31-08-2017 – “Wees je ervan bewust welke gegevens je met wie deelt. Stuur ik dit mailtje naar de juiste persoon of heb ik per ongeluk de verkeerde Hans in mijn outlook geselecteerd? Deze menselijke fouten zijn de oorzaak van 50% van de gemelde datalekken in de zorg!”
Door Ellen Smink
De media staan er vol van. Hoe veilig gaan we om met persoonlijke gegevens van anderen? De vraag is niet nieuw. De Europese privacywet is echter wel nieuw. In 2018 wordt de Nederlandse Wet bescherming persoonsgegevens (Wbp) vervangen door de General Data Protection Regulation (GDPR), waarbij de boetes op datalekken flink hoger liggen. Als medisch secretaresse of secretaresse in de zorg heb je bij uitstek te maken met persoonlijke gegevens van cliënten en patiënten. Natuurlijk weet je als geen ander dat je veilig met die gegevens moet omgaan. De vraag is alleen ook: hoe houden we het allemaal werkbaar? Wouter Klinkhamer weet er alles van. Hij is directeur en mede-eigenaar van ZIVVER, een organisatie die zich richt op makkelijk en veilig mailen, chatten en uitwisselen van bestanden, zowel in als buiten de zorg. Tijdens het Afdelings- en Medisch Secretaressecongres van 23 november a.s. leert Wouter Klinkhamer je met andere ogen naar de werkplek te kijken en neemt hij je onder andere mee in professionele standaarden in de zorg, wetteksten en de valkuilen van Internet en Facebook. In dit interview geeft hij alvast wat tips en wijst hij je op valkuilen waarbij je wellicht niet zo snel stilstaat.
Voordat hij begin 2016 mede-eigenaar van ZIVVER werd, was Wouter Klinkhamer internetjurist, bedrijfskundige, bedrijfsjurist en strategisch adviseur in de gezondheidszorg. Die ervaring zet hij ook in bij zijn nieuwe bedrijf. “ZIVVER is een platform voor veilige en makkelijke communicatie. Waar het om gaat is dat als mensen online met mensen communiceren ze dat op een manier doen die echt helemaal veilig is. Waar andere oplossingen zich puur richten op het veiligstellen van het ‘lijntje’ zodat hackers niet bij de informatie kunnen komen, kijken wij al mee voordat je iets gaat versturen: is het logisch dat je deze informatie naar deze persoon stuurt? Of: hoe wordt er omgegaan met de ontvangst van bepaalde gegevens, hoe kun je eventuele fouten herstellen… Zo kan je als bedrijf of instelling aantonen hoe je met gevoelige informatie van personen omgaat en daarmee voldoe je aan de wetgeving die straks in heel Europa zal gelden.”
Verkeerde handen
“Persoonsgegevens kunnen nogal van belang zijn als die in verkeerde handen komen. En verkeerde handen zijn soms ook de partijen waarmee je de informatie wel bewust deelt, maar waarbij het niet zo helder is wat zij er vervolgens mee gaan doen”, weet Wouter Klinkhamer. “Er zijn voorbeelden te over hoe het verkeerd kan gaan als je een aantal gegevens, zoals je gsm-nummer, je adres en je sociaalfiscaalnummer met elkaar combineert. Daarmee kan je identiteitsfraude toepassen. Denk bijvoorbeeld aan abonnementen op jouw naam afsluiten, woningen huren of schulden aangaan. Leg vervolgens maar eens uit dat jij het niet was. Ook kan het zijn dat er een enorme verwerking ontstaat van allerlei gegevens die van jou zijn. De ziektes die van jou bekend zijn, je hobby’s, je politieke voorkeuren… Het verwerken van al die gegevens heeft weer invloed in hoe systemen in toenemende mate automatisch gegevens en informatie met jou gaan delen. Dan worden er opeens allerlei tips aangeboden die ‘heel toevallig’ te maken hebben met dingen die jouw leven kleuren. Daar heb je niet voor gekozen. Het kan ook zijn dat partijen allerlei informatie over jou proberen te verzamelen om bijvoorbeeld te bepalen of ze jou wel een bepaalde verzekering willen aanbieden.”
