Fred Bloem

CFO Infomedics

Fred Bloem, CFO Infomedics, vergelijkt het met een orkaan. “We zien hem al een tijdje aankomen en bevinden ons inmiddels in het oog van de orkaan. Geen enkele zorgaanbieder kan dit negeren.”

De nieuwe privacywetgeving stelt hogere eisen aan de beveiliging van persoonsgegevens. Iedere organisatie die persoonsgegevens verwerkt moet eraan voldoen. Zowel grote zorginstellingen als kleine tandarts- of fysiotherapiepraktijken zullen passende maatregelen moeten nemen.

Bloem: “In het oog van de orkaan moet je in ieder geval aan een aantal wettelijke verplichtingen voldoen. Zo moet je een systeem hebben dat datalekken meldt en zorgaanbieders en andere gegevensverwerkende organisaties moeten zich registreren bij de Autoriteit Persoonsgegevens. Vervolgens kijken we vanuit het hart naar de vier windrichtingen, te beginnen bij de noordelijke; die staat voor het inregelen van privacy in de IT-systemen.

Beveiligd

Denk aan beveiligde portalen voor communicatie met zorgaanbieders en patiënten. Draaien we door naar de oostelijk kant dan zien we daar mensen, gedrag en discipline. Belangrijke aandachtspunten, want meer dan negentig procent van de datalekken en beveiligingsincidenten wordt veroorzaakt door menselijk falen. Kijken we in zuidelijke richting, dan zien we procedures en werkwijzen. Je kan van alles inregelen en afspreken, maar je zult het ook in procedures moeten verankeren.

Meer dan negentig procent van de datalekken en beveiligingsincidenten wordt veroorzaakt door menselijk falen
 

Zo dien je dataminimalisatie toe te passen in omvang van te verwerken persoonsgegevens (zo min mogelijk) en duur van verwerking (niet langer dan nodig is). Opnames van telefoongesprekken met patiënten, ten behoeve van de coaching van onze medewerkers, worden daarom binnen een korte termijn vernietigd. De laatste windrichting, de westelijke, is die van de samenwerkingspartners. Je hebt vaak leveranciers nodig om je bedrijfsdoel te verwezenlijken.

Het is daarbij belangrijk dat je alleen zaken doet met partners die privacy serieus nemen en aan de door jou gestelde eisen kunnen voldoen, anders kun je daar geen zaken mee doen. Wij eisen bijvoorbeeld ISO27001-certificering van alle leveranciers die persoonsgegevens in opdracht van ons verwerken.”

Veel comfortabeler

Binnen Infomedics is het thema privacy al jaren diep doorgedrongen in de organisatie en zijn uitgebreide beveiligingsmaatregelen getroffen, echter niet alleen omdat de nieuwe wet het voorschrijft. “Werken aan privacy zou vanuit een intrinsieke motivatie moeten komen.

We doen het omdat we belang hechten aan de privacy van onze klanten (de zorgaanbieders) en hun patiënten”, aldus Bloem, die tevens benadrukt dat het vooral een kwestie van cultuur is. “De hele organisatie moet mee-veranderen en privacybewust worden. Bij ons is dat gelukt, maar het heeft veel tijd en energie gekost. Maar ik kan wel zeggen dat ik me nu veel comfortabeler voel dan vijf jaar geleden