...

We steken ons licht op bij Peter Berghmans, DPO (Data Protection Officer) in de zorgsector. Hij merkt vaak dat artsen onvoldoende op de hoogte zijn. "Toen de GDPR in 2018 van kracht werd, waren er opleidingen en werden er standaarddocumenten verspreid. Maar sindsdien lijkt de aandacht wat verslapt, en sommige documenten voldoen niet meer aan de huidige interpretatie van de regels. In grote instellingen is er een DPO (Data Protection Officer) om alles op te volgen, maar voor een huisartsenpraktijk is het vaak niet haalbaar en strikt genomen ook niet nodig om zo'n specialist aan te stellen. In zo'n gevallen zit de arts dan wel zelf aan het stuur om de GDPR-regels correct na te leven. Maar dat dit geen eenvoudige materie is, toont het geval van dr. De Greef duidelijk aan. De basisregels van GDPR zouden daarom meer aan bod moeten komen in opleidingen en nascholingen." De GDPR verplicht iedereen die persoonsgegevens verwerkt om een aantal basisdocumenten op te stellen en bij te houden. Om te beginnen is dat een privacyverklaring. "De GDPR schrijft bijna woord voor woord voor wat er in zo'n privacyverklaring moet staan, waardoor die tekst juridisch en saai is. De patiënt heeft nood aan duidelijke en praktische informatie. Daarom zijn bijvoorbeeld posters of folders in de wachtzaal een goed idee. Ook het thema Patiëntenrechten kan op die manier aan bod komen." Een tweede document is de onderlinge regeling tussen artsen in een groepspraktijk die gegevens samen beheren en inkijken. Er moet een uniform beleid zijn over wie toegang heeft tot patiëntengegevens, hoe de patiënt zelf inspraak kan hebben, en hoe patiënten worden geholpen met vragen over hun dossier. Daarnaast moeten ook afspraken worden vastgelegd over het veilig werken met het huisartsenpakket, en de administratieve workflows zoals het afleveren van voorschriften en attesten. Als derde is er het register van verwerkingsactiviteiten. Het register moet duidelijk maken welke persoonsgegevens worden bijgehouden, hoe en hoe lang ze worden bewaard, en waarvoor ze worden gebruikt. In het medisch dossier bijvoorbeeld zijn dat gezondheidsgegevens, die bijgehouden worden omdat dat moet volgens de wet op de Patiëntenrechten. Hier bestaan typedocumenten voor, maar Peter Berghmans benadrukt dat deze aangepast moeten worden aan de realiteit. "In het geval van dr. De Greef had zij 'wetenschappelijk onderzoek' als doel overgenomen uit zo'n template. Bij de controle door de GBA moest zij toelichten wat dat onderzoek dan wel inhield, terwijl er helemaal geen onderzoek plaatsvond in haar praktijk." Huisartsenpraktijken gebruiken softwarepakketten van externe leveranciers voor onder meer het beheer van het patiëntendossier, maar ook voor afsprakenbeheer. Met elke leverancier is een verwerkersovereenkomst nodig, legt Peter Berghmans uit. "Artsen gaan er soms van uit dat de externe leverancier verantwoordelijk is voor de vertrouwelijkheid van de gegevens. Maar in de praktijk riskeert de arts bij een gegevenslek verantwoordelijk gesteld te worden als hij heeft nagelaten af te toetsen of de leverancier wel adequate veiligheidsmaatregelen heeft voorzien." Berghmans heeft weet van een incident waar een medewerker van een softwareleverancier medische gegevens had gestolen en patiënten probeerde af te persen. Bij een ander incident waren gegevens uit een afsprakensysteem zichtbaar voor derden. "Om zoiets te voorkomen kan de leverancier wel degelijk een aantal maatregelen nemen, zoals een goede screening bij aanwervingen, strikt toegangsbeheer maar ook een sanctiebeleid bij misbruik." Dat het voor artsen niet haalbaar is om een leverancier op dit punt te beoordelen, geeft Berghmans toe. "De overheid zou daar een grotere rol kunnen spelen, door minimale veiligheidsnormen op te leggen waarmee leveranciers hun software en processen kunnen laten certifiëren. Softwarepakketten voor artsen worden wel gehomologeerd, maar dat wil alleen zeggen dat ze alle nodige functionaliteit bieden. Ik denk dat de leveranciers zelf ook vragende partij zijn voor zo'n veiligheidscertificatie." Om de veiligheid van persoonsgegevens te verzekeren - en dat is toch een belangrijk doel van