De dagen voor en na 25 mei had iedereen het erover: de AVG (Algemene Verordening Gegevensbescherming). Onze mailboxen liepen vol met verzoeken tot toestemming voor het toesturen van nieuwsbrieven en de oude vertrouwde pop-ups voor cookies werden ineens uitgebreid met keuzes: welke cookies wilt u wel en welke niet? Het gaf even de indruk dat de onlinewereld écht ging veranderen. En nu, anderhalve maand later: waar staan we nu? Wat is er veranderd en hoe zijn we, als zorgsector in het bijzonder, omgegaan met het gedachtegoed van de nieuwe wetgeving?

Even een stapje terug. Waar gaat de AVG ook alweer over? De AVG is de nieuwe wet die alle privacy en informatiebescherming regelt. De autoriteit persoonsgegevens (AP) is de controlerende instantie die de taak heeft de wet te handhaven. De reden voor het instellen van de AVG is het versnelde online dataverkeer, waardoor gegevens van burgers kwetsbaarder zijn geworden. Misbruik ligt immers op de loer, zoals identitieitsfraude, de handel in persoonsgegevens, enz.  De verordening regelt de bescherming van al onze gegevens. In het bijzonder gegevens die ons kwetsbaar kunnen maken als ze openbaar zouden worden, bijvoorbeeld je geloof of de ziekte waaraan je lijdt.

Via bepalingen in de AVG wordt geborgd dat organisaties op een gepaste en zorgvuldige manier omgaan met deze gegevens. Zo is het aanstellen van een functionaris gegevensbescherming verplicht bij het grootschalig verwerken van bijzondere persoonsgegevens. In de meeste zorginstellingen wordt er een onafhankelijke medewerker aangesteld als functionaris gegevensbescherming, die dit als taak heeft naast de huidige functie. Vaak wordt deze taak belegd bij een kwaliteitsmedewerker of IT-specialist. Ook worden in sommige gevallen functionarissen vanuit externe bureau’s ingeschakeld. Daarnaast is het voor organisaties verplicht om verwerkersovereenkomsten af te sluiten met partijen die in opdracht van zorginstellingen met deze bijzondere persoonsgegevens werken.

Echter, er is nog veel onduidelijk in de wet. De uitvoering en beoordeling daarvan  hangt dan af van de interpretatie van de organisaties, de AP en uiteindelijk de rechter. Zo moet er bijvoorbeeld nog worden bepaald wat “grootschalig verwerken” is. Ook zijn er momenten waarop de wet gaat schuren: wat als een medewerker mogelijk patiënt is, bijvoorbeeld in het geval van scabiës op een afdeling, wat weegt dan zwaarder, zijn of haar privacy of de volksgezondheid?

Sommige zaken uit de AVG zijn ook al erg duidelijk. Zo kan de directeur niet als functionaris gegevensbescherming wordt aangesteld. Deze heeft immers geen onafhankelijke positie. Ook zijn inmiddels bij veel zorginstellingen de bepalingen op papier goed geregeld. We zien echter dat de bewustwording van medewerkers op de werkvloer achterblijft. Controlevragen worden in de care-sector nog nauwelijks gesteld (om te checken met wie je te maken hebt), wachtwoorden worden opgeschreven op post-it’s en de toestand van cliënten wordt wel meer dan eens besproken in het bijzijn van anderen of via een app-groep.

Ik hoor u denken: wat valt er bij ons nu te halen aan gegevens? Wellicht bent u wel een kleine organisatie en ziet u op tegen de toename van nog meer administratie of denkt u: eerst maar eens zien of de soep wel zo heet wordt gegeten. Die vlieger gaat een heel eind op, ware het niet dat de kern van het gedachtegoed van de wet niet is om te straffen en beboeten, maar om ons te wijzen op de morele plicht die wij als organisaties hebben om goed om te gaan met de gegevens van onze cliënten (en medewerkers!). En dat is iets waar iedere organisatie, groot of klein, iets mee kan én moet!

Onlangs hebben we een verkennend kwalitatief onderzoek gedaan (n=20) onder een willekeurige selectie van zorginstellingen uit de caresector. Zowel kleine als middelgrote organisaties, met verschillende doelgroepen, zijn gesproken. Uit dit onderzoek blijkt dat met name de grote intramurale organisaties stappen hebben genomen in het aanpassen van de bedrijfsvoering naar de eisen van de AVG. Een ander deel weet nog niet wat zij met de veranderende regelgeving aan moet of is nog op zoek naar een structurele invulling van de functionaris gegevensbescherming. Verder is er ook een deel van de organisaties ervan overtuigd dat het voor hen niet nodig is om een Functionaris Gegevensbescherming aan te stellen.

En alle organisaties bevestigen: op papier kan alles misschien goed geregeld zijn, de bewustwording onder medewerkers is het grootste punt van aandacht.

Benieuwd of uw organisatie voldoet aan de nieuwe privacyregeling? Doe de zelftest!