Het opzoeken van medische gegevens in oude papieren dossiers is tijdrovend en dus kostbaar. Laten we de hele boel inscannen en aan ons EPD koppelen! Maar dan wel bij een goedkope aanbieder. In de prijsvechtersmarkt van scanbedrijven is die er vast wel.

Gedetineerden aan de slag met onze medische dossiers

Onlangs bracht omroep Max een reportage over ziekenhuizen die hun papieren dossiers laten inscannen. Het voorbereiden van het scannen is arbeidsintensief: sorteren, indexen toevoegen en nietjes en paperclips verwijderen. Een aantal Nederlandse ziekenhuizen had een Belgisch bedrijf ingeschakeld, want dat had een voordelig aanbod. Uit de reportage bleek ook waarom: het bedrijf had het werk uitbesteed aan gedetineerden. Nu is een gevangenis natuurlijk een goed beveiligde omgeving, maar toch rijzen er vragen over de privacywaarborgen. Zomaar wat gedachten:

Volgens het bedrijf hebben de gedetineerden een geheimhoudingsverklaring getekend, maar hoeveel waarde mag je daaraan hechten?
Handel in persoonsgegevens is, in navolging van Amerika, een groeiende criminele markt. Zouden de betrokken gedetineerden hiermee lijntjes hebben?
Stel dat er gegevens van Bekende Nederlanders, politici en dergelijke bij zitten, zijn er dan mogelijkheden voor chantage?

Goede informatiebeveiliging is afhankelijk van bewustzijn bij de medewerkers en de veiligheidscultuur in de organisatie. Welke cultuur ten aanzien van informatiebeveiliging leeft er in een gevangenis in het buitenland? Maar deze vraag kun je breder trekken: welke cultuur leeft er bij een door jou ingeschakelde bewerker? Een bewerker, in de zin van de Wet bescherming persoonsgegevens, is een bedrijf dat ten behoeve van een verantwoordelijke persoonsgegevens verwerkt. In je bewerkersovereenkomst maak je als verantwoordelijke afspraken dat de bewerker jouw verzameling persoonsgegevens verwerkt volgens de wet. Maar alle technische, organisatorische en procedurele maatregelen ten spijt, als de medewerkers van de bewerker onvoldoende informatiebeveiligingsbewust zijn loop je risico’s op een datalek. Welke afspraken op dit gebied leg je vast in de bewerkersovereenkomst, hoe dwing je cultuur af? Welke sancties kun je opleggen? Je bent en blijft verantwoordelijke, ook al schakel je een bewerker in.

Wist het ziekenhuis door wie hun gegevens verwerkt zouden worden?

Deze vragen moet je jezelf stellen voordat je een verwerking van persoonsgegevens uitbesteed. Terugkomend op de ziekenhuizen en het scanbedrijf komt de vraag boven hoe zorgvuldig het uitbestedingsproces is gegaan. Hebben de ziekenhuizen zelf wel een veiligheidscultuur en voldoende bewustzijn op het gebied van informatiebeveiliging? Wisten zij dat hun gegevens verwerkt zouden worden in een gevangenis? Wisten ze of er voldoende privacywaarborgen waren?

Het scanbedrijf is inmiddels gestopt met verwerking van persoonsgegevens door gedetineerden vanwege negatieve beeldvorming. Maar zij zeggen zich niet te schamen gedetineerden te hebben geholpen bij hun voorbereiding op terugkeer in de maatschappij. Zij geven aan dat medewerkers zijn geselecteerd die “geen ongezonde belangstelling voor gegevens van anderen” hebben. Het is dus ook mogelijk dat het betrouwbare medewerkers waren en dat omroep Max een beetje aan stemmingmakerij doet. Door het publiceren van medische gegevens op een openbare webserver ging het bedrijf overigens wel écht in de fout. Ook dat wordt aangetoond in de uitzending.

Gedetineerden en privacy; en het huis is te klein. Maar over veel andere bedrijven waar onze medische gegevens terechtkomen blijft het stil. Het kan in ieder geval geen kwaad als zorginstellingen een beetje doorvragen naar privacywaarborgen als ze een bewerker inschakelen. En dat staat dankzij Max weer iets hoger op de agenda.

Edit: De Autoriteit Persoonsgegevens heeft onderzoek gedaan naar dit onderwerp en geconstateerd dat er geen goede bewerkersovereenkomsten waren afgesloten. Meer informatie op: AP eist betere afspraken over digitaliseren patiëntdossiers

Bron: Blog Martine van de Merwe