Terug

De Klinisch Informaticus als Functionaris Gegevensbescherming
Lauren Pollinger

05 maart 2020

(Laatst aangepast: 08-03-2020)

De Klinisch Informaticus als Functionaris Gegevensbescherming

Dit jaar bestaat de opleiding tot klinisch informaticus 10 jaar. Dat betekent dat er inmiddels ook al een behoorlijk aantal klinisch informatici actief is in het veld. De klinisch informaticus acteert altijd op het snijvlak van zorg, IT en management. Maar met zo’n veelomvattend vakgebied betekent dit ook dat de klinisch informaticus heel veel verschillende rollen aan kan nemen. Het varieert van adviseur, tot projectleider en manager. Vandaag licht klinisch informaticus Lauren Pollinger (opgeleid in 2016 – 2018) haar rol als Functionaris Gegevensbescherming (FG) toe. Lauren is werkzaam in het Franciscus Gasthuis & Vlietland in Rotterdam/Schiedam en werkt voor de Raad van Bestuur.

Verplichte rol

De Functionaris Gegevensbescherming in een ziekenhuis houdt toezicht op de toepassing van de Algemene Verordening Gegevensbescherming (AVG). De AVG, ook wel bekend als GDPR (European General Data Protection Act) is van kracht sinds 25 mei 2018 en zorgt o.a. voor de versterking en uitbreiding van privacy rechten voor individuen en strenger toezicht op het verwerken van persoonsgegevens. Op grond van artikel 37 van de AVG is de functie FG in een ziekenhuis verplicht omdat het een publieke organisatie is en er bijzondere persoonsgegevens verwerkt worden, zoals bijvoorbeeld medische gegevens. 

 

Op het eerste gezicht lijkt het verband tussen de opleiding tot klinisch informaticus en de rol als FG misschien niet erg groot. Maar het tegendeel is waar. De AVG is relatief nieuwe wetgeving waarbij je veel uitdagingen hebt op zowel juridisch vlak als op het gebied van dataverzameling en –bescherming. Doordat er binnen het ziekenhuis steeds meer processen tussen zorgprofessionals, patiënten en derden gedigitaliseerd worden werk je als FG letterlijk en figuurlijk in elke hoek van het ziekenhuis. In eerdere functies bij Informatie, Communicatie en Medische Technologie (ICMT) in het Franciscus Gasthuis & Vlietland en daarvoor bij het Centrum Indicatiestelling Zorg (CIZ) heb ik ook al ervaring opgedaan met implementatie van wetgeving in de (chronische) zorg en heb ik van dichtbij de samenhang ervaren. 

 

De kerntaak van een Functionaris Gegevensbescherming is het toezicht houden op de uitvoering van de AVG voor de hele organisatie (in totaal zes locaties). Meer specifiek houdt dit in:

  • Het formuleren van privacy-beleid; 
  • Het borgen van de rechten van betrokkenen: zowel van patiënten als van medewerkers; 
  • Het bijhouden van het verwerkingsregister & verwerkersovereenkomsten;
  • Het uitvoeren van Data Protection Impact assessments (DPIA) en het toetsen van privacy by design & default bij nieuwe investeringen en projecten; 
  • Het melden van datalekken aan de toezichthouder, de Autoriteit Persoonsgegevens (AP);
  • Het inrichten van een toestemmingsproces voor patiënten bij het ter beschikking stellen van hun medisch dossier; 
  • Toezicht houden op de autorisaties voor medewerkers en het correct gebruik daarvan binnen het ziekenhuis (fysieke toegang en computersystemen).

Datalekken

Ziekenhuizen zijn verantwoordelijk voor de meeste datalekken van alle sectoren in Nederland. De FG is verantwoordelijk voor het melden van een lek aan de AP. In nauwe samenwerking met de betrokkenen onderzoekt een FG de oorzaak van een datalek. Waar nodig licht de FG de patiënten in over welke gegevens zijn gelekt. Vanzelfsprekend is het doel om datalekken te voorkomen, maar na een lek volgt er vaak specifiek advies of aangepast beleid om vergelijkbare datalekken in de toekomst te voorkomen.

Privacy by Design

“Privacy by Design” heeft als effect dat de FG automatisch wordt betrokken bij alle innovaties en vernieuwingen binnen de organisatie. Het uitvoeren van een DPIA geeft inzicht in de mogelijke risico’s van het uitwisselen van gegevens, het verplaatsen van lokaal opgeslagen gegevens naar een Clouddienst of het hergebruik van gegevens voor nieuwe doelen. 

