Informatiebeveiliging en privacy bij InfinitCare

Informatiebeveiliging en privacy zijn onderwerpen die tegenwoordig vaak aan de orde komen. Zeker na de invoering van de Algemene verordening gegevensbescherming (AVG). Wat is de impact van deze wetgeving op zorginstellingen? Is het nog wel mogelijk om data te verzamelen in de zorg? En hoe gaat InfinitCare hiermee om? Han Laarhuis van InfinitCare beantwoordt deze vragen en vertelt over de mogelijkheden voor zorgaanbieders om informatie te verzamelen. 

Wat is het verschil tussen informatiebeveiliging en privacy? 

“Er is een groot verschil tussen informatiebeveiliging en privacy. Ze horen bij elkaar, maar zijn niet gelijk. Informatiebeveiliging gaat over het veilig opslaan van informatie binnen je organisatie en ervoor zorg dragen dat de informatie alleen wordt gebruikt door mensen die daartoe geautoriseerd zijn. Dat behelst een heel scala aan technische en organisatorische maatregelen.”

“Privacy en de bescherming daarvan gaat terug naar de eed van Hippocrates, en gaat over het recht om niet bespied of beïnvloed te worden. We hebben het dan over met name over persoonsgegevens, waarmee heel zorgvuldig moet worden omgegaan. Personen kunnen schade ondervinden wanneer deze informatie uitlekt. Privacy is ook wettelijk gereguleerd met de AVG.”

Wat houdt de AVG in en wat is de impact van deze verordening op informatiebeveiliging en privacy?

“De AVG is een wettelijke regeling die een aantal zaken op het gebied van privacy en informatiebeveiliging van persoonsgebonden informatie regelt. De wet geeft randvoorwaarden en uitgangspunten. Door de komst van het internet werden veel persoonsgegevens te pas en te onpas verzameld en aan elkaar gekoppeld, zonder toestemming van de persoon in kwestie. Die data werden bijvoorbeeld gebruikt voor retargeting-marketing. Dat was een van de redenen om daarvoor extra regelgeving op te stellen.”

“De AVG is aan de ene kant een goede stimulans om ervoor te zorgen dat de informatiebeveiliging op orde is − ook al gingen InfinitCare en veel andere organisaties hier al heel voorzichtig mee om. Aan de andere kant is er nog veel onwetendheid over de AVG. Tezamen met de vele maatregelen die getroffen moeten worden, geraken veel organisaties in een kramp en durven zij eigenlijk niet langer gegevens te verzamelen.”

Is het nog wel mogelijk om persoonsgegevens te verzamelen in de zorg?

“Heel veel zaken die in de AVG stonden, waren al geregeld vanuit de Wet bescherming persoonsgegevens. In Nederland waren we al serieus bezig met het beveiligen van persoonsgegevens; de juiste afspraken waren al gemaakt. Er is veel aandacht geweest voor de AVG en de mogelijke boetes die de Autoriteit Persoonsgegevens kon opleggen. Zorginstanties hebben hier veelal angstig op gereageerd en durfden geen gegevens meer te verzamelen.”

“Het is echter nog steeds geen enkel probleem om in de zorg data te verzamelen − zolang je een grondslag hebt. Het is eigenlijk ook heel logisch dat je voor het verzamelen van gegevens goede redenen moet hebben. Een van de voordelen van de regelgeving is dat mensen daar nu bewust mee bezig zijn. We moeten beter nadenken over wat wel en niet mag. Waarom heb ik deze data nodig? En is het niet teveel?”

“En dat geldt ook voor de cliënt. Voor welke doeleinden wil ik wel toestemming geven, en voor welke niet? Zo lang je helder maakt waar je de informatie voor gebruikt en je daadwerkelijk toestemming van de cliënt hebt, is het nog steeds goed mogelijk om in de zorg data te verzamelen.”

Hoe gaat InfinitCare om met informatiebeveiliging en privacy? Welke maatregelen zijn er getroffen? 

“Er zijn bij InfinitCare al veel maatregelen getroffen voordat de AVG van kracht werd. Zo zijn we ISO27001 en NEN7510 gecertificeerd. Jaarlijks laten we onze organisatie en de dataverwerkingssystemen auditen, door een aantal externe partijen die zich ook bezighouden met de informatiebeveiliging bij banken. De kennis en expertise die zij daar opdoen, nemen wij ook mee in ónze overwegingen. Zo nemen we organisatorische maatregelen om volgens de laatste wetgeving te werken, en nemen we tegelijkertijd regelmatig de temperatuur op binnen de eigen organisatie. We laten penetratietesten uitvoeren om te kijken of het mogelijk is om in onze systemen in te breken en of we in staat zijn om eventuele aanvallen af te weren. We beschermen gegevens dus erg goed.”

