Anders omgaan met medische gegevens

Wendbaar organiseren

De AVG bestond op 25 mei 2020 alweer twee jaar. Een mooi moment om te reflecteren op de impact van deze wetgeving op (lopende) opdrachten. Negatief in het nieuws komen omdat medische persoonsgegevens gelekt zijn, is immers een nachtmerrie voor elke (zorg)organisatie. Ook al bestaat de AVG ondertussen alweer bijna twee jaar, toch haalt berichtgeving over datalekken in (zorggerelateerde) organisaties nog met enige regelmaat de krantenkoppen.

Menselijk gedrag zorgt voor hoger risico

Eén verklaring hiervoor is dat 80% van de AVG-fouten (of fouten met privacygevoelige informatie) wordt veroorzaakt door menselijk gedrag. Je kunt dan als organisatie nog zoveel tijd en middelen steken in het AVG-proof maken van je systemen, als er op gedragsgebied weinig verandert, dan blijven de risico’s groot.

Denk bijvoorbeeld aan medewerkers die persoonsgegevens via de email delen en per ongeluk de verkeerde afzender selecteren. Je kunt de ontvanger vragen deze mail te verwijderen, maar bent dan afhankelijk van de ontvanger wat er met de gegevens gebeurt.
Daarnaast is het verzenden via een gewone (onbeveiligde) mailbox niet zonder risico, zeker niet als het om medische gegevens gaat. Google heeft bijvoorbeeld toegang tot de informatie in jouw emailberichten. Zowel de berichten die jij verzendt als ontvangt.

Fouten binnen privacygevoelige gegevens

Veranderende houding vraagt om gedragsverandering

We zien dat het aantal meldingen van datalekken steeds meer toeneemt. Toch zijn werknemers in de loop der jaren niet méér fouten gaan maken, maar privacyvraagstukken liggen de afgelopen jaren nou eenmaal onder een vergrootglas.

Weetje:
de Autoriteit Persoonsgegevens kreeg in 2016 5.849 meldingen binnen over datalekken, in 2017 10.009 en in 2018 maar liefst 20.881

Een veranderende houding van autoriteiten en de rest van de samenleving vraagt dan ook om een andere manier van werken. Bovendien onderschatten veel organisaties de menselijke component bij het omgaan met privacygegevens.

De menselijke component: anders omgaan met medische gegevens in vijf stappen

In deze casestudy neemt onze consultant Susan Boonman jullie mee in hoe zij bij een zorggerelateerde organisatie een gedragsverandering heeft gerealiseerd in de omgang met medische gegevens. De aanpak van Susan kan grofweg in een aantal onderdelen uiteengezet worden. Zo onderscheiden we de volgende vijf stappen bij deze organisatie die graag wilde veranderen, maar daar wel wat hulp bij kon gebruiken. Stappen die overigens in de praktijk vaak wat meer door elkaar heen lopen dan dat het plan op papier suggereert.

Stap 1: Breng de gewenste (gedrags)veranderingen in kaart

Om een echte verandering te realiseren, zijn we gestart met het in kaart brengen van de huidige situatie en het bepalen van de uiteindelijke doelsituatie. Medewerkers die binnen deze organisatie met medische gegevens werken zijn geïdentificeerd en hun werkproces is inzichtelijk gemaakt. Zo voerden we gesprekken met medische professionals, administratieve medewerkers, leidinggevenden, de afdeling risk & compliance, juridische zaken en ICT.

Hieruit bleek dat op verschillende vlakken aanpassingen gewenst waren. Zoals bijvoorbeeld organisatorische veranderingen en aanpassingen op het gebied van ICT, maar ook andere gedragingen van de medewerkers zelf. De belangrijkste uitkomsten waren als volgt:

  • Maak regels explicieter
    Zowel leidinggevenden als professionals die medewerkers begeleiden bij het werken met medische gegevens, hadden behoefte aan duidelijkere richtlijnen. Vanzelfsprekend hadden zij zelf ideeën hoe ze moeten handelen, maar vaak was het nog te vaag en abstract geformuleerd. Of zoals iemand zei: ‘Voor juristen mag het misschien duidelijk zijn waar een grens ligt, voor medewerkers is dit niet altijd zo.’
  • Zorg voor voldoende kennis
    Bij diverse mensen bleek dat het kennisniveau wel een opfrisbeurt kon gebruiken. Bijvoorbeeld over het gebruik van verschillende soorten gegevens en hoe je dit ook op een andere manier kunt doen.
  • Zorg voor voldoende ondersteuning
    Daarnaast had de organisatie behoefte aan diverse ondersteunende maatregelen op organisatorisch en technisch gebied. Dit zien we terug in stap 3.

Stap 2: Zoek afstemming met directieleden, managementteams en teamleiders

Om de gewenste veranderingen door te voeren is eerst een pilot opgezet voor één afdeling. In de pilot hebben we bepaalde werkprocessen veranderd. We keken bijvoorbeeld hoe mensen samenwerken en op welke manier ze dan (medische) informatie delen. Vervolgens keken we samen met deze medewerkers hoe dit slimmer of beter kon en hoe we dat konden doorvoeren voor de hele afdeling.

Toen dit het gewenste effect bleek te hebben, zijn de voorgenomen veranderingen voorgelegd aan de directie. Tot slot werd dit toegelicht aan de managers en teamleiders. Op deze manier werd de hele organisatie meegenomen in het veranderingstraject.

