woensdag 27 december 2017

BLOG: De cliënt is zijn eigen Autoriteit Persoonsgegevens

Freek Erens, Productmanager Adapcare. 
December 2017

Af en toe ga ik langs bij mijn oude buurvrouw, ze is negentig jaar en woont sinds kort in een verzorgingshuis. Haar deur staat altijd open, letterlijk en figuurlijk, maar alle medewerkers kloppen altijd eerst netjes aan, laat staan dat ze rondsnuffelen in haar kamer. Maar geldt dit ook voor haar dossier, gedragen de medewerkers zich ook daarin als een goede gast?

Nog een klein half jaar en dan is de Algemene Verordening Gegevensbescherming van kracht. Niet iedereen weet dat de AVG al in mei 2016 in werking is getreden, organisaties kregen toen twee jaar de tijd om hun bedrijfsvoering met de AVG in overeenstemming te brengen. Vanaf 25 mei 2018 wordt de AVG gehandhaafd met een maximale boete van 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet.

De AVG is ook in een ander opzicht een stevige verordening: de wettekst beslaat 88 pagina’s en behandelt onderwerpen zoals het creëren van bewustwording, de privacyrechten van de betrokkenen, het in kaart brengen van de data die verwerkt wordt, het uitvoeren van een effectbeoordeling, privacy by design en privacy by default, het aanstellen van een functionaris voor gegevensbescherming, de meldplicht datalekken, het toetsen van bewerkersovereenkomsten aan de AVG, het aanstellen van één leidende toezichthouder en het actief toestemming geven door de betrokkenen. Deze 10 onderwerpen worden uitgebreid toegelicht op de website van de Autoriteit Persoonsgegevens.

Wat is nu de rode draad van de AVG? Volgens mij is dat in één zin samen te vatten: beheer informatie vanuit het privacybelang van de betrokkene (cliënt, mantelzorger, medewerker, vrijwilliger, enzovoort). Dat gaat voor een belangrijk deel over bewustwording, over je kunnen inleven in de cliënt, over het echt behartigen van zijn belangen. Wetgeving helpt om die bewustwording te creëren en daarmee systemen en procedures aan te passen. Het helpt ook dat een cliënt zich op de AVG kan beroepen als zijn privacyrechten in het geding zijn gekomen. Maar de wetgever kan natuurlijk niet meekijken op elke gegevensverwerking die de zorgaanbieder uitvoert.

Iets soortgelijks speelde jaren geleden bij de introductie van het landelijk EPD. Het idee was dat zorgverleners patiëntinformatie konden opvragen uit de systemen van ziekenhuizen, huisartsen en apothekers. Misbruik werd natuurlijk gesanctioneerd maar er was geen operationele controle op het onterecht opvragen van gegevens. Dat kon natuurlijk ook niet, welke instantie kan nu beoordelen of gegevens wel of niet met recht worden opgevraagd? De afloop is bekend: de eerste kamer gelastte in 2010 het stopzetten van het landelijk EPD. Met veel moeite werd het project daarna in een regionale vorm herstart waarbij de Nederlandse burger op voorhand toestemming moet geven voor het uitwisselen van zijn gegevens. Ongeveer 1 miljoen Nederlanders hebben hiervoor toestemming gegeven.

De oplossing voor een ECD is eenvoudig. Geef de cliënt toegang tot zijn dossier en laat hem ook meekijken op het gebruik van zijn dossier. Dat is precies wat we met Pluriform Zorg realiseren. De cliënt of zijn wettelijk vertegenwoordiger kan in het Pluriform Cliëntportaal zien welke teams, disciplines en externe organisaties toegang tot zijn gegevens hebben, maar ook welke medewerkers zijn dossier daadwerkelijk geopend hebben. Bij twijfel of dat rechtvaardig was kan de cliënt via het cliëntportaal een vraag stellen aan de functionaris gegevensbescherming. En natuurlijk kan een zorgorganisatie de kans op misbruik verkleinen door alleen de teams en disciplines die daadwerkelijk betrokken zijn bij de cliënt toegang te geven tot zijn dossier, privacy by design.

Het is goed dat er een Autoriteit Persoonsgegevens is, maar de beste autoriteit op het rechtmatig gebruik van persoonsgegevens is de cliënt zelf. Daarom maakt het Pluriform Cliëntportaal hem zijn eigen autoriteit.