“InfinitCare is dataverwerker, dus wij maken expliciet afspraken met iedere zorgaanbieder over wat we wel en niet mogen doen met de gegevens. Dat wordt vastgelegd in een verwerkersovereenkomst. De data blijven altijd eigendom van de organisatie die ze bij ons aanlevert, zoals gemeenten, zorgaanbieders of externe partijen.”

Wat is er zo bijzonder aan de persoonsgegevens die InfinitCare verwerkt? 

“Wij werken veelal met gevoelige persoonsgegevens, zoals indicaties van ziektebeelden in de GGZ. Daar moet je uitermate voorzichtig mee omgaan. Daarom hebben we besloten om naast de ISO27001- ook de NEN7510-eisen te implementeren, ook al werken wij niet met patiënten.”

“Wij hebben inmiddels de laatste versie van NEN7510 geïmplementeerd. Dit is in lijn met ISO27001, maar op een aantal details wordt dieper ingegaan. De informatiebeveiliging is in onze organisatie nog meer aangescherpt op het feit dat het echt om gezondheidsinformatie gaat.”

Kan InfinitCare de gegevens die ze verwerkt ook verkopen? 

“Nee, dat is onmogelijk! Data zijn én blijven eigendom van onze klanten, zoals vastgelegd in de verwerkersovereenkomst. Als we de data op een andere manier willen toepassen, moeten we eerst toestemming krijgen van de cliënt. Alle data worden beveiligd en versleuteld opgeslagen, en er zijn allerlei extra maatregelen genomen om onvrijwillig gebruik tegen te gaan.”

Wat betekent de AVG voor kwaliteitsregistraties? 

“Veel organisaties zijn huiverig geworden om data te ontvangen. Dat is nog steeds goed mogelijk, maar moet expliciet worden geformuleerd. Bij wetenschappelijke onderzoek zijn daar aparte regels voor.”

“Is er een grondslag om deze data te ontvangen? Is de informatie van toepassing op het primaire proces van de organisatie? Met een goede grondslag is het registreren van deze data toegestaan binnen de AVG. Als je informatie wilt verzamelen die geen betrekking heeft op je primaire proces, moet je toestemming vragen aan patiënten of er moet een wettelijke grondslag zijn, zoals de aanlevering van gegevens aan gemeenten.”

Waarom zijn kwaliteitsregistraties en de daarbij behorende dataverzameling zo belangrijk in de zorg? 

“Nederland heeft een goed zorgstelsel. Er wordt kwalitatieve zorg geleverd en we hebben een collectief systeem. Maar er is een groeiende zorgvraag, en bepaalde zorg is erg duur. Hoe kunnen we waarborgen dat we zorg doelmatig, zinvol en betaalbaar houden en maken?”

“Hiervoor moeten we kunnen beoordelen of zorg zinvol is. Anders lopen we het risico op verhoogde wachtlijsten, ondoelmatige zorg en onnodig hoge kosten. Zinvol meten draagt daaraan bij. We moeten in Nederland een discussie voeren over het eigendom van de data die we binnen de zorg verzamelen. Zijn de gegevens eigendom van de individuele patiënt of van het zorgsysteem? Dat hoeft elkaar niet per se te bijten.”

Hoe verwerkt het Gemeenteportaal persoonsgegevens? 

“Het Gemeenteportaal is opgericht om het gesprek over resultaten tussen gemeenten en zorgaanbieders mogelijk te maken. Het Gemeenteportaal verwerkt data van zorgaanbieders in BI-rapportages. Gemeente en zorgaanbieder hebben toegang tot deze rapportages en kunnen binnen er selecties maken, zodat de resultaten van verschillende cliëntgroepen inzichtelijk zijn.”

“Er worden dus geen data aan gemeenten geleverd; gemeenten krijgen slechts toegang tot rapportages. Ook binnen het Gemeenteportaal blijven de gegevens eigendom van de zorgaanbieder. Het Gemeenteportaal is een onderdeel van de ICT-huishouding van de zorgaanbieder, zoals een EPD dat ook is. Daarnaast heeft InfinitCare diverse maatregelen getroffen om indirecte herleidbaarheid te voorkomen.”

“Wat ons betreft is de wijze zoals het Gemeenteportaal dit vraagstuk oplost de toekomst: je deelt wel relevante informatie, maar geen persoonsgegevens!”