‘Breng privacyregels in diverse zorgwetten op één lijn’
Monique Verdier van de Autoriteit Persoonsgegevens begrijpt de verwarring over de AVG
2 reactiesMonique Verdier legde als vicevoorzitter van de Autoriteit Persoonsgegevens boetes van bijna een half miljoen euro op aan HagaZiekenhuis en OLVG. Geen enkel punt dat dit geld wordt onttrokken aan de zorg, vindt Verdier: ‘Goed zorgen voor de patiënt is ook goed zorgen voor zijn gegevens.’
Toen de Autoriteit Persoonsgegevens (AP) een vicevoorzitter zocht naast voorzitter Aleid Wolfsen, dachten ze aan ziekenhuisbestuurder Monique Verdier. Als lid van de raad van bestuur van Groene Hart Ziekenhuis Gouda maakte ze de hack van die instelling mee. Ook kreeg ze in die jaren een reprimande voor het schenden van privacyregels met een van de eerste regionale elektronische patiëntendossiers.
Verdier had een schat aan ervaring met gegevensbescherming en ‘vond er wel wat van’. Begin 2019 trad ze in dienst van de AP. Daar houdt Verdier toezicht op de bescherming van persoonsgegevens door middel van onderzoek, voorlichting en advies en het afhandelen van meldingen van en klachten over privacyschendingen. De AP toetst aan de Europese AVG-wet: Algemene verordening gegevensbescherming. Verdier: ‘Hierin staan bevorderen en bewaken centraal. Ik kan het veld helpen om het beter te doen. In de ziekenhuizen kon ik zorgen voor de kwetsbaren en dat doe ik hier ook weer. Niet alleen de patiënt is kwetsbaar, zijn gegevens zijn dat net zozeer.’
De ziekenhuisbestuurder was nog geen halfjaar begonnen of daar waren de hoge boetes voor de zorg: juli 2019 moest het Haagse HagaZiekenhuis 460.000 euro betalen nadat tientallen medewerkers ongeoorloofd het medisch dossier hadden ingezien van tv-beroemdheid ‘Barbie’. En februari dit jaar kreeg het OLVG 440.000 euro boete voor slecht beveiligde computersystemen. Had dat met haar aantreden te maken? ‘Nee, het onderzoek was al gestart toen ik kwam’, zegt Verdier beslist.
De boete voor het OLVG kwam niet alleen tijdens de coronacrisis, maar ook tijdens een piek daarin, op een moment dat de overheid burgers opriep niet te vallen op het natuurijs om de zorg te ontzien. Kiest u het moment van een boete?
‘De overtredingen zijn in 2018 en 2019 gebeurd en nu was het onderzoek afgerond. Het ziekenhuis had intussen veel kunnen doen om het in orde te maken. Natuurlijk valt het samen met corona, maar tegelijkertijd lag de dreiging van de boete er al anderhalf jaar.’
‘Als je je geld aan andere dingen hebt uitgegeven, dan loop je een risico’
De bestuursvoorzitter had graag tijd gekregen om de fout te herstellen, is dat terecht?
‘Nee, want je moet aan de wet voldoen. Punt. Deze normen zijn al lang normaal in de zorg. Als je dan je geld aan andere dingen hebt uitgegeven, ook goede dingen natuurlijk, dan is dat een keuze en loop je een risico. Als ziekenhuisbestuurder heb ik ook keuzes gemaakt. Het ziekenhuis waar ik in 2013 werkte, werd gehackt. Dan word je met de neus op de feiten gedrukt. Toen ik daarover werd gebeld, dacht ik: tjonge, ik heb de ICT-afdeling afgelopen jaar drie keer gebeld omdat er een storing was. Maar ik heb ze niet één keer gevraagd naar de beveiliging. We hadden wel een beveiligingsplan gemaakt, maar dat was vanwege de hoge kosten over een paar jaar uitgespreid. Na de hack hadden we geen keus meer en moest dat ineens.’
Hoe komt zo’n boetebedrag tot stand?
‘We zijn in afwachting van Europese wetgeving. Intussen hebben we zelf boetebeleidsregels vastgesteld. De categorieën zijn afhankelijk van de schade. Wij kiezen een categorie en gaan optellen of aftrekken: was het per ongeluk, was er wel beleid, hoe is de cultuur? Als het bedrag is vastgesteld, kijken we of het betaalbaar is. Als een bedrijf failliet zou gaan, dan is dat natuurlijk geen reële boete. Bij zorginstellingen kijken we naar omzet en het resultaat in het jaar ervoor.’
