Tijdschrift Privacy 01 Maart 2015
Beer Franken, FG in het Academisch Medisch Centrum
“Er is een gaande op privacygebied”
Tekst: René Schellingerhout Fotografie: Geert van Tol
De eerste regel van het privacystatuut van het AMC luidt: ‘Houd geheim wat geheim is.’ Kort en bondig wordt deze regel daarna toegelicht; medewerkers moeten gegevens waarvan ze kunnen begrijpen dat ze beschermd moeten worden geheim houden. Franken: “Stel, je opent als medewerker een brief waar niet op staat dat de inhoud medisch geheim is. De brief blijkt echter van de huisarts te zijn. Dan kun je redelijkerwijs begrijpen dat de inhoud geheim moet blijven.” Zo bevat het privacystatuut meer regels die een beroep doen op het gezonde verstand van de AMC-medewerkers. Het document is geschreven in algemene bewoordingen, de schrijfstijl is zeer toegankelijk. “Een bewuste keuze”, aldus Franken. “We willen niet alles dichttimmeren door allerlei mogelijke situaties tot in detail te beschrijven. Dan krijg je altijd discussie over gevallen die niet waren voorzien.”
Franken constateert dat medewerkers elkaar steeds meer aanspreken op misstanden. “Er is duidelijk een cultuuromslag gaande in ziekenhuizen. Medewerkers attenderen elkaar meer op misstanden dan voorheen. Dat zie je nu vooral nog als het gaat om hygiëne, maar ik verwacht dat dit ook op het gebied van privacy vaker zal gebeuren. Het duurt echter nog even voordat deze houding de norm is.” De regels uit het statuut zijn gebaseerd op ‘gezond verstand’, maar dat neemt volgens Franken niet weg dat je altijd grijze gebieden blijft houden. Franken: “Het is heel logisch om je kamer op slot te doen als je weggaat. Medewerkers die langer van hun werkkamer zijn doen dat ook. Maar wat als je even naar het toilet gaat? Dan doet niet iedereen zijn werkkamer op slot. Als ik mensen daar op aanspreek, hoor ik soms: ‘Wat kan er nu gebeuren?’ Dan zeg ik: “Heb je een brandverzekering thuis? En hoe vaak gebeurt het dat je huis in brand vliegt?”
“Iedereen moet straks vooraf toestemming geven voor foto- of filmopnamen”
Franken: "In de nieuwe Europese verordening moet je je keuzes kunnen verantwoorden en deze ook op een bepaalde wijze vastleggen."
Tijdschrift Privacy 01 I Maart 2015
45
Het AMC komt in 2015 met nieuwe beleidsmaatregelen voor het maken van foto- en filmopnamen in en om het ziekenhuis. Franken. “Nieuw is dat patiënten, bezoekers en medewerkers straks vooraf toestemming moeten geven voor foto- of filmopnamen, toestemming achteraf is niet langer voldoende, als dat al gebeurde. Dit nieuwe beleid geeft ons wat meer slagkracht.”
Franken verwacht dat de komende Europese regelgeving weinig zal veranderen aan het statuut. Wel ziet hij in grote lijnen twee andere consequenties. “We zullen de gegevensverwerking beter moeten documenteren. De Privacy Impact Assessment wordt bijvoorbeeld verplicht. Daarnaast moeten we het, simpel gezegd, beter doen dan dat we het nu doen. Bijvoorbeeld als we medische gegevens verstrekken aan een externe partij in het kader van prestatievergelijkingen tussen ziekenhuizen. Straks gebruiken we hiervoor vaker dan nu overeenkomsten. Met sommige partijen doen we dat al. Anderen zien daar weinig in. Om dit probleem aan te pakken, trekken we op met andere UMC’s.” Intensiever toezicht, meer werkuren, meer spreiding van privacykennis in de organisatie en een betere verantwoording en documentatie van gemaakte keuzes. Dat zijn volgens Franken in een notendop de belangrijkste gevolgen van de naderende Europese privacywetgeving. “Ook privacy by design wordt verplicht. Dat betekent meer dan erop toezien dat het vakje bij privacy by design is afgevinkt. We zullen gaan doorvragen. Dat doen we vermoedelijk steekproefsgewijs.”
Franken vindt dat de nieuwe situatie feitelijk zal leiden tot een vorm van omgekeerde bewijslast. “Alleen melden aan de toezichthoudende instantie dat je een PIA hebt uitgevoerd, is niet meer voldoende. Je zult de PIA ook inhoudelijk moeten kunnen toelichten,
kunnen bewijzen dat je de norm volgt, et cetera. Straks kan de toezichthouder gemakkelijker zeggen: als ik niet overtuigd ben, ga ik niet akkoord. Dat is een wezenlijk verschil met de huidige situatie.” Ook bij het verantwoorden en vastleggen van gemaakte keuzes is de toekomstige wetgeving strikter dan de huidige. “De richtlijn stelt bijvoorbeeld dat je rekening moet houden met a, b, en c. Je kunt dan tegen de toezichthouder zeggen: ‘Ja, we hebben rekening gehouden met a, b en c.’ In de nieuwe verordening is dat niet meer toereikend. Je moet je keuzes kunnen verantwoorden en deze ook op een bepaalde wijze vastleggen: hóe heb je rekening gehouden met a, b en c en waarom.”
“De toezichthouder kan straks gemakkelijker zeggen: als ik niet overtuigd ben, ga ik niet akkoord”
idealiter zijn ingericht. “Als we ze zo inrichten dat je gedwongen wordt binnen de lijntjes te kleuren, hoef ik je niet uit te leggen hoe de lijntjes lopen. Of, anders gezegd, als mijn auto automatisch blokkeert bij een snelheid van vijftig kilometer per uur, hoef ik niet te weten dat ik binnen de bebouwde kom wettelijk niet harder mag dan vijftig. Het zou mooi zijn als we zo onze procedures straks langs deze lijn kunnen inrichten.”
Wees communicatief. Wees bereid je boodschap heel vaak te herhalen. Stel de regels zo op dat ze voor iedereen goed te volgen zijn.
Die stringentere eisen hebben ook hun weerslag op de wijze waarop de accountant naar de jaarrekening kijkt, verwacht Franken. “De Raad van Bestuur zal moeten kunnen aantonen dat de organisatie ‘in control’ is. De jaarrekeningaccountant zal daar expliciet naar vragen. Is de organisatie niet ‘in control’, dan loopt het bedrijf het risico dat ze een boete krijgt opgelegd van vijf procent van de jaaromzet. Als de Raad van Bestuur, gedwongen door de accountant, daarvoor voorzieningen moet treffen, is
Denk niet vanuit het opleggen van regels. Denk mee met je collega’s. Meedenken vereist dat je kennis hebt van de materie. Als bijvoorbeeld een onderzoeker zegt dat het anonimiseren van persoonsgegevens niet mogelijk is, heb je vakinhoudelijke kennis nodig om met goede tegenargumenten te komen.
dat een serieuze bedreiging voor de continuïteit van de organisatie. Dat wil je als Raad van Bestuur natuurlijk voorkomen.”
De aanstaande verordening uit Brussel leidt tot meer werk voor het AMC. “Maar bij wie die extra uren terechtkomen, is nog niet te overzien”, aldus Franken. Het betekent volgens hem niet automatisch dat het AMC meer kennis in huis moet halen. “Wel zullen we de aanwezige kennis meer spreiden onder medewerkers.” Franken verduidelijkt aan de hand van een metafoor hoe de privacyprocedures straks
Tijdschrift Privacy 01 I Maart 2015
47
