Samenwerken in het uitvoeren van de regels die de AVG aan de zorg stelt lijkt slim. Waarom zou je geen gebruik kunnen maken van de reeds uitgevoerde analyses die andere zorginstellingen al maakten?
Bescherming van medische gegevens is van groot belang. Daarover was iedereen het ook voor de inwerkingtreding van de AVG al eens. Reden temeer goed na te denken over hoe je als zorgorganisatie omgaat met de persoonsgegevens van je patiënten of cliënten. Inhoudelijk gezien is de AVG niet nieuw meer, de vrijblijvendheid van vroeger is er echter af. Binnen de zorgsector was er sowieso al meer en diepgaander aandacht voor bescherming van persoonsgegevens door specifieke wet- en regelgeving. Naar nu blijkt loont ook hier samenwerking. Intrakoop kan zorgorganisaties daarbij helpen.
Als inkoopcoöperatie zien we dat zorgorganisaties worstelen met de AVG. Wij kunnen je organisatie ondersteunen bij de AVG-verplichtingen. Daarvoor hebben we permanent een team beschikbaar van privacy professionals. Voor hen is de AVG niet iets wat los staat van de rest binnen zorgorganisaties. Zij nemen de AVG mee in het overall compliance management van de organisatie.
Samenwerking bij DPIA’s
In het kader van de samenwerking speelt er op dit moment een aantal actuele zaken. Denk aan het gebruiken van eerder uitgevoerde Data Protection Impact Assessments (DPIA’s) door andere organisaties. Het is niet zo dat iedere zorgorganisatie op organisatieniveau een DPIA moet uitvoeren. Heel veel processen binnen een organisatie zijn hetzelfde, ongeveer 20% is maatwerk. Dat komt vooral doordat veel organisaties dezelfde systemen gebruiken die veelal afkomstig zijn van een beperkt aantal leveranciers. Het kan niet de bedoeling zijn dat alle zorgorganisaties dezelfde systemen aan een eigen DPIA gaan onderwerpen. Maak gebruik van kennis die er binnen de zorg al is en ga zaken niet onnodig overdoen.
Zo heeft Intrakoop voor haar leden al een aantal zaken geregeld op het gebied van gegevensbescherming. Denk dan bijvoorbeeld aan:
- de afvoer en vernietiging van Baxterzakjes, patiënten- en cliëntendossiers en IT-middelen;
- het proces van medicatievoorschrijving en -distributie tussen instellingsartsen en apothekers;
- afspraken met schoonmaakbedrijven als het gaat om de privé-vertrekken van cliënten en wasserijen als het gaat om wasgoed van cliënten.
Informatieberaad Zorg
Via het Informatieberaad Zorg kunnen veel van deze collectieve oplossingen over de branche worden verspreid met als bijkomend voordeel dat deze collectieve aanpak slimmer en goedkoper is. Via de deelnemers aan dit Informatieberaad zijn wij bezig relevante zaken daar op de agenda te krijgen.
‘Eigen’ DPIA?
Een ander voorbeeld is dat gebruik wordt gemaakt van DPIA’s die door de overheid al zijn uitgevoerd. De overheid maakt, net als heel veel andere organisaties, gebruik van Microsoft producten. Een deel daarvan is door hen al aan een DPIA onderworpen. De leverancier heeft aanbevelingen uit die DPIA overgenomen. Waarom zou je diezelfde producten dan nog eens aan een ‘eigen’ DPIA onderwerpen? Maak gebruik van wat er al is!
Ook actueel. De recente boete van de Autoriteit Persoonsgegevens (AP) aan een groot ziekenhuis. In het EPD- systeem van dat ziekenhuis hadden alle medewerkers toegang tot alle dossiers. Dat lijkt onhandig, maar als verschillende autorisaties in het systeem niet tot de mogelijkheden behoren is het wel de enige oplossing. Een DPIA zou zo’n omissie kunnen laten zien en daar zou de zorg in de volle breedte (en ook de leverancier) lering uit kunnen trekken.
Collectieve aanpak loont
Kortom, een collectieve benadering van de gevolgen en effecten van de AVG lijkt slim. Intrakoop heeft voor haar leden al een aantal zaken collectief geregeld. Daarnaast hebben wij diverse aandachtspunten ook geagendeerd bij het Informatieberaad Zorg.