Stevige Europese verordening
Tegen al deze en nog veel meer risico’s wil de nieuwe Europese wet mensen beschermen. Wouter Klinkhamer: “Die Europese verordening wordt behoorlijk stevig ingestoken. Als je als instelling de beschikking hebt over persoonsgegevens moet je in feite drie dingen doen. Je moet weten wat voor risico er aan die gegevens zitten. Even flauw gezegd: gegevens over gezondheid zijn gevoeliger dan gegevens of je graag boterhammen met pindakaas eet. Als je die risico’s van persoonsgegevens kent, dien je maatregelen te nemen om ervoor te zorgen dat de veiligheid daarvan gegarandeerd is. Dat betekent dat je ervoor moet zorgen dat er geen derde bij die gegevens kan, dat die gegevens niet kwijt kunnen raken en die gegevens niet veranderd kunnen worden waardoor er opeens ergens een foutief gegeven over je staat. Vervolgens staat er nadrukkelijk in de verordening dat als al die maatregelen zijn genomen, je ook moet kunnen aantonen dat je in control bent. Dus niet alleen dat je een bepaalde maatregel bedacht hebt, maar ook dat die maatregel werkt en dat je bijstuurt als het nodig moet zijn. Als het ergens toch mis gaat en je heb een datalek, moet je dat direct melden. Doe je dat niet, dan kan je daar een forse boete voor krijgen. Als er door dat lek schade is veroorzaakt, ben je daar als organisatie ook aansprakelijk voor. En dat kan behoorlijk in de papieren lopen.”
Een ongeluk zit in …
Een ongeluk zit in een klein hoekje. Op het bord van elke secretaresse komt heel veel informatie. “Allerlei gegevens worden met allerlei verschillende personen via allerlei kanalen gedeeld. Als je in een hokje afgesloten van rest zit, bereik je al heel veel door zaken dubbel te checken. Wees je ervan bewust welke gegevens je met wie deelt. Wat voor gegevens zijn dit? Stuur ik dit mailtje naar de juiste persoon of heb ik per ongeluk de verkeerde Hans in mijn outlook geselecteerd? Laat ik nog een keer klikken op de bijlage en de tabbladen van het Excel document doorlopen of er per ongeluk toch geen informatie in zit die niet gedeeld mag worden. Onze software is zo ontwikkeld dat we juist ook bij dit soort elementen meekijken. Dat is ontzettend belangrijk, want menselijke fouten zijn de oorzaak van 50% van de gemelde datalekken in de zorg.” Hoe geavanceerd die software ook is, software is niet zaligmakend. Uiteindelijk blijft de opslag, verwerking en uitwisseling van privacygevoelige informatie in de basis toch mensenwerk. Wouter: “Mensen om wiens persoonsgegevens het gaat, hebben een aantal rechten. Wij mogen dus vragen: wat weet je nu eigenlijk van me? Of aangeven: ik vind het niet nodig dat jij bepaalde dingen van me weet. Stel nu dat je als secretaresse wordt gebeld door iemand die iets uit zijn eigen dossier wil weten. In dat geval is het heel belangrijk dat je scherp krijgt of die persoon wel is wie hij zegt dat hij is. Voor de servicegerichte secretaresse is het heel moeilijk om de informatie waarom wordt gevraagd niet direct te geven. Hoe vervelend je het misschien ook vindt, het is beter dat je aangeeft even later terug te bellen op het nummer dat ook in het dossier staat. Zo check je of je de juiste persoon hebt.”
Extra alert zijn
Een andere mogelijke valkuil komt voort uit het feit dat veel medisch secretaresses en secretaresses in de zorg niet in een gesloten omgeving zitten maar juist in een omgeving waar ze zicht hebben op wat zich afspeelt. Aan de balie wordt veel met patiënten en cliënten gecommuniceerd. Wouter: “Er zijn secretaresses die heel alert vragen stellen over medische toestanden als het gaat om amandelen verwijderen, maar slechts bezorgd knikken en begripvol naar de persoon kijken als er wat ernstigs aan de hand is. Juist dat verschil kan al veel informatie geven, want de hele wachtkamer kijkt en luistert mee. Het is dus beter om consistent geen vragen te stellen en alleen te wijzen naar het scherm en te vragen: komt u hiervoor? Juist in de zorg moet je extra alert zijn met het omgaan over informatie over personen. Voor secretaresses is het helemaal pittig omdat ze de hele dag allerlei persoonlijke gegevens langs zien komen. Daarbij komt dat veel professionals waarvoor ze werken vaak minder door hebben wat er speelt. Aan de secretaresse de taak ook dat in goede banen te leiden.”
Filmen in de wachtkamer
Alert zijn betekent ook goed opletten wat er in de omgeving gebeurt. Wouter: “Neem het voorbeeld van het familielid die een patiënt in de wachtkamer vergezelde. Ze maakte een filmpje om de familie op Facebook te laten zien wat er allemaal gebeurde. Dat betekent dus ook dat allerlei mensen opeens zien wie er nog meer in de wachtkamer zit. En het is maar de vraag of jij wilt dat anderen jou voor dat ene onderzoek zien wachten in een wachtkamer. Als secretaresse moet je dus ook daar alert op zijn en mensen daarop aanspreken. Geef het concreet handen en voeten door te zeggen: hoe zou u het zelf vinden als u opeens op Facebook staat terwijl u in een wachtkamer zit. Dat bewustzijn is heel belangrijk. Zeker voor instellingen in de (gezondheids)zorg.”