sluiten

Is de zorg klaar voor de AVG? En uw leveranciers?

Sanne Schepens | 28 juni 2018

Beoordeling van de leverancier volgens de AVG

Het is zover: de AVG is van kracht! Waar moet je op letten als zorgorganisatie om te voldoen aan deze wetgeving? En hoe weet u of uw leveranciers hier ook aan voldoen?

Deze uitdaging kreeg ik voorgeschoteld binnen de opdracht bij Inovum. Inovum is een zorgorganisatie die zich richt op verpleeghuiszorg, thuiszorg, huishoudelijke hulp en dagactiviteiten in Hilversum en omgeving. Vanuit DWA ondersteun ik Inovum bij de selectie van de leverancier voor de zorgalarmering en telefonie. Inovum is op zoek naar een nieuwe leverancier, zodat zij klaar zijn voor de toekomst. Een onderdeel van mijn opdracht is de beoordeling van de ingeschreven partijen en dus ook of ze voldoen aan de nieuwe privacywetgeving.

Test van nieuwe privacytool

Uiteraard had ik gewoon de vraag kunnen stellen aan de leverancier: “Voldoen jullie aan de AVG?” Dit leek me echter een retorische vraag, die mij én Inovum niet verder zou helpen. In mijn vorige blog vertelde ik over de start van het traject. Hoe we van een visie tot de ontwikkeling van een tool kwamen (de tool kunt u kosteloos opvragen). Simpel gezegd bestaat de tool uit een vragenlijst, waarmee u in één oogopslag ziet of het design van de leverancier ofwel system integrator privacy-proof is. Of zo niet, wat nog moet worden opgepakt.

Allereerst merkte ik dat alle partijen de vragen verschillend interpreteerden. Hoe weet ik dan of een partij voldoet aan de AVG? Hoe kun je de antwoorden vergelijken? Het geven van een rapportcijfer is erg moeilijk en niet te beargumenteren. Het doel van de wetgeving is bewustwording en dat nagedacht is over de nodige maatregelen. Daarom ben ik uitgekomen op een beoordeling in drie kleuren: groen (voldoet), oranje (aandachtspunten) en rood (onvoldoende). Bij de beoordeling van de diverse onderdelen bleek deze score goed te beargumenteren. Ook de eindconclusie heb ik uitgedrukt in groen, oranje of rood. Dit geeft een duidelijk beeld per partij.

Bij de beoordeling van de ingevulde vragenlijsten schrok ik van het feit dat diverse partijen aangaven dat de privacywetgeving niet van toepassing is, omdat ze niet met persoonsgegevens werken. Maar let op, want een kamernummer is al een persoonsgegeven! Dit nummer is herleidbaar naar een bewoner en hiermee een persoonsgegeven. En dat is toch wel het minimale wat u nodig hebt als u als zorgmedewerker een mogelijk val-alarm ontvangt van een bewoner.

Afbeelding 1: screenshot van de controletool

In totaal hebben drie partijen de vragenlijst ingevuld. De conclusie van de beoordeling voor Inovum was duidelijk: één partij heeft goed nagedacht over de onderdelen en is klaar voor de AVG. Eén partij geeft aan bewust onbekwaam te zijn en de laatste onderdelen te toetsen. De laatste partij is nog niet klaar voor de AVG en heeft nog diverse onderdelen die verbeterd moeten worden. Hiermee heb ik Inovum handvaten kunnen geven of een partij voldoet of over welke onderdelen nog gesproken moet worden. Een duidelijke conclusie en duidelijke handvaten om vervolgstappen mee te zetten om het design privacy-proof te maken.

Kijkende naar de privacytool is mijn conclusie dat het gebruik hiervan een beperkte tijdsinvestering kost en veel inzicht geeft hoe de leveranciers bezig zijn op het gebied van privacy. Ook richting Inovum kon ik hiermee een weloverwogen conclusie presenteren hoe de leveranciers scoren op het gebied van privacy. Achteraf gezien heb ik in mijn opvolgende adviesgesprekken privacy en de tool niet uitgebreid besproken. Dit zou ik bij een volgend traject als vast onderdeel op de agenda plaatsen. Op die manier voegt het meer toe aan het totale beslissingsproces om tot een nieuwe system integrator te komen. Tevens heb ik meteen verbeteringen doorgevoerd in de tool, zodat ik deze in de toekomst ook kan inzetten voor andere opdrachtgevers. Op basis van de antwoorden vanuit de leveranciers heb ik items samengevoegd of juist anders omschreven, zodat interpretatieverschillen vermeden worden.

