Jerry Renten, Information Security Officer bij het Ikazia Ziekenhuis in Rotterdam

“Privacy en informatiebeveiliging gaan samen”

Het Ikazia Ziekenhuis in Rotterdam heeft met Jerry Renten een Information Security Officer (ISO) in huis die privacy en informatiebeveiliging onder één noemer zou willen brengen. “Het is jammer dat we privacy expliciet hebben gemaakt. We zouden moeten praten over informatiebeveiliging. Ik pleit voor een integrale aanpak van privacy en informatiebeveiliging.”

Tekst: Pieter Kalis / René Schellingerhout
Fotografie: Rogier Steyvers
Fotograaf Ikazia gebouw: Wim Boon

24 25 26 en 27 Jerry Renten terrein IkaziaHet Ikazia, gelegen pal naast winkelcentrum Zuidplein in Rotterdam-Zuid, telt tien verpleegafdelingen. Het ziekenhuis presenteert zich als een laagdrempelige zorginstelling voor de inwoners van Rotterdam-Zuid en de aangrenzende Zuid-Hollandse eilanden. Renten werkt sinds 2010 bij Ikazia. Hij ondersteunt en adviseert zijn werkgever op het gebied van informatiebeveiliging en privacy. In de praktijk betekent dit dat hij toeziet op de implementatie van de NEN 7510, de norm voor een integrale aanpak van informatiebeveiliging. Hij heeft een duidelijke mening over de relatie tussen informatiebeveiliging en privacy. “Mensen kunnen zich bij privacy meer voorstellen dan bij informatiebeveiliging. Ik begrijp dat wel, want op privacygebied gebeurt er natuurlijk heel veel in de wereld. Daar kun je niet aan voorbij gaan. Maar ik vind het jammer dat we privacy expliciet hebben gemaakt en niet meer praten over informatiebeveiliging. Informatiebeveiliging omvat immers veel meer dan alleen privacy.” Renten licht zijn opvatting toe aan de hand van de Wet bescherming persoonsgegevens (Wbp). “Om die wet goed na te leven stelt het College Bescherming Persoonsgegevens aanvullende eisen. Die eisen hebben echter niet zozeer te maken met persoonsgegevens, maar met alle informatie. Daarom zou ik graag een integrale aanpak zien van informatiebeveiliging en privacy en niet gescheiden zoals nu steeds vaker gebeurt.”

 

Vertrekpunt

In 2010 kreeg de ziekenhuisbranche een verplichte audit opgelegd van de toezichthouder. Elk ziekenhuis moest kunnen aantonen dat de NEN 7510 was geïmplementeerd. Als reactie op de vele onvolkomenheden die bij de audits aan het licht kwamen, is de zorgsector begonnen met een inhaalslag. “Voor de implementatie van de NEN 7510 heb je commitment nodig van het management team en van de leidinggevenden”, vertelt Renten. “Je doet het niet voor mij, zeg ik vaak, je ondersteunt de organisatiedoelstellingen. Dat is voor mij het vertrekpunt. Het zijn lastige onderwerpen, het is niet altijd leuk en het kan leiden tot vervelende maatregelen waardoor mensen zich belemmerd voelen in hun werk. Maar de audit heeft ertoe geleid dat MT’s zich gingen committeren, want je wilt natuurlijk niet dat de Inspectie voor de Gezondheidszorg op bezoek komt of dat je weer zo’n dure audit moet gaan doen.”

“Je doet het niet voor mij, je ondersteunt de organisatiedoelstellingen”

Veel rechten

24 25 26 en 27 Jerry Renten Ikazia 3
Renten: “De grootste uitdaging in de regio is de uitwisseling van informatie tussen ziekenhuizen”.

