Het gebruik van big data biedt de zorg veel kansen. Zo kan bijvoorbeeld op basis van een groot aantal beschikbare gegevens een berekening worden gemaakt van de best denkbare behandeling voor een patiënt.

Aan het gebruik van big data zitten echter verscheidene privacy-aspecten. Veel zorginstellingen hebben op het gebied van privacy nog een flinke slag te maken om te kunnen voldoen aan de Europese Privacyverordening die het afgelopen jaar in werking is getreden.
Uit een onlangs gepubliceerd onderzoek van BDO blijkt dat 27 procent van de zorginstellingen wel eens met een privacy-incident te maken heeft gehad. Toch heeft 49 procent van de respondenten (nog) geen informatiebeveiligingsbeleid.

Een ‘moetje’

Als toezichthouder bij een ggz-instelling herken ik dit beeld. Informatiebeveiliging en privacybeleid zijn voor de directie vaak ‘een moetje’ en worden bovendien als complex gezien. Toen ik het onderwerp tijdens de vergadering van de raad van toezicht aan de orde stelde, was aan de andere kant van de tafel, bij de raad van bestuur, een diepe zucht te horen. Ook wel begrijpelijk bij alles wat er tegenwoordig op een raad van bestuur afkomt.

Europese Privacyverordening

Voor informatiebeveiliging is er de Wet bescherming persoonsgegevens (en sinds vorig jaar het wetsartikel ‘meldplicht datalekken’) en de hieruit afgeleide norm voor informatiebeveiliging in de zorg, de NEN 7510. Daar komen nu de verplichtingen bij in het kader van de Europese Privacyverordening. Organisaties hebben tot 25 mei 2018 de tijd om daaraan te voldoen. Vanaf dat moment gaat de Autoriteit Persoonsgegevens handhaven en kan zij fikse boetes gaan uitdelen. Deze nieuwe Europese verordening vraagt nogal wat van zorginstellingen. Zo moet men kunnen aantonen dat er actief beleid wordt gevoerd en maatregelen zijn getroffen om de verordening na te leven. Ook dient de organisatie een Functionaris Gegevensbescherming aan te wijzen.

Kwaliteit van zorg

Ik hoor veel directeuren de vraag stellen wat dit alles nog te maken heeft met het echte werk dat binnen hun organisatie moet gebeuren: cliënten de beste kwaliteit van zorg bieden. Die vraag is terecht, maar ik denk dat goede informatiebeveiliging onlosmakelijk verbonden is met de beste kwaliteit van zorg. Kwaliteit van zorg heeft namelijk alles te maken met hoe zorgvuldig je als instelling omgaat met de medische gegevens en privacygevoelige informatie van je cliënten. Behalve de kwaliteit wordt ook de continuïteit van de zorg direct geraakt als de beveiliging van de medische apparatuur en ict-systemen niet op orde is en deze daardoor (tijdelijk) kunnen uitvallen.

Governancecode

Informatiebeveiliging, privacybescherming en cybersecurity hebben alles te maken met ‘goede zorg’, het eerste principe uit de in januari in werking getreden nieuwe Governancecode Zorg. Principe vijf uit diezelfde code – ‘goed bestuur’ – roept de raad van bestuur op om zorg te dragen voor goede en hanteerbare interne risicobeheersings- en controlesystemen. De werking daarvan dient regelmatig besproken te worden in het overleg met de raad van toezicht. Rapporteert uw organisatie regelmatig aan de raad van toezicht over cybersecurity-incidenten en datalekken? Bij de ggz-instelling waar ik toezichthouder ben inmiddels wel. Dat is niet complex, maar een kwestie van doen.

Mogelijkheden optimaal benutten

Op het moment dat een zorginstelling de informatieveiligheid en privacybeleid op orde heeft, kan zij in het kader van kwaliteitsverbetering van de zorg, ook de mogelijkheden van big data optimaal gaan benutten.
Wanneer informatiebeveiliging en privacybeleid verbonden zijn met het kwaliteitsdenken in een zorginstelling, hebben de cliënten de garantie van goede en veilige zorg.

Bron: https://www.zorgvisie.nl/ICT/Verdieping/2017/3/Informatiebeveiliging-en-big-data-kunnen-goed-samen/