Een Functionaris Gegevensbescherming (FG) in de zorg heeft veel te doen. Zo is de FG verantwoordelijk voor het complete reilen en zeilen van het onderwerp privacy in de organisatie. De FG speelt een rol in de verzoeken en vragen van patiënten en hun vertegenwoordigers, leveranciers en andere belanghebbenden. Ook is de FG betrokken bij het afhandelen van datalekken en het verhogen van het bewustzijn rondom privacy van medewerkers. Naast die directe vragen en verzoeken wordt de FG vervolgens ook geconfronteerd met zaken die binnen de organisatie in beweging zijn en waarbij hij een aandeel moet leveren. Denk daarbij aan DPIA’s bij de aanschaf van nieuwe software(systemen), apparatuur of andere projecten met een privacydimensie.
In een ideale situatie beperkt u zich als FG tot het geven van gevraagd en ongevraagd advies, maar vaak zult u toch ook echt zelf aan de slag moeten met een aantal onderwerpen. Dat betekent dat het andere onderdeel van uw functie, de toezichttaak, vaak iets ondergesneeuwd raakt.
Verantwoordelijkheden van een FG
|
Efficiënte aanpak
Het is dan ook van belang om, al dan niet in samenwerking met de privacy officer(s) of specialist(en), tot een efficiënte aanpak van alle taken en onderwerpen te komen. Het opstellen van een verwerkingsregister, een datalekkenprocedure en een protocol voor de uitvoering van de rechten van betrokkenen is een belangrijk vertrekpunt. Maar, dit soort documenten en beleidsstukken brengen meer werk mee. Deze moeten namelijk worden geëvalueerd en geüpdatet. De processen uit het verwerkingsregister kunnen wijzigen, waardoor hierin andere persoonsgegevens worden verwerkt.
Deze nieuwe werkzaamheden moeten worden uitgevoerd. Denk bijvoorbeeld aan het controleren van logging ten behoeve van het autorisatiebeleid. Dit is in principe geen standaard onderdeel van het werkpakket van een FG, maar de controle (of het uitblijven daarvan) kan de FG worden aangerekend. Denk aan de boete die eerder dit jaar is opgelegd is aan het Haga ziekenhuis.
Een nieuwe aanpak
Zonder een efficiënte en gerichte aanpak van alle eerdergenoemde punten is het dus lastig om de volledige functie als FG goed uit te voeren. Uiteraard kunt u samen met het team alles netjes in Excel-sheets, Word-documenten en een document management system plaatsen, maar daarmee blijft de verantwoordelijkheid liggen bij de FG en het privacyteam. De meest ideale situatie is gebruik te maken van een softwareoplossing die u in staat stelt om deze documenten eenvoudig up-to-date te houden. Nog beter is het als u deze verantwoordelijkheden kunt delen met een proceseigenaar of wellicht een afdelingsmanager.
De Audittrail oplossing
Omdat wij uit ervaring merkten dat het beleggen van verantwoordelijkheden in de organisatie een lastige taak is, hebben we nagedacht over een oplossing die u hierbij helpt. Deze oplossing hebben we het Compliance Management Framework (CMF) genoemd. Het CMF stelt u in staat om alle zaken binnen het privacydomein, of elk ander domein waarbinnen u met een compliancevraagstuk wordt geconfronteerd, in kaart te brengen en de getroffen maatregelen inzichtelijk te maken. Daarbij biedt het CMF proceseigenaren een duidelijk kader en handvatten om zelf maatregelen te implementeren. Door het werk te delen en één efficiënte en centrale plaats te hebben waarop uw kennis ligt opgeslagen krijgt u meer tijd voor de toezichthoudende taak van de FG.
Benieuwd hoe dit in de praktijk er uit ziet? Bekijk deze korte demovideo of neem contact op met mijn collega Ralph Drijver voor een afspraak.