Privacy in de praktijk II, afl. 6: Awareness in het DNA

Dit keer is host Robin Rotman in gesprek met Marcel van der Haagen, Functionaris Gegevensbescherming bij het Amsterdam UMC. Het ziekenhuis verwerkt miljoenen persoonsgegevens, dus privacy-bewustzijn is voor nagenoeg alle medewerkers van groot belang. Marcel vertelt dat Amsterdam UMC vooral inzet op het aanpakken van onwetendheid en onzorgvuldigheid op dit gebied.  Ze vertrouwen daarbij niet te veel op regeltjes, want ‘Privacy is vooral je gezonde verstand gebruiken’.

Privacy in de praktijk II, afl. 6: Awareness in het DNA

VAN DER HAAGEN: Hoe creëer je privacy awareness in het DNA van je organisatie?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman.
In deze podcast van het Centrum Informatiebeveiliging
en Privacybescherming bespreek ik met deskundigen
de meest interessante vragen rond privacy in de dagelijkse praktijk.
VAN DER HAAGEN: Privacybescherming is 80 procent je gezonde verstand gebruiken.
ROTMAN: Hier zit iemand met een goed ontwikkeld gezond verstand
namelijk Marcel van der Haagen, FG bij Amsterdam UMC.
Marcel, leuk dat je er bent in deze podcast.
-Ook leuk hier te zijn.
ROTMAN: Privacy is niet iets van alleen de FG.
Privacy is ook niet iets van alleen maar het bestuur.
Privacy is van ons allemaal en voor ons allemaal.
Althans, zo zien wij het het liefst.
En waar wordt dat nou helderder dan in een ziekenhuis, denk ik dan?
Ik vind het ontzettend fijn dat je er bent. Op welke niveaus, op welke terreinen
speelt privacy allemaal een rol bij jullie op de werkvloer?
VAN DER HAAGEN: Ja, in een ziekenhuis daar...
Nou, een UMC, een universitair medisch centrum...
Ja, we hebben de gegevens van ongeveer 4,5 miljoen patiënten in het ziekenhuis.
Die moeten optimaal beschermd worden.
We hebben niet alleen met de privacywetgeving te maken
maar ook met het beroepsgeheim.
Maar ook in een UMC zoals Amsterdam UMC, daar werken zo'n 20.000 mensen.
ROTMAN: 20.000 mensen?
-20.000 mensen.
ROTMAN: Meer dan vier miljoen patiënten.
-Gegevens van patiënten.
Ze zijn niet allemaal op dit moment onder behandeling
maar we hebben de gegevens van zo'n 4,5 miljoen patiënten.
ROTMAN: Je noemt het al, beroepsgeheim. Dus privacy zit al in het vak van de arts.
Dat zit ingebakken. Je zegt: We hebben gegevens.
Dat staat op servers. Dat staat op computers.
Patiënten, dat zijn kwetsbare mensen die komen in die ziekenhuizen.
Privacy zit op een heleboel lagen en op een heleboel niveaus.
Je hebt dossiers, de patiëntendossiers. Het zit overal bij jullie, hè privacy?
VAN DER HAAGEN: Privacy zit overal en je noemde net de arts
waar beroepsgeheim op van toepassing is.
Maar in een ziekenhuis, in een universitair medisch centrum
is het beroepsgeheim op iedereen van toepassing.
ROTMAN: En als je het nou hebt over de momenten dat het fout gaat?
Want er zijn altijd incidenten. Waar 20.000 mensen werken, is af en toe gewoon gedoe.
Als het nou fout gaat, wat gaat er dan fout? Wat is dan een beetje de rode draad?
Is het onwetendheid? Is het slordigheid?
Wat gebeurt daar?
VAN DER HAAGEN: Je noemt de twee belangrijkste oorzaken.
Het is onwetendheid en onzorgvuldigheid.
We houden netjes alle privacy- en informatiebeveiligingsincidenten bij.
Daar maken we prachtige statistiekjes van.
Zo'n 70 procent, ja, 66 tot 70 procent om precies te zijn...
Dat zijn incidenten die te maken hebben met onwetendheid en onzorgvuldigheid.
ROTMAN: Gewoon slordigheid. En als je het nou hebt over awareness in het DNA...
Dat is altijd lekker, maar het klinkt ook een beetje als een containerbegrip.
Wat betekent het voor jou en voor jouw organisatie
dat die awareness voor privacy ook daadwerkelijk in dat DNA zit?
Wat is dat bij jullie en voor jou persoonlijk?
VAN DER HAAGEN: Bevorderen van awareness
is de allerbelangrijkste beheersmaatregel om de privacybescherming
en de informatiebeveiliging op orde te hebben in je organisatie.
