Er was eens… een beleidsmedewerker bij een zorginstelling die beter wilde inspelen op de religie van de cliënten. Welke geloven hebben we eigenlijk in huis, vroeg zij zich af. En zo kwam ze bij de functioneel applicatiebeheerder van het elektronisch cliëntendossier (ECD). Die ging enthousiast aan de slag om deze informatie uit alle cliëntdossiers te selecteren. Goed bedoeld, want we willen de meest persoonlijke zorg leveren. Maar is het ook handig om dit zo te doen? Religie is een bijzonder persoonsgegeven waarvan de verwerking verboden is volgens de AVG. Weten ze dat dan niet?
De poort naar alle informatie in het ECD, zo kun je functioneel applicatiebeheer wel zien. Zij hebben kennis van wat er in het systeem zit. Zij maken de gegevens toegankelijk voor iedereen die dat nodig heeft. Dat gaat via het inrichten van autorisaties, maar bijvoorbeeld ook door het definiëren van schermen en rapporten – hoeveel gegevens worden er wel niet geëxporteerd uit het ECD… Als er wijzigingen in het systeem zijn weten applicatiebeheerders van de hoed en de rand. Als je wilt dat privacy by design blijvend werkt, dan moet je bij iedere vraag/wijziging kijken wat de implicaties zijn voor de privacy van zowel cliënt als medewerker. Bij grote wijzigingen doe je een DPIA (dataprotectie-impact-assessment). Maar ook kleinere wijzigingen hebben gevolgen. Hier moet functioneel applicatiebeheer de verantwoordelijkheid nemen om dit te beoordelen. Daar moet je wel gevoel voor hebben. Maar ook kennis van wat de AVG eigenlijk vraagt op zaken als dataminimalisatie, doelbinding, juistheid van gegevens en passende beveiliging. Deze aspecten op het netvlies bij FAB zorgt voor blijvende borging van de AVG.
Als start zijn veel FG’s in de zorg aan de slag gegaan met de implementatie van de AVG. Als FG moet je toezicht houden, maar toen er niets geregeld was viel er ook weinig toezicht te houden. Nu inmiddels bij de meeste zorginstellingen de implementatie een eind op streek is, is het tijd dat de FG zich meer gaat richten op zijn wettelijke taak van toezicht en advies. Daarvoor is het noodzakelijk dat er op kernposities in de organisatie kennis van de AVG aanwezig is. Mensen op deze posities kunnen op het juiste moment de noodzaak van gegevensbescherming ter sprake brengen. Maar zij zijn ook de ogen en oren van de FG in de organisatie, zij verschaffen de FG informatie wat er speelt. Een FG kan nu eenmaal niet overal zijn. Veel FG’s voelen zich alleen staan in hun taak. Is het dan niet fijn als er gelijkgestemden zijn binnen de organisatie, die helpen bij implementatie en signalering? Daarmee gaat het volwassenheidsniveau op privacymanagement met sprongen omhoog.
Mensen op de positie van functioneel applicatiebeheer hebben heel diverse achtergronden. De een komt uit de zorg, de ander heeft meer een IT-achtergrond, komt uit kwaliteitsmanagement of heeft heel andere ervaring. Dat is heel waardevol omdat het zorgt voor een diverse blik bij het beheren van het ECD. Zoals veel mensen die in de zorg werken, zijn ook functioneel applicatiebeheerders vaak behulpzaam. Zij willen het de gebruikers zo makkelijk mogelijk maken. Een heel goed streven natuurlijk! Maar dit moet wel binnen de bestaande kaders van de eigen zorginstelling én wet- en regelgeving. Een van die wetten die hierbij belangrijk zijn is de AVG. Applicatiebeheerders werken altijd met de gevoelige gegevens van cliënten, waarop de AVG van toepassing is.
Door de diverse achtergronden van functioneel applicatiebeheerders zijn zij vaak ook divers opgeleid. Kennis van informatiebeveiliging en privacy is meestal niet of maar beperkt aan bod gekomen in de opleiding. Terwijl dit een steeds belangrijker rol speelt. Voor alle medewerkers is een opleidingsbudget beschikbaar. Goed opgeleide medewerkers voelen zich zelfverzekerd en hebben meer plezier in hun werk. Als zij een opleiding mogen volgen voelt dat ook als waardering van de werkgever voor de medewerker.
Dit artikel is ook te vinden in het dossier AVG
bron: Privacylab