Speelt voor u een rol dat het zorggeld is dat wordt afgeroomd?
‘Totaal niet, want ook overheden zoals gemeentes krijgen gewoon boetes. Dan kan je zeggen: dat is vestzak-broekzak want zo’n boete gaat rechtstreeks naar de staatskas. Maar toch helpt het enorm in de bewustwording dat persoonsgegevens moeten worden beschermd.’
Dan is er toch minder geld voor de patiënt beschikbaar?
‘Nee, dat niet. Goed zorgen voor de patiënt is ook goed zorgen voor zijn gegevens. Als je dat goed had gedaan, had je dat geld kunnen uitgeven aan andere dingen.’
Is het OLVG een uitzondering of hebben veel ziekenhuizen het op die manier geregeld?
‘Het gaat best goed, maar op veel plaatsen is het niet helemaal op orde. Beveiliging kost veel geld. Het beroepsgeheim van de dokter vinden we heel normaal. Dan mag je het toch ook normaal vinden dat je persoonsgegevens in het ziekenhuis goed worden beschermd? Het OLVG had bijvoorbeeld geen meerfactorauthenticatie. Wij zeggen dat je een dubbele beveiliging moet hebben. De kring van mensen die in het systeem kon kijken, was te groot. Ook werkstudenten konden erin. Bij ziekenhuizen gaat het om medische gegevens, waarvoor de beveiligingseisen nog weer hoger liggen dan voor andere persoonsgegevens. Het kost een arts natuurlijk tijd om dubbel te moeten inloggen. Ik hoop maar dat er snel spraaksystemen komen die sneller veilig toegang geven.’
Welke complicaties heeft de coronacrisis voor de bescherming van persoonsgegevens?
‘We doen onderzoek naar het datalek bij het landelijke afsprakennummer voor coronatests. Zij zouden persoonsgegevens uit de GGD-systemen te koop hebben aangeboden. De GGD heeft al mensen ontslagen en gaten gedicht. Maar juist bij crises moet je extra goed opletten. Er is altijd tijd om iemand uit te leggen hoe je moet omgaan met persoonsgegevens. Ik heb er begrip voor dat je het bestaande systeem gebruikt dat natuurlijk niet is uitgerust voor een crisis. Maar dan moet je organisatorisch extra maatregelen treffen: mensen screenen en les geven over privacy en autorisatie strakker regelen, per regio bijvoorbeeld.’
De GGD’s stonden onder hoge werkdruk en hadden handen tekort: nood breekt wet?
‘Ik ben ingenieur van origine. Omdat ik wilde weten wat de zorg inhield, heb ik in een verpleegkundigenpak meegelopen. Het was heel duidelijk: ik mocht de bak met water vullen, maar niet de billen van de patiënt wassen, want dat is een voorbehouden handeling. Punt. Ik kan mijn kinderen wassen en mijn moeder, ik kan best wel wassen, en toch mocht ik dat niet doen. Ik vind het heel normaal dat ik dingen niet mag, omdat ik niet deskundig ben. Om dan iedereen erbij te trekken om vaart te maken, dat vind ik gevaarlijk, omdat mensen niet weten hoe ze ermee moeten omgaan.’
Wat ziet u als grootste gevaar van de coronacrisis?
‘We willen voorkomen dat er een privacycrisis volgt op de coronacrisis. Eerst wilde de overheid mensen op basis van telefoongegevens volgen zodat besmettingspatronen konden worden gedetecteerd. Dat kan gewoon niet. Je wilt ook niet dat werkgevers opeens gezondheidsgegevens van medewerkers gaan bijhouden. Bedrijven gingen de temperatuur meten van werknemers, maar dat mag alleen via de bedrijfsarts. We hebben duidelijke richtlijnen uitgevaardigd. De werkgever mag niet registreren wie is gevaccineerd en wie niet. De bedrijfsarts mag dat wel. Als je als werkgever wilt dat iedereen is gevaccineerd, dan moet je een ander pad bewandelen. Een werknemer heeft vrijheid om dat wel of niet te doen en niemand hoeft dat te weten, dat is een grondrecht.’
