Dat organisaties in de zorgsector over gevoelige gegevens beschikken is een no-brainer. En dat de Algemene Verordening Persoonsgegevens (AVG, of in het Engels GDPR) strenge eisen stelt aan het gebruik en de beveiliging van die gegevens zal ook geen verrassing zijn. Toch worstelen veel zorgbedrijven nog met de implementatie van processen om veilig met gegevens om te gaan. Wat ligt hieraan ten grondslag?
Een van de redenen is dat zorginstanties te maken hebben met een complexere situatie dan in veel andere branches. Dit, vanwege de grote verscheidenheid aan processen en diverse afdelingen met eigen werkwijzen en organisatie. Zorginstanties beschikken bovendien over veel bijzondere persoonsgegevens. Denk daarbij aan medische dossiers, waar de AVG nog strengere eisen aan stelt dan aan normale persoonsgegevens.
Ingewikkelde praktijksituaties
Daar komt nog eens bij dat niet de zorgbedrijven, maar patiënten en cliënten zelf eigenaar blijven van hun gegevens. En dat zij specifiek toestemming moeten geven wie hun dossier mag inzien. Hoewel het op papier nog redelijk eenvoudig in elkaar zit – een patiënt kan bijvoorbeeld zijn behandeld arts en chirurg toegang geven tot zijn dossier en anderen uitsluiten – ligt dat in de praktijk toch een stuk lastiger.
In het geval van een levensbedreigende situatie moet een andere arts of verpleegkundige toch bij het dossier kunnen. Daardoor is het niet mogelijk om, zoals in veel andere branches, de toegang tot een dossier te beperken op basis van iemands gebruikersrechten. Om het nog ingewikkelder te maken, zou een arts in Groningen in een noodgeval eigenlijk ook toegang moeten krijgen tot het dossier van een patiënt in Maastricht. Indien die patiënt daar een ongeluk krijgt.
Vertrouwen in plaats van vertrouwelijkheid
Vanuit beveiligingsoogpunt is het wenselijk de toegang tot gegevens te beperken. Maar vanuit zorgperspectief is het belangrijk zoveel mogelijk te delen. Bij het beschikbaar stellen van gegevens in de zorg zal de focus minder op vertrouwelijkheid en meer op vertrouwen moeten liggen. In de praktijk betekent dit dat medisch personeel toegang dient te krijgen tot dossiers, maar dat het mogelijk moet zijn om te monitoren wie welke gegevens bekijkt.
Die aanpak leidt echter weer tot een andere vraag: wie wordt er verantwoordelijk voor het medisch personeel dat toegang krijgt? Om dossiers over verschillende regio’s te delen is het Landelijk Schakelpunt (LSP) in het leven geroepen. Alle instellingen aansluiten op dit netwerk is echter nog geen oplossing. De benodigde patiënt- of cliëntdossiers blijven dan opgeslagen in de database van de behandelend zorgverlener zelf, waarbij andere partijen alleen met specifieke toestemming van de patiënt toegang krijgen tot de dossiers. Daardoor biedt het LSP niet in alle gevallen een oplossing.
Processen aanpassen aan technologie
De zorg in Nederland kan een voorbeeld nemen aan haar Belgische collega’s. Daar werken alle ziekenhuizen vanuit één centrale hub. Door die manier van werken wordt het eenvoudiger om in een noodgeval toegang te krijgen tot de juiste gegevens. Maar ook om te monitoren wie gegevens opvraagt. En om erop toe te zien dat een arts in Utrecht geen misbruik maakt van zijn bevoegdheid om gegevens in te zien van patiënt in een ziekenhuis in Amsterdam.
De belangrijkste reden dat de zorgsector worstelt met het opstellen van een werkbaar proces, is dat we in Nederland nog teveel zoeken naar een oplossing die aansluit bij de huidige situatie. Beter is het om die werkwijze om te draaien. Pas de processen aan, aan de bestaande technologie. Er zijn namelijk al genoeg technologieën die een antwoord bieden op de uitdaging om informatie met elkaar uit te wisselen. Dit, op basis van vertrouwen en controle achteraf.
Wiel niet opnieuw uitvinden
Kiezen voor bestaande technologie bespoedigt de oplossing. Het helpt daarnaast ook besparen op ontwikkelkosten en de zorg betaalbaar houden. Bij de bestaande technologie zijn er bovendien al standaardprotocollen. Die helpen zorgverleners om beter samen te werken. En bieden een oplossing voor veel van de huidige onwerkbare situaties. Daar komt nog eens bij dat bestaande technologieën veelal zijn ontwikkeld door specialisten en door de bank genomen veiliger zijn dan een systeem dat zorginstellingen zelf bedenken.
Natuurlijk is het goed dat zorginstellingen nadenken over de mogelijkheden en gevaren van de digitale wereld. En dat er initiatieven zijn als Zorg 2020. Juist daarom is het nu tijd om concrete stappen te zetten en keuzes te maken op het gebied van technologie en mogelijkheden tot samenwerking. Laten we daarbij gebruik maken van de effectieve en veilige mogelijkheden die er al zijn, en niet proberen het wiel opnieuw uit te vinden.
Eric IJpelaar, Manager Operations Traxion Security Services bij Traxion