Ervaringen Inovum

Ik sprak bij de afronding van het traject met Dennis Roobeek, manager bedrijfsvoering en functionaris gegevensbescherming bij Inovum. Samen blikken we terug op de AVG, de invoering van deze wet en zijn ervaringen met de tool.

Inovum is al maanden geleden begonnen met de voorbereidingen rondom de AVG. Ze zijn begonnen met een beschrijving van alle processen en waarom hier persoonsgegevens in gebruikt worden (cliënt- en medewerkergegevens). Ook is kritisch gekeken naar de autorisatieniveaus, iets dat medewerking vereiste van de softwareleverancier (die dat pas recent heeft afgerond). Zo kunnen medewerkers nu bijvoorbeeld niet meer de gegevens van andere locaties inzien. Dennis is over het algemeen niet bang voor (commercieel) misbruik van data. Er worden wel gegevens gedeeld met zorgprofessionals, zoals huisartsen en specialisten. Wat Dennis vooral verraste is dat het voor medewerkers niet zo makkelijk is deze materie goed te snappen en dat sommige leveranciers er nog niet klaar voor waren. Inovum heeft daarom ook zelf een eigen e-learningmodule voor medewerkers ontwikkeld. Ook werd het veilig verzenden van e-mails via de ZorgMail (tussen ketenpartners) intern doorgetrokken – om het makkelijker te maken. Medewerkers zijn zo gefaciliteerd om intern en extern veilig gegevens te versturen. Het meest werd Dennis verrast door de invoering van een nieuw systeem (noodzakelijk in verband met de AVG), waar een fout in leek te zitten en het systeem toegang gaf tot gegevens van een andere organisatie. Dat was snel opgelost door de leverancier maar het bewijst dat zelfs systemen die voor de AVG zijn opgezet, ook niet altijd waterdicht zijn.

Over de tool die ik heb geïmplementeerd heeft Dennis een duidelijke mening. Het helpt zeker bij een stukje inzicht en overzicht, maar het was niet de doorslaggevende factor in de keuze voor een nieuwe system integrator. Hij is van mening dat Inovum verantwoordelijk is voor de implementatie van de AVG en niet de system integrator. Het is volgens Dennis echter aan Inovum om aan de leveranciers aan te geven wat zij hierin verwachten en hoe zij een en ander moeten inrichten.

En nu zelf aan de slag

Voor Inovum is het traject nog niet afgerond. Na de keuze van de leverancier zullen de resultaten uit de beoordeling met de gekozen partij besproken worden. Ook bij de realisatie van de systemen zal privacy een belangrijk onderdeel zijn en meegenomen worden in het plan van aanpak. Want worden persoonsgegevens gedeeld? Hoe worden deze gegevens veilig gedeeld? En hoe worden deze gegevens beveiligd? Wat zijn de afspraken na het project?

Ook bezig met de beoordeling van uw leveranciers of keuze voor een nieuwe leverancier of system integrator? Dan adviseer ik kritisch te kijken hoe de partijen omgaan met de privacy-aspecten. Dit kan verrassende resultaten opleveren, verrassingen die je als zorgorganisatie liever niet tegenkomt.

De controletool die ik gemaakt heb in samenwerking met Inovum is kosteloos beschikbaar. Stuur een email naar ons secretariaat (dwa@dwa.nl) en we delen deze graag met u. Want met uw ervaringen of feedback, kan ik ervoor zorgen dat deze tool nog beter aansluit bij de privacy-opgave in de zorg!

contact

Wilt u meer weten over AVG en/of domotica in de zorg? Neem dan contact op met Sanne Schepens
e-mail: sanne.schepens@dwa.nl
telefoon: 06 – 116 899 15

Sanne Schepens

onze vestigingen
Bodegraven

Bezoekadres
Duitslandweg 4
2411 NT Bodegraven

Routebeschrijving

Postadres
Postbus 274
2410 AG Bodegraven

Veenendaal

Bezoekadres
Lunet 7
3905 NW Veenendaal

Routebeschrijving

Postadres
Postbus 140
6710 BC Ede

Rijssen

Bezoekadres
Hogepad 85
7462 TB Rijssen

Routebeschrijving

Postadres
Postbus 136
7460 AC Rijssen

Amsterdam

Bezoekadres
Edge Olympic
Fred. Roeskestraat 115
1076 EE Amsterdam

Postadres
Postbus 274
2410 AG Bodegraven


contact

telefoon: 088 - 163 53 00
e-mail: dwa@dwa.nl