Ongemakkelijk. Dat kan het zijn, als informatie bekend wordt bij iemand die er niks mee te maken heeft. Het kan ook nog veel erger uitpakken. Waarom is het dus eigenlijk een probleem, die rondslingerende informatie? Mensen willen gewoon dat hun gegevens veilig zijn. Dat ze zelf kunnen bepalen wie wat mag weten. Wet- en regelgeving (waaronder de Algemene verordening gegevensbescherming) schrijft voor dat je gegevens passend moet beschermen. Onderstaande situaties kunnen problemen opleveren. Als er niet netjes met gegevens wordt omgegaan kunnen (potentiële) cliënten en hun familie minder vertrouwen in de organisatie krijgen. Financiers (gemeenten, zorgverzekeraars) verwachten of eisen dat zorginstellingen gegevens zorgvuldig behandelen. Negatieve publiciteit in de media is een mogelijk gevolg.
Papieren afgedrukt uit het Elektronisch Cliëntendossier, zoals zorgplannen.
Lijstjes op het prikbord.
Openstaande schermen.
Baxterzakjes met medicatiegegevens.
Foto’s van bewoners en medewerkers op het whiteboard.
Doorgefaxte informatie van de apotheek.
Even op luide toon overleggen met een collega.
Informatie in de nieuwsbrief over nieuwe, vertrokken en overleden bewoners.
Foto’s van het uitstapje op Facebook.
Overleg via WhatsApp.
Papieren met vertrouwelijke informatie in de prullenbak.
Post-its met wachtwoorden op het scherm of onder het toetsenbord.
De sleutels die toegang geven tot de dossierkast in de bovenste lade.
Even een onbeveiligd mailtje naar een andere zorgverlener of de familie met de verkeerde bijlage, te veel informatie of naar de foute geadresseerde.
Interne post in een open envelop.
Cliënten die als dagbesteding papier versnipperen.
Informatie op de netwerkschijf waar veel mensen bij kunnen.
Een eindeloze lijst van manieren waarop informatie 'rondslingert' op de werkplek. Je kunt nog veel meer voorbeelden bedenken.
Als er op allerlei plaatsen dezelfde informatie verwerkt wordt, is dat mogelijk een teken van inefficiëntie, dubbele vastleggingen. Met behulp van uitgelekte informatie, zoals een wachtwoord, kunnen criminelen de boel platleggen. Dan stokt de zorg en soms zien zorginstellingen het betalen van 'losgeld' als beste oplossing om de boel weer snel aan de praat te krijgen. Bij een hack maak je sowieso veel extra kosten. Je bent een periode minder productief met alle medewerkers. Het kost tijd om de boel te onderzoeken en op te lossen. Vaak moeten daarvoor experts worden ingehuurd en dat kost geld. Een boete van de Autoriteit Persoonsgegevens (AP) kan ook volgen.
Je kunt natuurlijk alles op alles zetten om alle risico’s weg te nemen. Maar zorginstellingen moeten ook hun werk kunnen doen: zorg verlenen. Het is zaak om goed te kijken wanneer er nu echt een onaanvaardbaar risico is. Mijn indruk is dat er soms veel energie gestoken wordt in het oplossen van kleine risico’s. De veelbesproken verjaardagskalender is daar een voorbeeld van. Mag je zomaar verjaardagen van alle medewerkers publiek maken? Formeel moet je daarmee aan de slag, maar is dat nu het grootste risico wat we als eerste moeten oplossen?
Er zijn instellingen die foto’s van de bewoners op de deur van hun woonruimte hangen, zodat zijzelf, medebewoners en medewerkers die niet vaak aanwezig zijn (invallers, nachtdienst) weten waar ze moeten zijn. Er zijn instellingen die denken: “Dat mag niet van de AVG.” Mijn afweging is: wat is de extra privacyschending hiervan? Als ik daar rondloop zie ik de bewoners toch ook? Ook hier, wel even over nadenken, maar besteed je tijd vooral aan grotere risico’s.
Hoe kun je dan voorkomen dat informatie rondslingert? Medewerkers bewust maken, zeker. Maar voordat je weer iets bij de medewerkers neerlegt kun je ook naar andere oplossingen kijken. Digitaliseren, opschonen, processen aanpassen, dat helpt. Het faciliteren van zulke oplossingen is noodzakelijk. Als er veel informatie rondslingert, kan dat lijken op een gedragsprobleem. Maar heel vaak is het een situatieprobleem.
Afspraken over hoe we binnen onze organisatie met informatie omgaan helpen. Die kunnen centraal bedacht worden, maar vaak zien medewerkers binnen hun team heel goed waar het beter kan. Als je dit met elkaar bespreekt en samen een oplossing verzint, is het makkelijker om je daaraan te houden. En om elkaar daarop aan te spreken: “weet je nog, in het werkoverleg hadden we afgesproken om het niet meer op de gang over cliënten te hebben.”
Als medewerkers een goede oplossing verzinnen, is het aan de organisatie om ze bij invoering te faciliteren. Minder papier vraagt misschien meer tablets. Minder overleg op de gang vraagt misschien een aparte spreekkamer. Minder papier met vertrouwelijke informatie in de prullenbak vraagt een snelle en nabije versnipperaar of afgesloten papiercontainer.
Martine van de Merwe is auteur van het boek 'Zorg voor privacy'
Op 12, 19 en 26 maart 2020 vindt de driedaagse opleiding Privacy in het sociaal domein plaats.
Sinds de decentralisaties in 2015 wordt intensief samengewerkt tussen hulpverleners en ambtenaren, maar ook tussen instanties en gemeenten onderling. Hierbij worden gevoelige, vaak bijzondere persoonsgegevens uitgewisseld. Hoe kan een effectieve samenwerking georganiseerd worden waarbij de ambtenaar de wet uitvoert, de hulpverlener zijn integriteit bewaart en de privacy van cliënten beschermd blijft?
De opleiding wordt geleid door privacyjurist Corrie Ebbers en is bestemd voor medewerkers en juristen van gemeenten en zorgaanbieders die aangewezen zijn als kwaliteitsfunctionaris, privacydeskundige of functionaris gegevensbescherming in het sociaal domein.
Meer informatie over de opleiding
Dit artikel is ook te vinden in de dossiers Privacy in de zorg, Privacy in het sociaal domein en Privacy op de werkvloer