‘We willen voorkomen dat er een privacycrisis volgt op de coronacrisis’
Hoe kijkt u naar China? Daar is onder meer aan de hand van verzamelde persoonsgegevens corona ingedamd.
‘China is een horrorbeeld. In een democratie is dat onbestaanbaar. Dergelijke vergaande constructies moeten hier langs de Eerste en Tweede Kamer. Mijn hart ligt bij het goede doen: patiëntenzorg en privacy. Dan moet je zoeken hoe je aan beide voldoet. In de regio Midden-Holland waar ik heb gewerkt, hadden we een van de eerste epd’s. Ik vond dat belangrijk omdat medicatie de grootste foutfactor was. Toen heeft de voorganger van de AP mij op de vingers getikt omdat ik hiermee privacyregels overtrad. Ik wist dat wel, maar ik vond patiëntveiligheid belangrijker dan de privacy. Maar goed zorgen voor de patiënt is ook goed zorgen voor zijn gegevens. Wat in de spreekkamer wordt gezegd, moet in de spreekkamer blijven. In de beslotenheid kun je je kwetsbaarheid tonen. Dat is het fundament van de arts-patiëntrelatie.’
Wordt de AVG goed begrepen in de zorg?
‘Nee, zeker niet. We zien veel negativiteit vanuit de zorg over de AVG. Maar volgens die wet mag je gegevens delen als dat nodig is voor de zorg en zijn er geen beperkingen in de overdracht. Er zijn wel beperkingen in de Wet op de geneeskundige behandelovereenkomst en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, de Wabvpz, een ingewikkeld wetje. Om de spoedeisende hulp te ontlasten is tijdens deze coronacrisis geregeld dat huisartsengegevens via het Landelijk Schakelpunt openstonden voor huisartsenposten en SEH’s. Maar van de Wabvpz moet de huisarts actief toestemming hebben van de patiënt voor hij gegevens raadpleegbaar maakt voor andere artsen. Wij gingen akkoord maar vonden wel dat artsen op de hap en de SEH alsnog toestemming van patiënten moeten vragen. Veel problemen met de persoonsgegevensoverdracht zitten niet in de AVG, maar in andere wetgeving. We hebben de KNMG en VWS voorgesteld om deze wetgeving met de AVG op één lijn te brengen voor duidelijkheid voor de zorgverlener.’
Hoe kan een arts wijs worden uit al die verschillende regels?
‘Ik begrijp dat de zorg niet meer weet hoe het zit. In elk ziekenhuis is een functionaris gegevensbescherming. Daar kan je als arts terecht met je vragen. Tegelijkertijd doet de zorg het heel goed. We krijgen 25 duizend klachten per jaar. Slechts 2 procent komt uit de zorg. We krijgen jaarlijks ook 25 duizend meldingen van datalekken. 30 procent daarvan wordt gemeld door de zorg. De zorg is heel alert en blijkbaar meer dan andere sectoren gewend om fouten te melden.’
Monique Verdier (1963)
2019 Autoriteit Persoonsgegevens, vicevoorzitter
2007 Groene Hart Ziekenhuis Gouda, raad van bestuur
2004 Albert Schweitzer ziekenhuis Dordrecht, raad van bestuur
1999 Leids Universitair Medisch Centrum, directeur facilitair bedrijf
1989 Van Leer Packaging Worldwide, verschillende functies
1989 wiskunde en technische bedrijfskunde in Eindhoven
John Soedirman
arts, lid cliëntenraad, Amsterdam
"De werkgever mag niet registreren wie is gevaccineerd en wie niet". Ik vind de zorgplicht jegens onze bewoners in een verpleeghuis van een hogere orde dan de privacy van individuele zorgmedewerkers.
J.R. Sikkema
Specialist ouderengeneeskunde, IJmuiden
Citaat:
Dan is er toch minder geld voor de patiënt beschikbaar?
‘Nee, dat niet. Goed zorgen voor de patiënt is ook goed zorgen voor zijn gegevens. Als je dat goed had gedaan, had je dat geld kunnen uitgeven aan andere dingen.’
Ik lees hier geen... antwoord op de vraag. Die half miljoen euro boete is de instelling kwijt. Ik neem aan dat er later gecontroleerd wordt of de situatie verbeterd is. Wellicht is het een idee dat ook bekeken wordt hoe de boete is betaald. Alleen dan kan je dergelijke uitspraken onderbouwen.
Eigenlijk mis ik een meer kritische noot in het interview.