei al langer met de meldplicht datalekken bezig, omdat jullie werken met bijzondere persoonsgegevens. Wat is jullie ervaring met de medewerkers, maken zij daar gebruik van en melden ze het ook netjes? Zit het inmiddels verankerd in de bedrijfscultuur of is er nog een slag te maken?

Mieke:
Nou wij hebben nog wel een slag te maken. De grote incidenten, bijvoorbeeld iemand die zijn telefoon kwijt is, of een gestolen laptop met wetenschappelijk onderzoek, dat wordt wel automatisch bij ons gemeld. Andere incidenten moet je de medewerkers toch meer op wijzen. Ze komen soms via de AP bij ons, soms via een klachtenfunctionaris, soms via de directie. Daar zijn medewerkers nog niet zo heel alert op. Dan gaat het bijvoorbeeld over brieven die verkeerd gestuurd worden, een huisarts die gestopt is en er nog brieven voor patiënten worden verstuurd terwijl daar allang iemand anders woont. Dat is lastig, dat duurt soms wel enige tijd eer we zoiets in de gaten hebben omdat dat niet bij de juiste personen wordt gemeld. Niet door degene die de brieven krijgt, maar ook niet door degene die de melding krijgt van degene die de brieven ontvangen heeft. Daar is dus nog wel een slag te slaan.

Barbara:
Hoe zit het Marijke met jullie regels voor de privacy op de werkvloer? Ik neem aan dat jullie ook een protocol hebben voor IT-beleid, hoe ga je om met social media, ook met sollicitanten en hun informatie. Dan kom je al gauw op het vraagstuk voor bewaartermijnen, en of het dan automatisch wordt gewist. Als je expliciet een bewaartermijn vermeldt, dan kan je er ook aan worden opgehangen.

Marijke:
Ja, met name de bewaartermijnen, dat is echt een hele lastige kwestie. Je moet gegevens bewaren zo lang als nodig is, en dat kan voor iedere verwerking of iedere afdeling weer anders zijn. Wat we nu wel proberen is grip te krijgen. We geven in eerste instantie de business de gelegenheid om zelf te bepalen wat de bewaartermijn zou moeten zijn.
In fase 2 gaan we samen met de business kijken of de opgegeven termijnen ook reëel zijn; de business moet aangeven waarom korter niet mogelijk/gewenst is. Ook gaan we dan kijken naar consistentie binnen het bedrijf. Soms heb je twee afdelingen die nagenoeg hetzelfde doen, matchen die bewaartermijnen dan ook met elkaar? Waarom denkt de een dat hij langer nodig heeft dan een ander? Het in kaart brengen van deze 2e fase brengt wel wat werk met zich mee.

Barbara:
Dus deze fase gebruik je met name om te kijken welke bewaartermijn reëel is, noodzakelijk om aan dat speciale doel te kunnen voldoen, en vervolgens ga je die expliciet vermelden.

Marijke:
Ja want we moeten uiteindelijk in onze registers de bewaartermijnen vermelden. Dus ergens moeten we een besluit nemen hoe lang je iets nodig hebt. Nu is iedereen daar nog wel een beetje zoekende in, omdat persoonsgegevens gewoon heel lang werden bewaard.

Barbara:
Je zit natuurlijk ook met werknemers die vertrekken, eventuele non- concurrentiebedingen, relatiebedingen. Dan moet je wel kunnen checken waar iemand werkzaam is en heb je die persoonsgegevens nog nodig dus moet je die enige tijd kunnen bewaren. Ik hoor ook veel om mij heen dat werkgevers voor wat betreft de persoonsgegevens van sollicitanten het liefst weer terug zouden willen naar de ouderwetse kaartenbak. Je kan anders weer opnieuw beginnen, het kost allemaal veel tijd en is omslachtig. Ook voor wat betreft de omgang en communicatie met zieke werknemers. Wat mag je wel vragen en registreren, wat is voorbehouden aan de bedrijfsarts. Daar gaat ook veel fout.

