Uitdagingen verantwoordelijke

Hoewel de AVG al op 26-04-2016 door het Europese Parlement is vastgesteld, zijn veel organisaties, pas op het laatste moment gestart met het nemen van maatregelen. Een toenemend bewustzijn maar ook de dreiging van hoge boetes en reputatieschade spelen daarbij een rol. Een snelle beoordeling van de feitelijke situatie, bestudering van bijvoorbeeld het 10 stappenplan op de site van de AP, kennisname van de inhoud van de model verwerkersovereenkomst van BOZ  of de vereiste privacyverklaring leert veelal dat de betekenis en impact van de AVG op bestaande werkprocessen van de organisatie groter is dan aanvankelijk werd verondersteld. En ook dat aan privacy en informatiebeveiliging meer prioriteit had kunnen worden toegekend.

‘Privacy in de zorg rammelt aan alle kanten’
zo luidde de conclusie uit een onderzoek van het Landelijk Platform GGz, Patiëntenfederatie Nederland en Ieder(in) waaraan door ruim 7200 personen werd deelgenomen. Uit het onderzoek waarvan de resultaten in november 2016 werden gepubliceerd, bleek dat het privacybewustzijn onder zorgverleners  onder de maat is.

Onbekendheid met de norm voor informatiebeveiliging NEN7510
De wet schrijft (sinds juni 2009 – introductie van BSN in de zorg) voor dat iedere zorgorganisatie een informatiebeveiligingsbeleid dient te hebben geïmplementeerd dat is gebaseerd op de NEN7510. Het is het geen geheim dat veel zorgorganisaties (ruim 8 jaar later) onvoldoende bekend zijn met de norm voor informatiebeveiliging NEN7510, zich onvoldoende bewust zijn van bestaande beveiligingsrisico’s, daardoor geen adequate maatregelen hebben getroffen en daardoor al jaren niet voldoen aan de zorgvuldigheidseisen die de wetgever van hen verlangt. Een situatie die gelet op de risico’s voor cliënten/patiënten/betrokkenen feitelijk niet te verdedigen is. Confrontatie met dit gegeven levert reacties op in de trend van:

  • ik ben er altijd vanuit gegaan dat de bewerker (ICT dienstverlener/EPD leverancier) de rol van verantwoordelijke heeft
  • ik ben door de bewering van mijn EPD leverancier “u voldoet aan wet een regelgeving omdat wij NEN 7510 (of ISO 27001) gecertificeerd zijn” altijd op het verkeerde been gezet
  • ik heb andere prioriteiten
  • ik beschik echt niet over de mogelijkheid om de daarvoor noodzakelijke capaciteit en middelen vrij te maken

Meer inzicht in de beoogde doelstellingen van de AVG, meer inzicht in de mogelijke gevolgen van een misbruik van persoonsgegevens voor de eigen organisatie, voor jezelf of je kind kunnen het verschil maken. De dreiging van een hoge boete of imagoschade helpt.

Het ontbreken van capaciteit en middelen kan, mits goed gedocumenteerd(!), duidelijk maken dat geen sprake is van onwil, maar dat simpelweg mogelijkheden ontbreken om noodzakelijke maatregelen te nemen om de belangen van de patiënt/cliënt/betrokkene veilig te stellen. Het kan zeker geen kwaad daarbij te melden dat noodzakelijke kosten niet kunnen worden doorbelast/in rekening gebracht.

Voor organisaties die schouderophalend over gaan tot de orde van de dag heeft een toezichthouder geen begrip. Accountability komt ook tot uitdrukking als blijkt dat de rol van verwerkingsverantwoordelijke serieus is opgepakt en in kaart is gebracht waar hem de schoen wringt.

Wat nu concreet te doen? Hoe en waar te beginnen. Wat heeft prioriteit? Biedt het stappenplan van de Autoriteit mij handvatten voor een richting? Moet ik me eerst richten op één van deze artikelen? En zo ja, welke dan?

Met Artikel 13 als basis, is Artikel 24  het meest omvattende artikel dat richting geeft aan de manier waarop de verwerkingsverantwoordelijke kan aantonen dat hij aan zijn verplichtingen voldoet. Voor de zorg houdt dat in dat iedere zorgorganisatie dient te beschikken over een Informatiebeveiligingsbeleid (ISMS) geborgd door een PlanDoCheckAct cyclus. Een herbevestiging van die noodzaak is nogmaals benadrukt door de publicatie in de Staatscourant op 28-11-2017 waarmee door de minister uitvoering is gegeven aan een motie uit 2011. Niet aan de slag gaan met de NEN7510 is vragen om problemen! De recentelijk geactualiseerde versie werd op 6-12 gepubliceerd en kan men gratis downloaden via de NEN norm shop.

Een zorgvuldige inventarisatie en documentatie(!) van gegevens, processen en risico’s is de basis voor de beoordeling aan welke risico’s prioriteit dient te worden toegekend en met welke maatregelen die kunnen worden beperkt. Daarmee wordt een aanvang genomen met Artikel 24, en wordt invulling gegeven aan Artikel 32, 35, 36 en 28. Tegelijkertijd biedt dat een belangrijke basis voor artikel 30. Goed documenteren is essentieel!  Meer over de NEN7510

Ben je in de zorg werkzaam en wil je kennis en ervaringen delen met collega’s die voor dezelfde uitdagingen staan en zo mogelijk al iets verder zijn met het implementeren van de NEN7510, dan kun je wellicht je voordeel doen via een Siilo forum. Dit forum vervangt een eerder daarvoor ingericht LinkedIn forum. Ook jou meld ik daar graag voor aan. Heb je Siilo geïnstalleerd en kun je de groep zo snel niet vinden? https://app.siilo.com/qr/b6ffda6d