Advisering (4.2.3)

Advisering aan de raad van bestuur
In alle onderzochte ziekenhuizen is sprake van gevraagde en ongevraagde advisering van de FG aan de raad van bestuur. In de meeste gevallen is er binnen deraad van bestuur één lid verantwoordelijk voor ICT en informatiebeveiliging dan wel privacy en gegevensbescherming. Dat bestuurslid is dan het aanspreekpunt. De raad van bestuur vraagt de FG doorgaans om advies bij vraagstukken waarbij privacy en gegevensbescherming een rol spelen en bij grotere projecten met een privacy-component. Verder weten raden van bestuur de FG voor advies te vinden bij het sluiten van verwerkersovereenkomsten en andere contracten met een privacy-aspect. Daarnaast wordt de FG geraadpleegd bij beveiligingsincidenten en datalekken. In veel ziekenhuizen komt de FG regelmatig met ongevraagde adviezen aan de raad van bestuur. Dat is bijvoorbeeld het geval als mediaberichten daartoe aanleiding geven of bij incidenten binnen de organisatie, zoals datalekken en autorisatieproblemen. Ook hieruit blijkt dat er in dergelijke gevallen direct contact is tussen de raad van bestuur en de FG.

Vooral in kleinere ziekenhuizen is het contact tussen de FG en de raad van bestuur vaak laagdrempelig. Bij grotere ziekenhuizen komt het vaker voor dat de raad van bestuur niet rechtstreeks advies vraagt aan de FG, maar aan een privacycommissie waarvan de FG deel uitmaakt. 

Advisering door de FG binnen de organisatie
Vaak wordt de FG op ad-hocbasis geconsulteerd door collega’s op de werkvloer. FG’s zijn doorgaans, zeker bij kleinere ziekenhuizen, goed zichtbaar binnen de organisatie en staan intern bekend als dé privacy-expert en vraagbaak. Zij worden gemakkelijk benaderd door mensen van de werkvloer. Dit leidt er soms wel toe dat FG’s in kleinere ziekenhuizen voornamelijk bezig zijn met het reactief adviseren aan medewerkers en minder toekomen aan proactieve taken, zoals het houden van intern toezicht binnen de organisatie. In met name grotere ziekenhuizen kunnen medewerkers voor vragen ook terecht bij een privacycommissie of een CISO. 

Intern draagvlak bij advisering door de FG
De AP krijgt op basis van de schriftelijke inlichtingen en gesprekken de indruk dat privacy en gegevensbescherming de nodige aandacht krijgen van raden van bestuur. Wel is de AP uit het onderzoek duidelijk geworden dat sommige ziekenhuizen deze thema’s relatief laat aandacht hebben gegeven en dat er in enkele ziekenhuizen nog wel werk aan de winkel is. 

Daarnaast lijkt het erop dat de adviezen van de FG’s doorgaans serieus worden genomen door het management. Op de werkvloer komen FG’s vaker weerstand tegen. Men ervaart privacy en gegevensbescherming dan als bureaucratische last die bovenop de zorgverlening komt. Bij weerstand gaan FG’s doorgaans het gesprek aan, waarbij zij bijvoorbeeld benadrukken dat privacy onlosmakelijk onderdeel uitmaakt van kwalitatief goede zorgverlening. Daarnaast proberen veel FG’s in overleg met de afdeling te zoeken naar een oplossing die recht doet aan de wetgeving en tegelijkertijd praktisch werkbaar is. Eén FG benadrukte dat niet alleen gezegd moet worden dat het niet mag, maar ook hoe het wél kan. 

Advisering bij DPIA’s 
In alle onderzochte ziekenhuizen geeft de FG advies bij DPIA’s. De adviezen hebben betrekking op de vraag of er al dan niet een DPIA moet worden uitgevoerd, hoe het format van de DPIA eruit moet zien en welke methodiek er moet worden gevolgd. Daarnaast geven FG’s advies over risico’s die uit de DPIA volgen. Verder bestaat de betrokkenheid van FG’s vaak uit het controleren en toetsen van de uitvoering van DPIA’s. Een enkel ziekenhuis geeft aan dat de gang van zaken en de rol van de FG bij het uitvoeren van DPIA’s nog nader moet worden uitgewerkt.