“Er hangt onnodig veel angst om privacy compliance”

Op twaalf november organiseerde VitaValley een ‘Meet up’ over privacy compliance: eHealth implementeren ‘Heb je alle dimensies in beeld?’. Te gast waren Edwin Schippers, consultancy partner voor de zorg, en Wilco Brouwers, Sr Manager IT Advisory, beide werkzaam bij accountancy- en belastingadvieskantoor Baker Tilly. Daarnaast vertelde Sander Houdijk, senior zorgadviseur bij revalidatiecentra Basalt, hoe ze met ondersteuning vanuit Baker Tilly aan de slag zijn gegaan met privacy vraagstukken in het SET-project van Basalt.
Aanleiding van de meet up zijn de eerdere webinars over dit onderwerp en de Toolkit ‘Privacy compliance’ die we vanuit SET-up hebben ontwikkeld in samenwerking met Baker Tilly. In deze meet up wilden we vooral ingaan op praktijkervaringen over dit onderwerp.

“Privacy in de breedste zin van het woord is in Nederland een beladen onderwerp, nog los van de zorg. De autoriteit van persoonsgegevens legt er veel druk op, waardoor er veel angst is om ‘verkeerde beslissingen’ te maken”, vertelt Wilco Brouwers. “Het is belangrijk om eerst die angst weg te nemen, want dat staat innovatie vaak in de weg.”

Acht dimensies van zorginnovatie
Het zorginnovatie-model dat Baker Tilly ontwikkelde helpt bij het in kaart brengen van alle dimensies rond eHealth. Het helpt zorgorganisaties en SET-deelnemers om een veilige route naar effectieve zorgvernieuwing te bewandelen. “Wij onderscheiden acht dimensies die het succes bepalen van een zorginnovatie, onder andere techniek, organisatie, zorgprofessionals, patiënten en financiering. Alle dimensies zijn belangrijk en hangen met elkaar samen. We pleiten er dan ook voor om privacy compliance te zien in het grotere geheel van zorginnovatie, als een van de vele dimensies”, vertelt Brouwers.

Schippers: “Wij nemen zorgaanbieders mee aan de hand van een integrale blik: heb je alles in je plan van aanpak zitten? Of: als je project vastloopt, waar zit dat dan in? Het is zelden een dimensie die faalt, dus het helpt om breder te kijken. Binnen Basalt zijn we binnen het zorg-innovatiemodel gestart vanuit de privacy compliance en zijn we daarna langs alle dimensies gelopen.”

Volgens Houdijk zorgt de methodiek van Baker Tilly ervoor dat je los kunt komen uit je dagelijks werk en van bovenaf naar je eigen project en organisatie kan kijken. “Bij implementeren heb je een hele organisatie nodig. Dit project heeft ervoor gezorgd dat er een gemeenschappelijk perspectief is ontstaan. Iedereen voelt, ik heb hier een rol in, als professional, als afdeling, ook al is het niet mijn project.”

‘Wees bevraagbaar’
Binnen Basalt is Houdijk betrokken bij het project ikoefenzelf.nl. Op dit platform worden verschillende eHealth applicaties achter een log-in aangeboden. “De doelgroep van ons platform is niet altijd in staat om gebruik te maken van digitale toepassingen, dus daar zit een extra uitdaging. Zij zijn bijvoorbeeld door een hersenletsel minder digitaal vaardig, terwijl we weten dat juist deze doelgroep baat heeft bij zo’n gestructureerde manier van oefeningen aanbieden.”

Basalt heeft dit ook mooi uiteengezet in hun praktijkvoorbeeld.

De samenwerking met Baker Tilly heeft bij Houdijk de eerder genoemde angst om ‘het verkeerd te doen’ weggenomen. “Die angst verdwijnt grotendeels door er simpelweg mee aan de slag te gaan. De wetgeving is geen vingertje dat je afstraft als je niet overal een groen vinkje hebt staan, het gaat erom dat je kunt aantonen dat je overal over hebt nagedacht en met passende oplossingen en beheersmaatregelen kunt komen. Wij zijn ook niet waterdicht, maar we kunnen uitleggen welke maatregelen we kunnen treffen.”

Schippers vult dit aan: “Wees bevraagbaar, dat prediken wij. Als er iets voordoet, dan moet je je verhaal hebben. Dan moet je erover na hebben gedacht, dan moet je kunnen vertellen welke maatregelen je hebt getroffen en weten waar je aan toe bent.”

