Vorige week kwam in het nieuws dat Jeugdzorg Utrecht zijn oude domeinnaam had laten verlopen en dat daardoor zorgdossiers terechtgekomen waren bij mensen die daar niets mee te maken hebben. Het goede van deze zaak is dat veel mensen zich nu realiseren waar privacy in de zorg over gaat: deze gegevens in verkeerde handen kan levens van kwetsbare jongeren, en de mensen om hen heen, kapot maken.

Als fout wordt gezien dat Samen Veilig de domeinnaam niet meer had geregistreerd. Dat is inderdaad oerstom. Maar ik zie zo veel meer wat hier mis is. Waarom heeft een zorginstelling in vredesnaam zijn processen zo ingericht dat in een half jaar, de tijd dat de klokkenluiders de mailbox in beheer hadden, ruim 3.200 dossiers via mail verstuurd werden? Een zorginstelling legt, normaal gesproken, gegevens vast in een elektronisch patiënten- of cliëntendossier (EPD/ECD).

Een centraal systeem waaromheen je beheersing kunt inrichten. Je kunt regelen wie welke delen van dossiers mag inzien of muteren. Dat dat nog moeilijk genoeg is, zie ik dagelijks bij zorginstellingen. Je kunt zo’n centraal EPD/ECD beveiligen tegen nieuwsgierigen of mensen met kwade bedoelingen van binnen of buiten de organisatie. Je kunt zorgen dat je bewaartermijnen handhaaft. Dat er een reservesysteem beschikbaar is op het moment dat het primaire systeem uitvalt. Je kunt erop toezien dat je vastlegt wat nodig en toegestaan is - en niet meer dan dat.

Vooral kun je zorgen dat zorgverleners de juiste, volledige en actuele informatie op het juiste moment op de juiste plaats beschikbaar hebben. Want laten we vooral niet vergeten dat informatie onmisbaar is voor het verlenen van goede zorg. 

Die informatieverwerking moet je wel zorgvuldig doen. Mailboxen bevatten bergen met ongestructureerde informatie. Alles wat er mis kan gaan, zowel technisch als door menselijke vergissingen, maakt dat mail een van de grootste bronnen van datalekken is. Dit blijkt ook uit de cijfers over datalekken van de Autoriteit Persoonsgegevens. Dus Samen Veilig, hoe kan het dat in 2019 nog mails gestuurd worden naar e-mailadressen die, als ik het goed begrijp, sinds 2015 niet meer gebruikt worden? Hoezo dit ongericht strooien met dossiers?

...Het gaat om de bestuursagenda. En dus beste bestuurders, directeuren, MT-leden én toezichthouders van zorginstellingen, is de vraag: heeft u dit onderwerp op de agenda staan? Wie is er volgens u verantwoordelijk dat uw zorginstelling voldoet aan de AVG? Wat heeft u gedaan om u te verdiepen in de risico’s en verplichtingen die er zijn op dit gebied? Wat heeft u gedaan om op de hoogte te zijn in hoeverre bij u de zaken geregeld zijn? Hoe faciliteert u de organisatie? Hoe vaak stelt ú de vraag, die bij bijna alles wat uw bestuurstafel passeert relevant is? Maar hoe zit het met de privacy en informatiebeveiliging?

Alles bij de bron; Volkskrant