En dan niet alleen bij leidinggevenden of bij de raad van bestuur
maar het moet bij iedereen op het netvlies staan.
Daar hebben we in Amsterdam UMC...
Ja, een fors aantal maatregelen treffen we daar
om te zorgen dat dat op peil blijft bij alle medewerkers.
ROTMAN: Tips en maatregelen gaan we 't over hebben.
Ik wil eerst een paar casussen. Hoe ziet het er dan in concreto uit?
Wat is jouw taakopvatting als FG?
Zie jij jezelf als 'n soort privacysheriff met de zweep erover
en iedereen past zich maar aan? Ben je meer een soort ambassadeur van de privacy?
Wat is jouw eigen taakopvatting daarbij?
-Dat is een hele goeie vraag.
In de wet staat eigenlijk dat de functionaris gegevensbescherming
vooral toezicht moet houden, dus dat is belangrijk. Dat is taak nummer één.
Twee: advies. Drie: zorgen voor awareness. Ja, bij mij is het eigenlijk net andersom.
Ik vind het zorgen dat die awareness op orde is in de organisatie
dat vind ik eigenlijk ook mijn allerbelangrijkste taak.
Er staat ook ergens in die richtlijnen van de Autoriteit Persoonsgegevens
dat je zichtbaar moet zijn.
Dat probeer ik ook vooral in de organisatie te bewerkstelligen.
Als ik door de organisatie loop en mensen zien mij,
dan associëren ze mij met privacybescherming en informatiebeveiliging.
Dat merk je ook, want dan maken de mensen een grapje over hun badge
of over papier wat op een tafel ligt waar privacygevoelige gegevens op staan.
Ik merk dat dat werkt. En ja, dat betekent dat ik rondloop.
Ja. Privacy bij walking around, hè.
-Privacy by walking around.
Dat vind ik een mooie. En wil je dat ze dan een beetje bang voor je zijn?
Of denk je: 'Nee, daar gaat het mij niet om. Ik ben geen politieagent.
Ik wil benaderbaar zijn.
Ik wil liever dat ze zich kwetsbaar opstellen en vragen aan me stellen
en toegeven dat ze misschien dingen niet zo goed weten
dan dat ze bang zijn dat Marcel een pets op m'n vingers geeft
omdat ik een papiertje met de verkeerde kant naar boven
op m'n bureau heb laten liggen.' Zoiets? Hoe zie jij jezelf dan?
VAN DER HAAGEN: Ik probeer 't vooral aantrekkelijk te maken.
Dus als mensen mij zien, denken ze niet: Daar is die boeman.
Mensen vinden het leuk als ik op afdelingen kom, mensen adviseer.
Ik probeer altijd een beetje de privacywetgeving en dergelijke
een beetje in de context te plaatsen van de geschiedenis, de democratie
als mensen dat aardig vinden om dat te horen ook natuurlijk.
Zo probeer ik het aantrekkelijk te maken. Mensen komen ook graag naar mij toe
en vinden het leuk om een advies aan mij te vragen.
ROTMAN: Je bent een benaderbare FG.
-Heel benaderbaar.
ROTMAN: Neem me mee naar het ziekenhuis.
Neem me even mee en geef eens wat voorbeelden van privacyzaken
waar je niet meteen aan denkt, maar dat je denkt:
'Maar dat is het ook bij ons.' Noem eens een voorbeeld.
VAN DER HAAGEN: Dat vind ik wel lastig, want we krijgen 1800 vragen per jaar.
En dat betreft eigenlijk de verwerking van alle persoonsgegevens.
Of het nou patiënten zijn of het zijn medewerkers of het zijn leveranciers
of het zijn cursisten of het zijn specialisten in opleiding.
Eigenlijk komt het op alle fronten, op alle afdelingen voor.
Dus een typisch voorbeeld vind ik nogal lastig als ik heel eerlijk ben.
ROTMAN: Nou, bijvoorbeeld bloedbuisjes, etiketten, dat is ook privacy.
VAN DER HAAGEN: Exact, exact. Ik denk dat je ook een beetje doelt op incidenten
die in Amsterdam UMC voorkomen
die verband houden met gebrek aan awareness.
Dan denk ik bijvoorbeeld een hele kleine. Bijvoorbeeld uit ons EPD.
Daar kan je verschillende soorten etiketten printen.
Nou, als je een brief naar een patiënt stuurt
kan je netjes een adresetiket printen en dat op de envelop plakken.
Maar er zijn ook etiketten die zijn bedoeld om op buisjes te plakken
of om op preparaten te plakken en dergelijke.