Stap 3: Richt ondersteunende maatregelen in op organisatorisch en technisch gebied

Om de gewenste gedragsveranderingen te bewerkstelligen, was ook verandering op organisatorisch en ICT-niveau nodig. Bijvoorbeeld op het gebied van autorisaties, maar ook een aangescherpte wijze van organiseren en aansturen. Zo hebben we bijvoorbeeld via een sharepointpagina inzichtelijk gemaakt wie binnen de organisatie welke informatie met elkaar mag delen. En dat wordt gewaardeerd. ‘Je kunt nu een collega opzoeken en zien of deze toegang mag hebben tot bepaalde informatie. Handig, want zo weet je gelijk of je iets met iemand mag bespreken of niet.’

Deze veranderingen zijn eerst doorgevoerd, omdat we pas nieuw gedrag kunnen stimuleren en verwachten als we medewerkers voorzien van nieuwe tools en technieken.

Stap 4: Ontwikkel materiaal voor en in samenwerking met medewerkers

Om het iedereen zo makkelijk mogelijk te maken, hebben we voor verschillende doelgroepen verschillende soorten materialen ontwikkeld.

  • Toolkit voor leidinggevenden
    Voor leidinggevenden maakten we een toolkit. Hierin vinden zij terug wat hun verantwoordelijkheden zijn als leidinggevende en welke kennis er bij hun medewerkers aanwezig moet zijn. De voorbeelden uit de toolkit zijn op de afdeling van de leidinggevende afgestemd, zodat zij deze in hun werkoverleggen konden doornemen.
  • Handleiding voor medische professionals
    De medische professionals kregen een handleiding waarin staat welke activiteiten zij kunnen ondernemen. Deze activiteiten hebben we gebaseerd op wettelijke voorschriften en per voorschrift zijn vervolgens een aantal taken gedefinieerd. Het is belangrijk om dit zo concreet mogelijk te maken. Bijvoorbeeld: voer een kennismakingsgesprek met medewerkers die nieuw in dienst komen en heb dan aandacht voor onderwerp x, y & z.
  • Overzichtelijke folder voor medewerkers
    Voor medewerkers maakten we een overzichtelijke folder met alle relevante kennis over privacy en persoonsgegevens. Handig, want zo kun je tijdens jouw werkzaamheden altijd even controleren wat de regels ook alweer zijn. Na de vakantie kunnen deze zomaar wat verder weggezakt zijn tenslotte. Wat er in zo’n folder staat? Bijvoorbeeld wat geanonimiseerde gegevens zijn en wat dat betekent voor het gebruik. Of welke communicatiekanalen geschikt zijn, zoals chat, email of post. Klik op de volgende afbeelding om in te zoomen.


Ook gaan we in op hoe gegevens bewaard moeten worden. Tot slot beschrijven we bij wie je terecht kunt bij vragen en wat je moet doen als je toch een datalek vermoedt.  Klik op de volgende  afbeelding  om  in  te  zoomen.

Stap 5: Laat teams of afdelingen één voor één over gaan

In deze casus zijn er ook in het werkproces wijzigingen aangebracht. In gesprekken met individuele teamleiders hebben we de taken en processen van hun team onder de loep genomen en gekeken wat we konden optimaliseren. Afdelingen met de teams die daaronder vielen zijn één voor één over gegaan naar de nieuwe situatie. Hierdoor kunnen eerder overgestapte teams de andere teams inspireren. Bovendien konden we wanneer nodig nog bijsturen.

Privacy nog niet altijd top of mind bij Nederlanders

Dat deze organisatie hulp nodig had bij het anders omgaan met privacygevoelige gegevens is niet raar. Want dat veilig (thuis)werken niet altijd even makkelijk is, zien we duidelijk terug nu opeens het overgrote deel van Nederland vanuit hun digitale thuiskantoor werkt. Mensen moesten snel omschakelen en maken gebruik van diensten zoals Zoom.

Helaas zijn ze zich er niet altijd van bewust dat zulke diensten niet veilig zijn voor het voeren van gevoelige gesprekken en daarmee het bespreken van bijvoorbeeld persoonsgegevens. Zo slaat Zoom een hoop data op over gebruikers van het product, zoals gegevens over je computer en wat daarop staat. Ook worden presentaties die worden gedeeld tijdens het gesprek opgeslagen. Maar zolang mensen dit niet weten of zich realiseren dat dit anders moet, zullen zij niet veranderen.

Menselijk aspect bij omgang AVG

Help, een datalek mag ons nooit overkomen!

Als werknemers verkeerd om blijven gaan met persoonsgegevens dan blijft een datalek op de loer liggen. Daarom is het essentieel dat niet alleen systemen onder de AVG-loep worden gelegd, maar is ook het gedrag van werknemers een voortdurend aandachtspunt. Het in het nieuws komen van datalekken bij andere organisaties kan hierbij als trigger gebruikt worden. Wanneer de hele organisatie zegt: wij willen niet dat dit ons overkomt, heb je een goed uitgangspunt om het gedrag van mensen blijvend te veranderen.

De organisatie uit deze casestudy heeft in ieder geval de juiste weg ingeslagen. Nu de juiste mindset aanwezig is, is de kans op fouten met privacygevoelige gegevens een stuk lager geworden.

Susan Boonman

Consultant

+31(0)30 7670350

Over Susan Boonman

Susan Boonman is consultant bij Mobilee. Ze heeft ruime ervaring op het gebied van project portfoliomanagement, verandermanagement en klantreizen.

Op de hoogte blijven van onze projecten?

Meld je aan