Marcel van der Haagen, stafadviseur Privacybescherming en Informatiebeveiliging bij VU medisch centrum

“Privacyawareness belangrijker dan regels”

Het beschermen van de privacy  moet je niet te veel willen vastleggen in regels, vindt Marcel van der Haagen, stafadviseur Privacybescherming en Informatiebeveiliging van VU medisch centrum (VUmc) in Amsterdam. “Anders haal je de creativiteit en de alertheid weg bij mensen om op te treden als dat nodig is. Regels zijn belangrijk, maar privacyawareness is belangrijker.”

                                                                                                                                              Tekst: René Schellingerhout
                                                                                                                                              Fotografie: DigiDaan

VUmc, Overzicht hoofdgebouw ziekenhuis
VUmc, Overzicht hoofdgebouw ziekenhuis

Van der Haagen houdt kantoor in de voormalige ‘zusterflat’ van VUmc, het universitair medisch centrum. Een muur in zijn werkkamer wordt in beslag genomen door een groot planningsbord. “Hierop staan alle jaaractiviteiten die we ontplooien voor privacybescherming en informatiebeveiliging. We passen op deze gebieden de Plan-Do-Act-Check cyclus toe”, vertelt Van der Haagen die binnenkort zal worden benoemd tot functionaris gegevensbescherming.

Hij legt uit waarom het VUmc voor deze methodiek kiest. “Veel organisaties hebben op papier een beleid voor privacybescherming en informatiebeveiliging. Maar het ontbreekt in Nederland vaak aan het effectief omzetten van dat beleid in concrete maatregelen, het toetsen van die maatregelen met een audit en het vervolgens doen van verbetervoorstellen. Met de Plan-Do-Act-Check cyclus effectueren we ons beleid voor alle onderdelen die voor onze organisatie relevant zijn.”

De gestructureerde aanpak van VUmc is ook ingegeven door onder meer de meldplicht datalekken en de Algemene Verordening Gegevensbescherming (AVG). “Die veranderingen brengen behoorlijk wat bureaucratische rompslomp met zich mee. Het betekent dat wij als verantwoordelijke meer plichten krijgen. Het sleutelwoord hierbij is ‘aantoonbaar’. Een privacybeleid op papier zetten is niet moeilijk, het gaat erom dat je kunt bewijzen dat je beleid in de praktijk aantoonbaar functioneert.”

Van der Haagen heeft de indruk dat de afstand tussen degenen die de privacywetten en -regels vaststellen en de mensen die in de organisatie met deze wetten te maken hebben, groter wordt. “De wetgeving wordt steeds complexer, evenals de technologie. Als je de privacynotities leest, weet ik soms ook nauwelijks meer waar ze het over hebben. Als functionaris gegevensbescherming moet je de kloof tussen de beleidsbepalers en de zorgverleners zien te overbruggen met voor iedereen begrijpelijke en hanteerbare termen. Ook de interpretatie van de wet moet je als FG voor iedereen kunnen vertalen. Dus ook voor de Raad van Bestuur. Hoe vertaal je die wetgeving in richtlijnen? En hoe zet je die op zijn beurt om in awarenesscampagnes? Dat is geen eenvoudig, maar wel heel uitdagend werk.”

“De privacywetgeving wordt steeds complexer, evenals de technologie”

Feedback
28 29 30 31 en 32 Marcel van der Haagen VUmc 4
Van der Haagen loopt de verschillende onderdelen van het planningbord langs. De interne audit prijkt bovenaan. VUmc heeft hiervoor de NEN 7510 norm samengevat in vijftig vragen. “We bezoeken de afdelingen en nemen samen met de afdelingsmanager die vijftig vragen door. Daar komt per vraag een score uit van 1 tot en met 4. Een 1 betekent niet aanwezig, een 4 dat het helemaal goed zit. Voor alle 1’s en 2’s moet de afdeling verbetervoorstellen maken op het gebied van informatiebeveiliging en privacybescherming. Zo slaan we twee vliegen in één klap. Een afdeling heeft verbeterplannen en de privacyawareness wordt vergroot.”
Het tweede onderdeel is de Commissie Privacybescherming en Informatiebeveiliging, een adviescollege voor de Raad van Bestuur met mensen uit allerlei geledingen van VUmc. “Daar zitten artsen in, maar ook ICT’ers, verpleegkundigen, administrateurs en mensen van andere disciplines.”
Naast een interne audit kent VUmc ook een externe audit. Hiervoor bezoekt Lloyds twee keer per jaar het ziekenhuis. Van der Haagen: “We maken samen een auditprogramma. Lloyds beoordeelt onze documenten, gaat bij afdelingen langs en bekijkt wat er is gedaan met de eventuele tekortkomingen uit de vorige audit. Dit is voor ons heel belangrijk want zo krijgen we feedback over hoe we ervoor staan. Lloyds brengt verslag uit aan de Raad van Bestuur, die ons vervolgens vraagt op welke punten we actie moeten ondernemen. Onze Raad van Bestuur zit er gelukkig goed bovenop.”