Ja, en daar staan meer gegevens op. Daar staat soms een BSN op.
Ik heb zelfs etiketten gezien met een BMI erop en met een bloeddruk
en met een hartslag en dergelijke. En heel soms worden die dan gebruikt
om op een envelop te plakken en op te sturen.
Dat wordt niet gewaardeerd door patiënten.
ROTMAN: Dus dan wordt er heel onbewust een beetje gestrooid met informatie.
Jongens, pas een beetje op.
VAN DER HAAGEN: Niet de bedoeling, slordigheid en geen controle zit er dan op.
Met dit soort verzendingen moet je natuurlijk je realiseren
dat je dat even goed moet controleren voor je dat in de bus stopt, in de brievenbus.
ROTMAN: En een ander voorbeeld. Dat gaat over onderhoudsmonteurs voor machines.
Dat zijn mensen die niet dagelijks in een ziekenhuis werken
of niet in jullie ziekenhuis.
Die voelen zich misschien minder betrokken dan de arts of het verpleegpersoneel
dat is mijn eigen aanname.
Maar hoe... die moeten natuurlijk voldoen aan de norm van Marcel, zal ik maar zeggen.
Het moet ook in dat DNA zitten.
-Ja, exact.
We hebben in Amsterdam UMC 40.000 tot 50.000 apparaten staan
waarin patiëntgegevens verwerkt worden.
Nou, zo ook hebben we natuurlijk prachtige apparaten
in de laboratoria om bloedbepalingen en dergelijke te doen.
Een incident wat zich ook voorgedaan heeft, is dat bij het updaten van software
van zo'n laboratoriumapparaat dat daar door een monteur
een externe monteur of een externe leverancier...
Die had tijdens de update een onbeveiligd stickje in het apparaat gestopt
en heeft per abuis een verkeerde opdracht gegeven.
En vervolgens stonden er op dat stickje
de uitslagen van laboratoriumbepalingen
dus microbiologie, dus heb je een infectie of niet?
Inclusief naam en toenaam kwamen op dat stickje te staan.
ROTMAN: Klassiekertje eigenlijk.
-Ja, da's een klassiekertje, ja.
Maar ja, normaal gesproken, zou je zeggen, komt dat stickje terug.
Maar wat gebeurde er nou? Deze meneer parkeerde z'n auto in Utrecht
en liet z'n laptop met het stickje in die tas in z'n auto achter
en vervolgens is dat gestolen. Ja, dan heb je helemaal geen controle meer
over die laboratoriumbepalingen waar naam en toenaam bij staat.
Dus dat is natuurlijk een heel pijnlijk...
ROTMAN: Jij als FG, dat komt jou ter ore.
-Exact.
ROTMAN: Want dit is een incident en dat hoort bij jou terecht te komen.
Wat gebeurt er dan bij jou? Flip jij dan?
Word je dan boos of... Wat voor proces...
-Je moet professioneel blijven.
ROTMAN: Wat voor proces komt er in gang?
VAN DER HAAGEN: In eerste instantie bij elk datalek...
We krijgen er pak 'm beet zo'n 250 per jaar gemeld bij ons.
Net ook weer hoorde ik er net een paar binnenkomen.
En ehm ja, dan wordt gekeken: Wat is de omvang?
Wat is de ernst? Ik schat eigenlijk in: Wat is de kans maal impact?
De kans dat het fout gaat. En wat is dan de impact?
Dat beoordelen we dan. En afhankelijk van de ernst wordt er al dan niet opgeschaald.
Dus in dit geval wordt er ook meteen een soortement van beheersteam ingesteld
om te zorgen dat het adequaat afgehandeld wordt.
En in dit geval moesten natuurlijk ook 2000 betrokken patiënten geïnformeerd worden.
Autoriteit Persoonsgegevens moest geïnformeerd worden.
Maar je moet ook zorgen in dit geval dat je daar ook transparant over bent
als organisatie, dus dan moeten de persberichten en dergelijke de deur uit.
ROTMAN: De communicatieafdeling zit daar niet op te wachten.
VAN DER HAAGEN: Jawel. We hebben daar een...
ook de communicatieafdeling staat op scherp als het ware
op het moment dat zich een ernstig datalek voordoet.
ROTMAN: Oké, dus dit is het al een beetje.
Dit is die awareness waar jij het over hebt.
Ook de communicatieafdeling moet meedoen.
Iedereen moet openstaan voor dit verhaal. Oké, leuk. Concrete tips.
Er zijn natuurlijk veel mensen die vanuit hun professie
met privacy bezig zijn, met dit soort dataproblemen
en: Hoe gaan we ermee om?
