GDPR compliant of in control?

GDPR compliant of in control?

3 april 2018

“Een zeer interessante en interactieve sessie waarin Aleid Wolfsen, Voorzitter van de Autoriteit Persoonsgegevens, alle vragen direct beantwoordde. Top!” Deze reactie gaf één van de ruim 30 deelnemers van de Themasessie over de Implementatie van de GDPR.

2018-03-26 Nieuwsbericht GDPR.jpg

CIO Platform Nederland organiseerde deze sessie onlangs bij het Leids Universitair Medisch Centrum (LUMC). Op het programma stond namens de Autoriteit Persoonsgegevens (AP) een bijdrage van AP-voorzitter Aleid Wolfsen. Naast het vragenvuur aan de AP hebben we ook de 10 GDPR-implementatiestappen gepresenteerd gekregen die het LUMC heeft doorlopen. Margot van Ditmarsch, adviseur informatiebeveiliging van het LUMC deelde hun ervaringen en uitdagingen. 

GDPR-implementatie: uitdagingen en vraagstukken
Op de dag dat in de Volkskrant was te lezen dat minister Bruno Bruins van Medische Zorg en Sport aankondigde dat volgend jaar iedereen zijn of haar medische gegevens in eigen beheer kan krijgen op elk gewenst device, organiseerden we bij het LUMC onze themasessie over de GDPR ‘Strategy meets Practise’. In dit stadium van de implementatie van de GDPR-wetgeving bleek het zeer waardevol om tezamen met de Autoriteit de uitdagingen en situaties met elkaar te delen. 

De rol van de Data Protection Officers
Aleid Wolfsen, als Voorzitter van de Autoriteit Persoonsgegevens (AP), beantwoordde uitgebreid de diverse vragen uit het publiek. Zo benadrukte Dhr. Wolfsen de nauwe samenwerking met de Data Protection Officers/Functionarissen Gegevensbescherming (DPO’s/FG’s) van de organisaties. Deze zijn cruciaal voor het interne toezicht op de bescherming van data van mensen. De AP streeft naar een goede relatie met de FG’s. In organisaties waar een FG verplicht is, moet deze rol dan ook goed zijn belegd, met rechtstreekse toegang tot de Raad van Bestuur. Aan de orde kwam dat meerdere organisaties dezelfde FG kunnen delen, maar de FG moet op allerlei gebieden veel kennis van de operatie hebben, in het bijzonder van gegevensverwerkingen in de organisatie. Tevens moet er gelet worden op mogelijke belangenverstrengeling bij deze rol, indien die bij één persoon is belegd als neventaak. Op de site van de AP staat een lijst om hierover duidelijkheid te geven. 

Behandel de klant ook als koning als het om data gaat
Uiteraard kwam ook ter sprake dat de wet op meerdere manieren uitlegbaar is. Dhr. Wolfsen was daar heel duidelijk over. Het gaat erom dat gegevensverwerkingen in overeenstemming zijn met de wettelijke kaders. Het gerechtvaardigd belang speelt daarbij een rol, maar de wet mag niet worden opgerekt. Het belang van handhaving van de privacywet legde hij als volgt uit: “Ieder mens heeft het recht om met rust gelaten te worden, recht op intimiteit en recht op vrij kunnen leven. Bij het schenden van de privacy, raak je deze fundamenten van de rechtsorde”. Om dit fundament te duiden gebruikt Dhr. Wolfsen de metafoor van een stoel met 4 poten. Iedere stoelpoot is onderdeel van dit sterke fundament: Vrijheid, Solidariteit, Gelijkwaardigheid en Democratische rechtstaat. “Als we alles van elkaar weten of het voorspellend vermogen neemt de overhand, dan eindigt deze gelijkwaardigheid”; aldus Wolfsen. 

Een organisatie beschouwt de klant als koning, dus behandel ook zijn data op deze manier, gaf Wolfsen aan. De AP staat open voor een gesprek met brancheorganisaties over uitleg van verplichtingen. De zorg van veel organisaties dat er een hausse aan aanvragen zal komen van personen die willen weten welke informatie de organisatie over hem/haar heeft, wordt deels weggenomen. De voormalig-rechter Wolfsen geeft aan dat in zijn algemeenheid geen misbruik van recht mag worden gemaakt. Als dergelijke gevallen zich voordoen, staat de AP ook open voor een gesprek over het omgaan met de stroom aanvragen. 

De 10 GDPR-implementatiestappen van LUMC
Vanuit het praktijkvoorbeeld van het LUMC gaf Margot van Ditmarsch aan dat het “privacy”-denken in het ziekenhuis al jaren oud is. Het werken met patiëntgegevens is namelijk dagelijkse kost. Negatieve publiciteit daarover is in niemands belang, aandacht voor privacy is een vanzelfsprekendheid. Maar naast het borgen van de privacy van de patiënten, moet nu ook die van medewerkers en studenten worden verzekerd. Hiertoe is een project opgezet met stuurgroep en werkgroepen vanuit de bestaande organisatie om de implementatie vorm te geven. Eén van de uitdagingen is bijvoorbeeld het opstellen van de verwerkingsovereenkomsten. Dit is, vanwege de omvang van een UMC, een zeer omvangrijke klus en de volwassenheid van de partners in de keten is uiteenlopend. 

Integrale aanpak en betrokkenheid als succesfactor
In de afsluitende discussie met de aanwezige vertegenwoordigers van onze leden kwam het er op neer dat de uitdaging en het succes ligt in de integrale aanpak en het verkrijgen van integrale betrokkenheid, zonder er “Poolse Landdagen” van te maken. 

Vanuit het CIO Platform Nederland kijken we terug op een waardevolle sessie. Waarin aan de deelnemers alle ruimte is geboden de eigen praktijksituaties voor te leggen aan de AP, handreikingen zijn gedaan die direct toepasbaar zijn in de eigen praktijk en de praktijkcase van LUMC inspiratie bood om van elkaars ervaringen en kennis te leren.

Close