Whatsapp
28 29 30 31 en 32 Marcel van der Haagen VUmc 3
VUmc voert jaarlijks een risicoanalyse uit voor informatiebeveiliging en privacybescherming. “Hiervoor gebruiken we de ervaringen van een netwerk van zo’n dertig vrijwillige contactpersonen uit alle lagen van de organisatie”, vertelt Van der Haagen. “We vragen hen naar de risico’s die zij in hun omgeving zien. Dat vragen we ook aan managers en vertegenwoordigers van verpleegkundigen. Weet je wat zij zien als grootste bedreiging? Een gebrek aan privacyawareness.” Van der Haagen illustreert dit met een voorbeeld. “Veel artsen gebruiken Whatsapp voor het uitwisselen van patiëntgegevens. Je kunt het ze niet kwalijk nemen, maar vaak weten artsen niet wat Whatsapp doet met de patiëntgegevens die hij vastlegt. Artsen realiseren zich niet dat zij als afnemer van die zogenaamde gratis dienst zelf het product zijn. Ze zijn dus onwetend over het feit dat er wat met de patiëntgegevens gebeurt. Met een risicoanalyse kun je hiervoor beheersmaatregelen nemen.”

“Vaak weten artsen niet wat Whatsapp doet met patiëntgegevens”

Van der Haagen heeft een reglement opgesteld voor het gebruik van Whatsapp en andere media door medewerkers van VUmc. “Ik begrijp dat artsen Whatsapp een handig hulpmiddel vinden, maar omdat het onveilig is mag het in principe niet gebruikt worden. In het reglement staat dat we alleen maar media mogen gebruiken die door VUmc beschikbaar zijn gesteld. Daarbij baseren we ons op de veiligheidsnorm uit NEN 7510. Whatsapp voldoet niet aan die norm. Ook het College Bescherming Persoonsgegevens beschouwt dit medium als niet veilig. De vraag is wel hoe groot de risico’s zijn als een arts sporadisch Whatsapp gebruikt. Die risico’s zijn heel beperkt. En daarom is bewustwording zo belangrijk. Als je als arts overweegt om Whatsapp te gebruiken, ben je dan bewust van de risico’s die daarmee samenhangen.”

Awareness krijgt bij VUmc de nodige aandacht, stelt Van der Haagen. “Maar we moeten daar nog meer in investeren. Tachtig procent van de risico’s hebben te maken hebben met het gedrag van mensen. En dat gedrag wordt bepaald door hun awareness. Bij een calamiteit als een grote stoomstoring moeten de medewerkers adequaat kunnen handelen. Daarvoor moet je ze de ruimte geven. Als er teveel is vastgelegd in regels, haal je het initiatief bij medewerkers weg en ook de alertheid en creativiteit. Awareness is zo belangrijk omdat je je doorlopend bewust moet zijn van hoe je kunt handelen binnen de wettelijke kaders voor privacybescherming en informatiebeveiliging. Die regels zijn belangrijk, maar awareness is nog belangrijker.”

Amateur
Een goede FG is volgens Van der Haagen een amateur in de positieve betekenis van het woord. “Een goede functionaris gegevensbescherming is een amateurjurist, een amateur ICT’er en ook een amateur op het gebied van gegevensbewerking. Hij is in alle opzichten een amateur, maar de kunst is dat hij mensen met een verantwoordelijkheid op privacygebied in een organisatie bij elkaar brengt. Zo betrekken we bij VUmc niet alleen juristen en ICT’ers bij privacy en informatiebeveiliging, maar bijvoorbeeld ook het hoofd van de beveiliging. Zo voorkom je dat je steeds opnieuw het wiel moet uitvinden.”