Ik hoor al aan alles dat jij natuurlijk dit in je hele organisatie erin wil duwen.
Wat zijn de concrete tips en maatregelen waarvan jij denkt:
Dat doen we op deze manier. Dat zou misschien voor andere organisaties...
Als je dit doet, is het goed om de privacydingen
in de awareness in het DNA van je hele organisatie te krijgen.
Wat zijn dan de belangrijkste tips?
VAN DER HAAGEN: Tips waar wij goeie ervaring mee hebben in Amsterdam UMC
is in eerste instantie dat alle mensen die in dienst zijn en in dienst komen
dat die e-learningmodules verplicht volgen.
En dat houdt in dat, ja, zodra je in dienst van Amsterdam UMC komt
krijg je ook een uitnodiging om een privacycursus te volgen.
Dan moet je een aantal vragen beantwoorden.
Als je die goed beantwoordt, krijg je een registratie van je competentie
in de personeelsadministratie. Dat is ontzettend belangrijk.
Eenmalig, da's natuurlijk onvoldoende.
Dus je moet iedere twee jaar dat herhalen, dus dan krijg je ook geautomatiseerd
een uitnodiging om die e-learning opnieuw te volgen.
Die e-learnings, die moeten wel afgestemd zijn op de verschillende groepen.
Want je voelt al wel aan dat mensen die in de zorg werken dat daar hele andere...
ROTMAN: Anders met privacy bezig zijn dan mensen bij de overheid.
VAN DER HAAGEN: Nee, wacht even. Ik wil zeggen:
Mensen die in de zorg werken, dus de zorgverleners zelf
daar zijn hele andere privacyrisico's dan bijvoorbeeld leidinggevenden.
Leidinggevenden stellen de middelen beschikbaar
en die moeten weten dat als zij een nieuwe verwerking willen starten
waar ze geld voor beschikbaar stellen
dat er een privacy impact assessment gedaan moet worden.
Dat het beveiligd moet worden op basis van zo'n BIV-classificatie.
Dus op die manier wordt 't...
En dat stafmedewerkers die vaak bezig zijn
met het plannen van OK's of poliklinieken of patiëntenstromen willen analyseren
ja, die gaan met miljoenen gegevens aan de gang.
Daar zijn weer andere risico's die 'n rol spelen.
ROTMAN: Ik hoor je. Dus je moet periodiek opgeleid worden.
De kennis moet bijgeschaafd worden.
Je zegt: op verschillende niveaus in de organisatie
verschillende soorten opleiding met verschillende aandachtspunten.
Zo kan je ook zeggen bij andere organisaties
waar weer hele andere thema's lopen ook weer ander soort...
Je moet 't bijwerken. Je moet aantekeningen maken in het competentieregister.
Als je het niet doet of niet goed genoeg misschien ook bepaalde privileges intrekken?
VAN DER HAAGEN: Ja, als je niet competent bent, worden je rechten ingetrokken
dus dan kan je feitelijk niet meer werken.
Het is eigenlijk precies hetzelfde als dat je een competentieaantekening moet hebben
in een ziekenhuis voor bijzondere handelingen als injecteren of wat dan ook.
Dat moet je ook bijscholen. Wat dat betreft, is het hetzelfde.
Je moet competent zijn op het gebied van privacybescherming en informatiebeveiliging.
Anders verlies je je rechten.
ROTMAN: Andere tip. Wees als FG zichtbaar.
Dat doe jij en ik voel me er senang bij. Zullen we die in de lijst opnemen?
Wees zichtbaar als FG.
-Ja, ben ik helemaal mee eens.
Niet in je kamertje de adviezen geven, maar naar de organisatie toe gaan.
Ze niet uitnodigen bij jou te komen, maar naar die mensen, naar de afdeling toe gaan.
En ik wil toch nog wel wat aanvullen als het gaat om die awareness.
Awareness is niet alleen dat mensen even een e-learningmodule doen.
Dat is echt onvoldoende.
Je moet zorgen dat het steeds terugkomt, dus wij zorgen ervoor dat...
Herhaling doet beklijven. Dat is een heel belangrijk aspect.
Ook als je bijvoorbeeld in dienst komt van Amsterdam UMC
krijg je een prachtige aanstellingsbrief met je contract erbij.
Maar er zit ook een brief bij
met hoe je je moet gedragen op het gebied van privacybescherming en informatie.
ROTMAN: Aan de voorkant bij nieuw personeel.
Meteen krijg je de thuis de brief, het begint meteen. Dan ben je er nog niet.