Van het recente verleden schakelt Renten over naar een toekomstig thema; de Europese Data Protectie Verordening. In die verordening wordt de toestemmingsvereiste, het ‘informed consent’, verder uitgebreid. “Met informed consent geef je aan dat je als patiënt akkoord bent met het verwerken van je medische gegevens, welke persoonsgegevens zijn. Dat is alleen niet altijd expliciet. Heb je als ziekenhuis nou elke patiënt laten tekenen dat hij akkoord is? En is hem gevraagd of hij het goed vindt dat je zijn gegevens doorstuurt naar een andere arts? Het recht van de patiënt wordt straks veel explicieter. En die patiënt heeft vrij veel rechten. Recht op inzage, recht op vernietigen, recht om vergeten te worden. Vooral het recht om vergeten te worden is in de praktijk heel lastig. Dat betekent dat je iedereen in de keten die medische patiënteninformatie in handen heeft gehad moet aflopen en ervoor moet zorgen dat werkelijk dat hele spoor vernietigd is. Dat is niet zo eenvoudig.”

“Vooral het recht om vergeten te worden is in de praktijk heel lastig”

Evenmin eenvoudig is volgens Renten de elektronische uitwisseling van medische informatie tussen ziekenhuizen. “De verordening stelt dat de hele keten verantwoordelijk is voor de beveiliging van informatie. De vraag is dan hoe we de uitwisseling van patiënteninformatie in de regio zo vorm gaan geven dat het werkbaar blijft? Want dat is de grootste uitdaging die we met z’n allen hier hebben, de uitwisseling van informatie tussen ziekenhuizen.”

Renten zou graag zien dat de toezichthouder de eisen uit de verordening vertaalt naar praktische voorbeelden. “Ze kunnen dat per bedrijfstak doen met een stukje casuïstiek. Bijvoorbeeld over filmen met je PDA. Je krijgt dan: ‘Bent u zich er bewust van dat niet alleen patiënten maar ook medewerkers recht hebben op privacy? Daar kan ik wel een heel lijstje van maken.”

FG-rol

Ter voorbereiding op de verordening uit Brussel zijn op enkele plaatsen in Nederland ziekenhuizen regionaal gaan samenwerken. Een van die regionale initiatieven is de werkgroep Stichting Rijnmond Ziekenhuizen (SRZ). Hierin participeren het Oogziekenhuis, het IJsselland Ziekenhuis, het Maasstad Ziekenhuis, de Daniël den Hoed kliniek en Ikazia. In de werkgroep trekken de bestuurders van deze ziekenhuizen samen op. Renten: “We buigen ons ook over de vraag hoe we de FG-rol per ziekenhuis kunnen invullen. We zoeken naar een methode waarin we die onafhankelijke rol van die FG kunnen garanderen én eventueel samen één FG voor meerdere ziekenhuizen kunnen benoemen. Dat moeten we straks ook door de toezichthouder laten toetsen. Het is een idee maar als het juridisch niet haalbaar is dan gaat het van tafel en krijgt elk ziekenhuis een eigen FG.”

“Ik zou willen dat we in Nederland samen een vuist maken tegen de verplichte aanstelling en met een werkbaar tegenvoorstel komen”

Renten noemt de verplichte aanstelling van een FG in de Europese verordening discutabel. “Ik had niet zo expliciet op deze verantwoordelijkheid ingezet. Ik zie het er al van komen dat er overal duur opgeleide FG’s komen. En wat moet die FG allemaal doen? Die stelt een lijstje op, gaat vervolgens achterover leunen en vraagt een paar keer per jaar of het allemaal loopt. De rest moet toch in de organisatie gebeuren want de FG gaat niet tot op de werkvloer regelen dat het gebeurt. Ik zou willen dat we in Nederland samen een vuist maken tegen de verplichte aanstelling en met een werkbaar tegenvoorstel komen.” Tot slot, relativerend: “Maar dit is mijn persoonlijke mening, ondertussen werk ik er zelf gewoon aan mee.”

24 25 26 en 27 Jerry Renten Ikazia 4Aanbevelingen Jerry Renten:

• Benader privacy en informatiebeveiliging integraal en niet gescheiden van elkaar
• Vraag de toezichthouder om de eisen uit de Europese verordening te vertalen naar praktische voorbeelden
• Trek samen op met andere ziekenhuizen of zorginstellingen in de regio om je voor te bereiden op de eisen uit de Europese verordening