Mieke:
Ja, naast het hele patiëntendossier wat wij op orde moeten krijgen, is er ook het personeelsdeel waar het nodige aan moet gebeuren. We hebben co-assistenten, leerlingverpleegkundigen, stagiaires, noem maar op. Het complete personeelsbestand is zo wisselend in een ziekenhuis. Hoe we daar mee om moeten gaan zijn we heel druk mee bezig. Ik ben er van overtuigd dat dat nog niet helemaal op orde is, maar ook dat besef is er wel.

Barbara:
Daar komt bij jullie nog bij de positie van de vele vrijwilligers die in een ziekenhuis werken. Hoe gaan jullie daar mee om?

Mieke:
Die hebben eigenlijk dezelfde status als de werknemer. Die moet geregistreerd worden, ze moeten worden gevolgd, ze moeten op de hoogte zijn en blijven van het privacybeleid. Je wordt als vrijwilliger door het ziekenhuis als medewerker gezien.

Barbara:
Vrijwilligers zullen ook een geheimhoudings-verplichting moeten tekenen en training moeten volgen met betrekking tot het privacybeleid.

Mieke:
Ja zeer zeker. Bij zo’n training vertel ik ze dat ook, dat we echt een ander bedrijf zijn. Dat het niet logisch is dat als je de buurvrouw hebt zien lopen in de hal van het ziekenhuis, dat je bij de eerstvolgende borrel vraagt hoe het met haar gaat.

Etienne:
Wat is de consequentie dan als ik dat wel zeg als ik bijvoorbeeld mijn buurman heb gezien met een gebroken enkel?

Mieke:
Je moet er heel voorzichtig mee zijn. Ik werk al zolang in het ziekenhuis dus inmiddels weet ik dat heel veel mensen niet open over hun ziekte zijn. Er zijn mensen die willen dat de buurt niet weet dat ze ziek zijn. Het merendeel van de patienten wil wel alle kaarten en bloemetjes krijgen van bekenden, maar er zijn zeker ook mensen die dat niet willen. Dat leg ik ook heel vaak uit bij zo’n training. Dat je leert dat als iemand wegduikt voor jou, dat je dan een andere collega er naartoe moet sturen. Ik krijg ook opmerkingen van patiënten dat ze weg willen als ze iemand zien die ze kennen. Ik kan dan zeggen dat medewerkers een geheimhoudingsplicht hebben, maar hoor dan dat maakt niet uit als er al gepraat is.

Etienne: Kort en krachtig: wat mis je in de AVG?

Marijke:
Er zullen vast veel zaken beter kunnen maar het is vrij nieuw dus dat moet zich nog uitkristalliseren. Er zitten nog best wat open eindjes in de wet. Daar moet wat meer guidance komen. Dat is wat ik nu nog mis.

Mieke:
Wat ik graag voor de ziekenhuizen wat beter geregeld zou zien is dat ik voor ons wat uitzonderingen zou willen hebben op het feit dat wij alleen met bijzondere persoonsgegevens werken. Het is niet praktisch dat we nu weer met allerlei papiertjes  moeten werken. Het zou iets meer toegespitst mogen zijn op de bedrijfstak waar je in zit.

Barbara:
Meer guidance is inderdaad welkom, hoewel de AP goede informatie geeft. Er wordt veel van bedrijven verwacht, om compliant te zijn terwijl er veel grijze gebieden zijn. Daarnaast schiet de wet soms het doel wel voorbij. En het is nogal wat de hele implementatie voor het MKB: of je nu een eenmansbedrijf, een slagerij of een multinational runt, iedereen moet voldoen aan de AVG.

Etienne: Is de AVG, ondanks alle praktische bezwaren en dat het hier en daar is doorgeschoten, toch te zien als een vooruitgang?

In koor:
Ja, de bewustwording, het belang van de bescherming van persoonsgegevens.

Auteurs

Barbara Goossens
Advocaat arbeidsrecht en privacyrecht
Marijke Van Der Zande-Inia
Manager compliance & privacy bij Monuta
Mieke Van Den Bergh
Jurist Maasstad Ziekenhuis

Rechtsgebied

Privacyrecht