Als je dan op een gegeven moment binnen Amsterdam UMC komt
en je gaat je account ophalen, dan liggen er weer allemaal van die kaartjes.
Die krijg je mee met hoe je je moet gedragen
ten aanzien van privacybescherming en informatiebeveiliging.
Een ander punt is... nogmaals herhaling doet beklijven.
Je hebt het nu al twee keer gezegd, dus oké, dank je wel.
Je brengt 'm gelijk in de praktijk, heel goed.
VAN DER HAAGEN: Ik breng het meteen in de praktijk. Zo ook bijvoorbeeld...
Ja, ik zei net: 250 incidenten krijgen wij gemeld.
En ja, er worden altijd verbetermaatregelen getroffen.
Ook dat is niet voldoende.
Wij vragen ook altijd aan de afdeling... We eisen het eigenlijk, hè.
Als er een incident is op een afdeling
dan wordt het besproken in het eerstvolgende werkoverleg.
Anoniem, want het is vaak een fout.
Dan kan er anders gewezen worden in deze zaak.
ROTMAN: Deze lijkt mij essentieel als je het hebt over hoe krijg je awareness in je DNA.
Dus dat je dus ook niet alleen streng moet zijn.
Je moet niet alleen die opleiding doen
en 't moet niet alleen bij aanstelling erin gepompt worden,
je moet ook realistisch genoeg zijn om te realiseren:
er komen incidenten en als ze er zijn, moet je dat bespreekbaar maken.
Dus je moet een cultuur creëren
waar mensen zich veilig genoeg voelen om zich kwetsbaar op te stellen
om dat gesprek dus aan te gaan en dat dus ook gewoon te doen.
VAN DER HAAGEN: Ja, precies.
Zoals die incidenten is dan een typisch voorbeeld dat afdelingen daarover praten.
Je ziet ook soms dat incidenten binnen een afdeling
aanleiding is om de functionaris gegevensbescherming uit te nodigen
om nadere toelichting te geven over de wetgeving.
Want die leidinggevenden, die zijn natuurlijk uiteindelijk verantwoordelijk
dat er ook binnen hun afdeling conform wet- en regelgeving gehandeld wordt.
Dus die vinden het vaak ook nodig
om wat extra aandacht eraan te besteden op de afdeling.
ROTMAN: Nu ga ik op zoek naar waar dan de ruimte zit
want het kan ook niet de bedoeling zijn dat privacy het doel op zich is.
Het doel op zich in zo'n ziekenhuis is levens redden, mensen gezond maken.
Dus het is niet zo: privacy gered, patiënt overleden. Dat kan het ook niet zijn.
VAN DER HAAGEN: Dat willen we voorkomen.
Dat is ook het punt met die hele privacywetgeving.
En ook met het beroepsgeheim.
Het is min of meer zwart-wit, dus je moet het invullen in de praktijk.
Hebben ze ook adviezen, die moet je altijd geven
niet alleen maar vanuit het juridisch kader, maar juist ook vanuit het proces.
Ik vind het voor een FG van het grootste belang dat ie goed begrijpt
hoe een proces in elkaar zit in de organisatie waar ie werkt.
Precies zoals je zegt: in een ziekenhuis gaat het over leven en dood.
En je moet natuurlijk altijd zorgen dat er gewerkt kan worden
en dat op de spoedeisende hulp dat het natuurlijk zo is
dat de patiënt in eerste instantie geholpen wordt
en dat dat gebeurt binnen de kaders van de wetgeving.
Maar patiëntveiligheid en kwaliteit van zorg staat natuurlijk altijd voorop.
ROTMAN: Voilà, is dit ook waarom ik je aan het begin van deze podcast hoorde zeggen:
Privacy uiteindelijk is voor 80, 85 procent toch ook je gezonde verstand gebruiken?
VAN DER HAAGEN: Exact. Ik heb daar nauwelijks enige toelichting.
Het is natuurlijk ook zo: Als je met mensen praat
over privacybescherming en informatiebeveiliging in een ziekenhuis
dan realiseren ze zich dondersgoed dat als het hun eigen gegevens waren
dat ze willen dat daar zorgvuldig mee omgesprongen wordt.
ROTMAN: Marcel van der Haagen, FG bij Amsterdam UMC. Dank je wel.
Volgens mij is de informatie in dat ziekenhuis in goede handen bij je.
Dank je wel voor je mooie heldere verhaal.
Als je nou deze podcast leuk vindt en ook andere podcasts wil luisteren in de serie...
Marcel, misschien leuk. Kun je collega's horen over spannende thema's voor privacy.
Ga dan naar cip-overheid.nl/uitgelicht.
Marcel, dank je wel.
-Heel graag gedaan.