Nu de deadline om te voldoen aan de Algemene Verordening Persoonsgegevens (AVG) steeds dichterbij komt, zijn veel bedrijven verwikkeld in een race tegen de klok om vanaf 25 mei niet in overtreding te zijn. Voor Abrona draait de AVG, ook wel bekend als de GDPR, echter om meer dan alleen compliancy.
De zorgdienstverlener nam het belang van privacy en databescherming twee jaar geleden al op in zijn it-visie en interne processen. Binnenkort houdt de instelling bovendien een privacyfestival, om de bewustwording voor dit onderwerp onder zowel werknemers als cliënten te verhogen.
Cliënt centraal
Abrona is een zorgverlener die begeleiding biedt aan mensen met een verstandelijke beperking en aan mensen met een maatschappelijk probleem, zoals kinderen die uit huis worden geplaatst. Die inspanningen verricht Abrona vanuit zo’n vijftig verschillende locaties in de regio Utrecht. Omdat Abrona als zorgverlener zogeheten bijzondere persoonsgegevens verzamelt, stelt de AVG nog strengere eisen aan de organisatie dan aan veel andere bedrijven. Daar komt bij dat in 2020 ook de Wet Cliëntenrechten ingaat, die aanvullende voorwaarden stelt aan de databescherming door zorgverleners. Toch was compliancy voor Abrona niet de belangrijkste reden om aan de slag te gaan met privacy.
Toen Abrona twee jaar geleden zijn nieuwe it-visie vastlegde, stond daarin één ding centraal: de cliënten. Volgens de zorgverlener moet technologie niet leidend zijn, maar medewerkers in staat stellen om optimale zorg te verlenen. ‘Daar hoort ook bij dat we cliënten ervan verzekeren dat er zo veilig mogelijk en transparant met hun data wordt omgegaan’, zegt Nick Postma, teamleider Iictbij Abrona. ‘We merken dat onze cliënten dat belangrijk vinden en dat ze daar vragen over stellen. Welke informatie we bijvoorbeeld over ze opslaan, hoe we dat doen en welke medewerkers daar inzicht in hebben.’
Beter bedienen
Databeveiliging en bescherming van de privacy vormen dan ook een van de belangrijkste pijlers van de nieuwe it-visie van de organisatie. ‘We zijn momenteel bijvoorbeeld bezig met het vervangen van de mobiele devices en laptops van onze medewerkers’, vertelt Postma. ‘Daarbij maken we gebruik van Intune, om de veiligheid van de data op de devices te verhogen. Zo kunnen we het device vergrendelen of wissen als iemand bijvoorbeeld zijn laptop verliest. Maar we kunnen dan ook een scheiding maken tussen privé- en zakelijke applicaties en data. Dat maakt het weer mogelijk om beter te voorkomen dat bijvoorbeeld informatie uit een cliëntendossier naar een privémailaccount wordt geüpload.’
Een ander onderdeel van de it-vernieuwing die Abrona doorvoert, is de overstap naar de cloud. Postma: ‘Samen met een projectteam waarin juist ook zorgmedewerkers participeren hebben we de behoefte uit de organisatie opgehaald en ook de medewerkers gevraagd wat ze nodig hebben in hun dagelijks werk en wat zij nodig hebben om cliënten beter te bedienen.’ Met Microsoft-partner Wortell implementeert Abrona momenteel Office 365, waarmee medewerkers efficiënter kunnen samenwerken. ‘Bijkomend voordeel is dat we mede dankzij Office 365 eenvoudiger voldoen aan de eisen voor NEN 7510, een norm voor informatiebeveiliging.’
Privacy is controle
Hoewel het essentieel is te voorkomen dat gegevens op straat komen te liggen, draait privacy echter ook om controle, vertelt Postma. ‘Wij hebben daarom een cliëntenportal beschikbaar gesteld waarmee cliënten en andere betrokkenen, zoals ouders, zelf inzicht krijgen in informatie uit hun elektronisch dossier. In deze portal vinden ze bovendien ook altijd de meest recente versie van hun zorgplan, waarin we bijvoorbeeld vorderingen en afspraken bijhouden. Voorheen verzonden we die plannen altijd per e-mail, of verstrekten we een hardcopy. Dan is de nieuwe werkwijze een stuk beter, omdat we zo voorkomen dat we met verschillende versies werken.’
Overigens is Postma zich ervan bewust dat de onderwerpen AVG en privacy verder gaan dan techniek. ‘Het verhogen van bewustzijn met betrekking tot privacy is minstens zo belangrijk. Want hoe goed je alles vanuit de techniek ook dichttimmert, alles valt of staat met een juiste werkwijze van werknemers. Die moeten dus bijvoorbeeld begrijpen dat ze niet een foto van zichzelf met een cliënt op Twitter moeten gaan plaatsen als een cliënt hier geen toestemming voor heeft gegeven. Maar ze moeten zich er ook van bewust zijn met wie ze binnen- en buiten de organisatie specifieke informatie van een cliënt, wel en niet mogen delen en op welke manier ze die informatie delen’
Privacyfestival
Om het bewustzijn rond het thema privacy te verhogen, organiseert Abrona een privacyfestival voor zowel werknemers als cliënten. ‘Met het festival willen we dat op een creatieve en feestelijke manier doen, met muziek en lekker eten. Daarnaast hebben we Maria Genova, schrijfster van onder meer ‘Komt een vrouw bij de hacker’, uitgenodigd om te vertellen over de gevaren rondom identiteitsdiefstal en zijn er presentaties en workshops over de AVG. Verder organiseert Wortell een escape-room-event, waarin deelnemers de gevolgen van een fictief datalek moeten oplossen.’
Op het festival worden ook de resultaten van een privacysteekproef gepresenteerd. Abrona huurde onlangs mystery guests in om ongemerkt een van de panden van de zorgverlener binnen te lopen. ‘Zij kregen daarnaast de opdracht om bijvoorbeeld kantoorruimtes binnen te lopen, om te zien of ze daar gevoelige informatie van een bureau konden meenemen’, zegt Postma. ‘Wat we uiteindelijk op een ludieke manier duidelijk willen maken, is dat de AVG belangrijk is om meer dan alleen juridische redenen. Het gaat vooral ook over vertrouwen. Niemand wil dat zijn persoonlijke gegevens op straat komen te liggen. We hebben daarom allemaal de verantwoordelijkheid om zorgvuldig met data om te gaan.’
En dat betekend ook namelijk dat bedrijven, in geval van fusie of overname, hun ‘clienten’ ter dege dienen te informeren wat er voor hen aanstaande is natuurlijk. De AVR en GDPR heeft een veel grotere impact als menig organisatie vermoed namelijk. Ik ben zulks nog in de voorstellingen van zaken nog niet tegen gekomen. Beetje laat.