 

Tijdens de opleiding tot klinisch informaticus word je voortdurend getraind in het gebruik van het  interoperabiliteitsmodel. Als FG ben je vooral bezig met de interpretatie van wetgeving, het formulieren van beleid en het beïnvloeden of aanpassen van zorgprocessen zodat deze conform de AVG verlopen. Bij het merendeel van de uitwisselingssystemen die wij in Nederland gebruiken, bijvoorbeeld XDS of Chipsoft Zorgplatform, is het beschikbaar stellen van gegevens aan de orde.

Het interoperabiliteitsmodel

Toestemming als toegangspoort tot interoperabiliteit

Om gegevens uit te mogen wisselen met andere zorgverleners is de toestemming van een patiënt nodig. In de AVG is vastgelegd dat je pas patiëntgegevens uit mag wisselen als je toestemming hebt gevraagd aan patiënten en dit ook is vastgelegd. De toestemming moet ook technisch verankerd zijn in de applicaties en onderliggende techniek. Als dit niet is geborgd dan zal het toestemmingsmechanisme in de praktijk niet effectief zijn. De technische kennis van de klinisch informaticus is hier van grote waarde.

Artificial Intelligence

Franciscus Gasthuis & Vlietland is momenteel bezig met het implementeren van een Artificial Intelligence (AI) oplossing om één vakgroep te ondersteunen bij het beoordelen van CT-scans. Dit is een complexe taak voor een FG, zowel op juridisch als technisch gebied. De leverancier komt van buiten de Europese Unie, dus controle op de afscherming van de gegevens is van groot belang. Dat betekent dat er ook technische maatregelen genomen moeten worden om gegevens volledig te anonimiseren, middels het strippen van persoonsgegevens in de DICOM header, zodat de leverancier op geen enkele wijze persoonsgegevens kan herleiden tot één individu. Een mooi voorbeeld van privacy by design en dataminimalisatie.  

Dataminimalisatie

Dataminimalisatie is het principe dat je precies de juiste hoeveelheid data voor een noodzakelijke taak tot je beschikking hebt. Dus bij een overzicht of bij toegang tot een systeem dien je uitsluitend inzage te hebben in datgene dat noodzakelijk is voor jouw werk. Niet meer en niet minder. Als FG geef je advies op allerlei verschillende niveaus en aan diverse stakeholders. Denk aan hoeveel informatie er echt nodig is over (namen van) patiënten op een whiteboard op een verpleegkundige afdeling of het stellen van vragen aan leveranciers. Dit kan gaan over de noodzaak van het gebruiken van bepaalde datavelden in applicaties, maar ook over het minimaliseren van het aantal gegevens dat uitgewisseld wordt tussen applicaties. Daarnaast dienen business intelligence en wetenschap goed op de hoogte te zijn over hoe om te gaan met het minimaliseren van data. Het maakt echt niet uit of dit over een elektronisch patiëntendossier gaat, over een wetenschappelijk onderzoek of over een business intelligence rapportage. Waar mogelijk is het strippen van persoonsgegevens noodzakelijk om te voorkomen dat overzichten of geaggregeerde gegevens op enige wijze tot een persoon te herleiden zijn. 

Kennis van zorgprocessen

Bewustzijn vergroten bij iedereen die in het ziekenhuis werkt, is wellicht een van de leukste en zeker ook belangrijkste taken die ik als FG heb. Iedere medewerker in het ziekenhuis kan bijdragen aan het borgen van de AVG. Het maakt niet uit of je lid bent van de Raad van Bestuur, medisch specialist bent of werkzaam op de postkamer. Eenieders gedrag kan van grote invloed zijn op het wel of niet voldoen aan de eisen die de AVG stelt aan een ziekenhuis. Die keten van veiligheid en privacy is uiteindelijk zo sterk als de zwakste schakel. 

 

Om die taak goed te kunnen doen is uitvoerige kennis van de zorgprocessen in het algemeen van groot belang. Als klinische informaticus worden we uitvoerig getraind in die kennis, maar ook in bijvoorbeeld terminologie en innovaties. Dat maakt het vergroten van het bewustzijn en het geven van advies een stuk makkelijker. Medewerkers weten dat je hen begrijpt en met hen meedenkt. 

 

De rol van FG is een mooie combinatie tussen samenwerken en tegelijk ook ‘onafhankelijk’ zijn binnen de organisatie. Zo denk en werk je mee met de ICT-architect, de adviseur informatiebeveiliging en de juristen, maar als toezichthouder ben en blijf je onafhankelijk en geef je gevraagd én ongevraagd advies aan verschillende experts binnen de complexe wereld van een ziekenhuis. 

 

Lauren Pollinger 

Klinisch Informaticus en Functionaris Gegevensbescherming

L.Pollinger@franciscus.nl

Toon alle referenties

Auteur

Lees meer over