Kortom, de kern van die ‘enge’ privacy wetgeving is niet dat je geen fouten mag maken, maar dat je moet zorgen dat je goed inzicht hebt in welke informatie op welke plek en op welke manier verwerkt wordt en hoe je daarmee in gaat. Hoe krijg je dat inzicht?

Stap 1: volg de informatiestroom
Brouwers: “De eerste stap die we bij iedere klant zetten is heel simpel: we gaan samen op papier zetten wat er allemaal in je systeem gebeurt. Hoe loggen cliënten in, wat wordt er dan opgeslagen, welke risico’s brengt dit met zich mee. Pas als je al die informatie helder hebt, kun je een privacy inventarisatie invullen en onderbouwd aangeven: hier zitten risico’s en deze acties ondernemen we.”

Stap 2: vragen stellen
Schippers: “Als het om privacy compliance gaat, dan zijn er geen domme vragen. Juist door vragen te stellen begrijp je goed wat je aan het doen bent, wie welke rol heeft en welke risico’s er zijn. Ondervraag je eHealth aanbieder, zij hebben naar jou toe de plicht om je te informeren als het om compliance gaat. Benut die kennis. Maar stel de vragen ook binnen je organisatie, maak iedereen deelgenoot ervan.”
Brouwers: “Wees er ook op voorbereid dat je vragen kunt krijgen van je cliënt. Je moet je verantwoordelijkheden op een rijtje hebben, aan kunnen geven welke onderdelen nog een vraagpunt zijn, hoe je overal mee omgaat en welke maatregelen er getroffen zijn.”

Stap 3: Concretiseren
Na inventariseren en vragen stellen, volgt concretiseren. Hoe is dit bij Basalt verlopen? Houdijk: “Wij hebben de privacy inventarisatie assessment van Baker Tilly ingevuld. Dit is een vragenlijst die we hebben ingevuld. Zij geven aan welke vragen je beantwoord moet krijgen, dat werkt prettig. Het maakt dingen concreet en maakt ook inzichtelijk welke verbeteracties er plaats moeten vinden. Dat hoeven vaak geen acties te zijn waarbij je je hele techniek moet opbouwen. Soms is het simpelweg het toevoegen van een digitale folder over data-opslag aan je patiënten om hen geïnformeerd te houden.

Welke tips hebben Brouwers en Schippers voor SET-up-innovatieclusters?
“Start klein met simpelweg in kaart krijgen van je data. Kijk welke gegevens je opslaat, bepaal of je die echt nodig hebt. Probeer eens met een aantal mensen van je organisatie deze oefening te doen. Kijk samen wat je waar vastlegt, of dat allemaal echt nodig is, waar de grootste risico’s liggen. Zo’n overzicht is er bij heel veel organisaties niet. Wat leggen we waar vast, wat is echt nodig, waar zit het meeste risico. Dat inzicht is er vaak nog niet eens.”
En: “Jouw IT-leverancier heeft verantwoordelijkheden, maar jij hebt als organisatie je eigen verantwoordelijkheid. De gegevens komen van jouw organisatie, jij kiest of je ze in laat voeren of niet, of je ze communiceert of niet, of je ze opslaat of niet.”

Wil je jouw SET-project ook laten toetsen?
Vanuit SET-up bieden we in samenwerking met Baker Tilly individuele ondersteuning aan op dit thema voor reguliere SET-projecten.
De eerste is de ‘Klaar voor de start-scan’. Daarbij lezen de adviseurs je plan en verdiepen zich bij 1 of 2 gesprekken in het innovatie-project binnen het zorginnovatie-model. Er is plek voor vijf organisaties die dit kunnen aanvragen.
De andere optie is een stuk intensiever: hierbij gaan de adviseurs in gesprek met alle direct betrokkenen en gaan ze nog verder de diepte in. Dat levert een analyse op, en als sluitstuk een workshop zodat er collectief, met de gehele organisatie, aan de slag kan worden gegaan. Tevens ondersteunen de consultants bij het bepalen van de vervolg-agenda: wat ga je als organisatie als eerst oppakken. Voor deze optie is er nog plek voor 1 organisatie.

Aanmelden voor één van deze ondersteuningsmogelijkheden kan door te mailen naar setup@vitavalley.nl Dan nemen we contact met je op en sturen we je meer informatie toe.

Bekijk voor meer informatie de Toolkit ‘Privacy compliance’
…en de meet up replay in drie delen: deel 1, deel 2, deel3.