de GDPR - volstaat het natuurlijk niet documenten op te stellen. Een huisartsenpraktijk moet ook aandacht hebben voor goede ICT-praktijken. "Zoals we minstens een keer naar een arts te gaan om onze gezondheid en ons bloed te laten controleren, zou elke arts ook een keer per jaar de ICT-omgeving moeten laten screenen: zijn de pc's up-to-date, zijn de toegangsrechten correct ingesteld, werkt de antivirussoftware nog? Met leveranciers moeten afspraken worden gemaakt over de veiligheidsinstellingen en het onderhoud van hun software, inclusief periodieke controles om na te gaan dat het geheel veilig werkt", zegt Berghmans. Het is aangeraden om het back-upsysteem periodiek te testen. "Het gevaar van een hacker die inbreekt en data wist of onleesbaar maakt, is reëel. En dan is een goede back-up essentieel. Indien de back-up gebeurt op een schijf die direct gekoppeld is aan de pc die gehackt wordt, bestaat de kans dat de back-up ook onleesbaar is. Vraag daarom aan uw ICT-leverancier of de back-up wel afgescheiden is." Een goede ICT-policy voor alle medewerkers, zoals het veilig omgaan met wachtwoorden, zou standaard moeten zijn. "Er zijn nog te veel praktijken waar alle artsen hetzelfde wachtwoord delen. Daar kom je bij een GDPR-controle niet meer mee weg. Eigenlijk zijn wachtwoorden niet meer van deze tijd, en zouden ze beter vervangen worden door veiligere toegangscontrole zoals itsme. Leveranciers willen dat eigen- lijk graag opleggen, maar botsen op weerstand bij artsen", weet Peter Berghmans. Een ander onderdeel van zo'n ICT-policy is een doordacht systeem van rollen van gebruikers binnen de toepassing. Niet elke arts of medewerker heeft nood aan dezelfde toegang. Zo kan de beheerdersrol best niet aan alle gebruikers worden toegekend, maar enkel aan zij die echt instaan voor het beheer van de toepassing. "Bij toegang moet je trouwens niet alleen nadenken over wie toegang heeft tot welke functies binnen de toepassing, maar ook tot welke patiënten dergelijke toegang nodig is. Zo is het niet logisch dat je toegang neemt tot dossiers van patiënten die niet meer in behandeling zijn, ook al heb je de plicht die dossiers langere tijd te bewaren." Voor afsprakensystemen zou itsme een veiliger oplossing zijn dan de patient een wachtwoord te laten gebruiken, maar dat heeft ook nadelen, zegt Berghmans. "Het wordt dan moeilijker om een afspraak te maken, en we sluiten een deel van de populatie uit die niet vertrouwd is met deze methode." Gegevens delen met patiënten dient langs veilige kanalen te gebeuren. "E-mail, zelfs op vraag van de patiënt, is geen aanbevolen communicatiekanaal", zegt Peter Berghmans. "Wanneer je een bijlage toevoegt aan een mail, verlies je alle controle en kan je niet beletten dat die wordt onderschept." Bij chatapps zoals Whatsapp is de inhoud wel beveiligd, maar vormen 'metadata' (zoals wie met wie chat, hoe vaak en hoe lang) wel een privacyrisico. Berghmans raadt daarom digitale platformen aan zoals Vitalink of CoZo, of commerciële platformen zoals Helena. Voor communicatie tussen zorgprofessionals onderling is de eHealthBox een veilig kanaal. Artsenpraktijken met een website moeten ook daar alert zijn voor gegevenslekken, en de website dient ook een privacyverklaring te bevatten. "Let zeker op voor het gebruik van cookies en andere technologieën die het mogelijk maken de gebruiker te 'tracken'. Met name plug-ins van sociale media zoals Facebook zijn problematisch. Iemand die twee of drie websites van oncologen bezoekt, kan via die plug-ins geïdentificeerd worden als potentieel kankerpatiënt, en zou dan berichten of advertenties over kanker te zien kunnen krijgen, wat natuurlijk erg confronterend is." Als het ondanks alle maatregelen toch fout zou gaan, moet de arts volgens de GDPR aangifte doen en de betrokkene(n) verwittigen. Ook de procedure die daarbij gevolgd wordt, moet gedocumenteerd worden. "Dat komt onnatuurlijk over: het is alsof je door een rood licht rijdt en dan aan de kant moet gaan staan om zelf de politie te bellen. Er is vaak schroom en schaamte om aangifte te doen, maar het is een heel slecht idee om een incident stil te willen houden", zegt Peter Berghmans.