Van privé naar privacy en product

Michel Glintmeijer

Privacy and Assurance Officer

Als privacy officer bij Nedap Healthcare ben ik zeker niet bezig om een checklist af te vinken. De functie is ontstaan omdat we in het kader van de AVG met al onze gebruikers een privacy- ofwel verwerkersovereenkomst willen hebben. Regel dat maar eens voor ruim duizend klanten! Ik ging de uitdaging graag aan. Ook vanwege het multi-interpretabele karakter van de wet en de dynamiek binnen de functie; gevaar voor een onverwachtse crisis is er altijd.

Privacy als product

Het leukste aan de functie van privacy officer vind ik de dynamiek. Toen ik begon moesten we een flink aantal vereiste aanpassingen nog doen en hadden we ongeveer één incident per week. Toen bleek het heel nuttig dat ik niet snel gestrest raak! Want als een crisis zich voordoet, weet ik echt niet hoe laat ik thuis ben. Dat is wel eens 03.00 uur ’s nachts geworden. Maar ik gedij in onrust: het onverwachte vind ik heerlijk. Verder heb ik ongelofelijk veel vrijheid. De opdracht die ik meekreeg, is om van privacy een product te maken en te zorgen dat collega’s en klanten mij weten te vinden. Het belangrijkste vind ik dat we logisch blijven nadenken: geen bangmakerij over boetes of schuld, maar samen kijken naar hoe we het beste invulling geven aan deze wet.

De beste toepassing van de AVG

Ik werk vooral samen met klanten aan de zogenaamde verwerkersovereenkomsten; hierin spreken we af hoe wij als organisatie de persoonsgegevens in de klantomgevingen beschermen. Bij grote organisaties gaat het vaak andersom; zij leggen ons een verwerkersovereenkomst voor, zoals bij Defensie waar we nu mee in gesprek zijn. Vervolgens gaan we die overeenkomst uitvoerig doornemen en doorspreken. Daar komt veel wetgeving en juridische kennis bij kijken. Dat de AVG (nog) niet heel uitgesproken is over een aantal dingen, vind ik mooi. Dat geeft ruimte en bewegingsvrijheid om de beste toepassing ervan te zoeken. Defensie is voor mij een extra leuke uitdaging omdat ik naast privacy officer bij Nedap Healthcare ook reservist bij de Koninklijke Landmacht ben.

‘We kijken samen met klanten naar de beste invulling van de AVG.’

Medische gegevens optimaal beschermd

Om zeker te weten dat alle (medische) persoonsgegevens binnen onze applicatie steeds optimaal beschermd zijn, testen we dit continu op diverse, creatieve manieren. Als wij, of één van onze klanten, iets ontdekken dat niet klopt, dan gaan we meteen met een crisisteam aan de slag om het gat te dichten. Bijvoorbeeld wanneer blijkt dat een wijkverpleegkundige toegang heeft tot de medische dossiers van bewoners in een andere wijk. Mijn dag ziet er dan ineens heel anders uit! We kijken wie betrokken is bij het betreffende stuk software, zoeken uit wie van onze klanten getroffen zijn en definiëren zo exact mogelijk wat het probleem is. In het geval van de wijkverpleegkundige verschilt het per zorginstelling of ze dit als bezwaarlijk ervaren.

‘We communiceren open en eerlijk over incidenten.’

Privacy en transparantie

Met onze klanten hebben we de afspraak dat wij een melding maken als we iets ontdekken. Begin 2017 leidde dat tot veel meldingen en vroegen sommige klanten mij zelfs om te stoppen met het melden van incidenten. Dat hebben we niet gedaan. Uiteindelijk nam het aantal meldingen namelijk af. Daarop kreeg ik de vraag van een andere klant of ik hen wel op de hoogte hield; hij had al zo lang geen melding meer van ons gehad! Van onze klanten hoor ik vaak dat wij de enige zijn die zo open communiceren over incidenten waar we tegenaan lopen. Dat vind ik een groot compliment, want privacy begint met transparantie.

 

Nedapper Michel Glintmeijer

‘In 2015 begon ik bij Nedap Healthcare als support engineer voor vragen waar support medewerkers bij klanten niet uitkwamen. Eind 2016 vroeg onze marktgroepleider Guus Droppers of ik mij met het privacy vraagstuk en de certificering van onze applicatie bezig wilde gaan houden. In de praktijk betekent dat veel praten met klanten. Momenteel hebben we rond de zes- à  zevenhonderdduizend actieve cliëntdossiers. Wij laten duidelijk zien welke subverwerkers wij inschakelen. Als een zorgaanbieder daar vragen bij heeft, gaan we in gesprek. Af en toe draai ik nog telefoondiensten mee bij mijn collega’s van support. Een goede manier om mijn kennis van onze applicatie op peil te houden. Daarnaast werken we aan het opstarten van het traject voor de certificering ISO 27001, die willen we dit jaar opnieuw binnenhalen.’

 

Zie jij ook uitdaging in de wirwar die de AVG-wetgeving met zich meebrengt? En zoek je naast je studie een baan  om hier een rol in te spelen?   Lees dan zeker even verder.