In april 2019 kwam in het nieuws dat Jeugdzorg Utrecht (nu “Samen Veilig”, what’s in a name?) zijn oude domeinnaam had laten verlopen en dat daardoor zorgdossiers terechtgekomen waren bij mensen die daar niets mee te maken hebben. Het goede van deze zaak is dat veel mensen zich nu realiseren waar privacy in de zorg over gaat: deze gegevens in verkeerde handen kan levens van kwetsbare jongeren, en de mensen om hen heen, kapot maken.
Als fout wordt gezien dat Samen Veilig de domeinnaam niet meer had geregistreerd. Dat is inderdaad oerstom. Maar ik zie zo veel meer wat hier mis is. Waarom heeft een zorginstelling in vredesnaam zijn processen zo ingericht dat in een half jaar, de tijd dat de klokkenluiders de mailbox in beheer hadden, ruim 3200 dossiers via mail verstuurd werden? Een zorginstelling legt, normaal gesproken, gegevens vast in een elektronisch patiënten- of cliëntendossier (EPD/ECD). Een centraal systeem waaromheen je beheersing kunt inrichten. Je kunt regelen wie welke delen van dossiers mag inzien of muteren.
Dat dat nog moeilijk genoeg is zie ik dagelijks bij zorginstellingen en bleek ook uit het verhaal over het OLVG dat in februari 2019 in het nieuws kwam.
Je kunt zo’n centraal EPD/ECD beveiligen tegen nieuwsgierigen of mensen met kwade bedoelingen van binnen of buiten de organisatie. Je kunt zorgen dat je bewaartermijnen handhaaft. Dat er een reservesysteem beschikbaar is op het moment dat het primaire systeem uitvalt. Je kunt erop toezien dat je vastlegt wat nodig en toegestaan is, en niet meer dan dat. Alles zoals de “privacywet” Algemene Verordening Gegevensbescherming (AVG) vraagt. Maar vooral kun je zorgen dat zorgverleners de juiste, volledige en actuele informatie op het juiste moment op de juiste plaats beschikbaar hebben. Want laten we vooral niet vergeten dat informatie onmisbaar is voor het verlenen van goede zorg.
Die informatieverwerking moet je wel zorgvuldig doen. Mailboxen bevatten bergen met ongestructureerde informatie. Alles wat er mis kan gaan, zowel technisch als door menselijke vergissingen, maakt dat mail een van de grootste bronnen van datalekken is. Dit blijkt ook uit de cijfers over datalekken van de Autoriteit Persoonsgegevens. Dus Samen Veilig, hoe kan het dat al deze informatie per mail verstuurd wordt, onversleuteld nog wel? Wie is eigenlijk de afzender? Hoe kan het dat er in 2019 nog mails gestuurd worden naar e-mailadressen die, als ik het goed begrijp, sinds 2015 niet meer gebruikt worden? Hoezo dit ongericht strooien met dossiers?
Mijn indruk is dat zorginstellingen die hun privacyzaken en informatiebeveiliging niet op orde hebben, vaak ook andere zaken niet op orde hebben. Ook hier zie ik berichtgeving dat er klachten en twijfels zijn over de hulpverlening van Samen Veilig. Het gaat om de bestuursagenda. En dus, om het breder te trekken dan alleen deze organisatie, beste bestuurders, directeuren, MT-leden én toezichthouders van zorginstellingen, is de vraag: heeft u dit onderwerp op de agenda staan? Wie is er volgens u verantwoordelijk dat uw zorginstelling voldoet aan de AVG? Wat heeft u gedaan om u te verdiepen in de risico’s en verplichtingen die er zijn op dit gebied? Wat heeft u gedaan om op de hoogte te zijn in hoeverre bij u de zaken geregeld zijn? Hoe faciliteert u de organisatie? Hoe vaak stelt ú de vraag, die bij bijna alles wat uw bestuurstafel passeert relevant is: Maar hoe zit het met de privacy en informatiebeveiliging?
Samen Veilig Midden Nederland haastte zich te melden dat het lek van de domeinnaam gedicht is. Maar volgens mij is het echte lek nog niet boven, daar in Utrecht.
Op 20 juni 2019 geeft Martine van de Merwe de eendaagse cursus Creëren van privacybewustzijn in organisaties
Martine van de Merwe is auteur van het boek 'Zorg voor privacy'
Dit artikel is ook te vinden in de dossiers Privacy in de zorg en Informatiebeveiliging