De FG krijgt in de AVG meer dan voorheen een toezichthoudende rol, wat volgens hem de positie van de FG er niet gemakkelijker op maakt. “Je bent de ene keer een adviseur en de andere keer een soort politieagent die constateert dat er iets niet in de haak is. Veel FG’s vinden het lastig om te zeggen ‘dat mag niet’. Want dan kom je bureaucratisch en hinderlijk over. Dat is een valkuil van deze functie. Kijk, we werken hier met zeer gemotiveerde doktoren, verpleegkundigen en onderzoekers. Je ziet ze wel eens denken: ‘daar heb je die bureaucraten weer’. Het is de kunst om op een toegankelijke wijze te communiceren.

Ik probeer me altijd in te leven in de werkprocessen van zorgverleners en onderzoekers en in wat ze willen bereiken. Er zijn kaders waaraan ze zich moeten houden. Ik adviseer hen hoe ze aan die kaders kunnen voldoen op een manier die ze zo min mogelijk last bezorgd. Je kunt achter je bureau bedenken hoe bijvoorbeeld de procedure voor een toestemmingsvereiste eruit moet zien. Maar dat kan het werkproces belemmeren. Door mee te denken in het werkproces kun je wellicht een procedure maken die voor de zorgverleners en onderzoekers veel gemakkelijker werkt. Je moet ook altijd duidelijk proberen te maken dat je ze wilt faciliteren en niet wilt belemmeren in hun werk. Maar als het niet anders kan, dan moet we gebieden en verbieden want we kunnen ons als organisatie de risico’s niet veroorloven.”

“Het is de kunst op om een toegankelijke wijze te communiceren”

Smileys
28 29 30 31 en 32 Marcel van der Haagen VUmc 2
Van der Haagen noemt het contactpersonenoverleg van medewerkers binnen VUmc een van de belangrijkste methoden ter bevordering van de privacyawareness. “De contactpersonen komen eens per kwartaal bij elkaar en delen dan hun kennis en ervaringen op het gebied van privacybescherming en informatiebeveiliging. Welbeschouwd zijn de contactpersonen onze ambassadeurs op privacygebied voor de afdelingen.” Een andere activiteit die in het teken staat van het vergroten van de awareness zijn de avondrondes. “Elke maand lopen de mensen van de receptie en de beveiliging veiligheidsrondes om te controleren of deuren op slot zijn, de koffieautomaten uitstaan, et cetera. Wij lopen exact dezelfde route door het gebouw en controleren dan bijvoorbeeld of computers uitstaan en of dossiers niet rondslingeren. Daarbij delen we smileys en chagrijntjes uit, een idee van onze Rotterdamse collega’s van het Erasmus MC. Als alles in orde is, leggen we een grote smileykaart neer in de werkkamer. Maar als we zaken aantreffen die niet door de beugel kunnen, leggen we een chagrijntje op tafel met daarbij een toelichting op wat we hebben aangetroffen. Dat leidt in eerste instantie soms tot een welles-nietes discussie, maar uiteindelijk krijgen we vaak een uitnodiging om eens met de afdeling te komen praten. Dan stel ik altijd voor om een interne audit uit te voeren op basis van de NEN 7510 waarbij de verbeterpunten vanzelf op tafel komen. Dit leidt vaak tot een heel grote bereidheid om binnen de afdeling te kijken wat er beter kan. De smileys en chagrijntjes zijn dus heel effectief voor het vergroten van de awareness.”

 

Aanbevelingen Marcel van der Haagen

  • Voer awarenesscampagnes permanent en met hoge prioriteit uit
  • Besteed veel tijd en aandacht aan het uitvoeren van interne auditprogramma’s inclusief opvolging
  • Communiceer in termen die voor anderen te begrijpen zijn; niet iedereen in de organisatie is FG
  • Zorg ervoor dat je als FG zichtbaar en merkbaar in de organisatie aanwezig bent
  • School je als FG permanent om het snel veranderende juridische en technische ‘landschap’ bij te kunnen houden
  • Verdiep je als FG in de bedrijfsprocessen. Dit is noodzakelijk om bruikbaar en gericht advies te kunnen geven