Inbedding functie (4.1.6)

In alle onderzochte ziekenhuizen heeft de FG een aanstellingsbrief of een arbeidsovereenkomst ondertekend, waarin de aanstelling van de FG is vastgelegd. In de meeste ziekenhuizen bedraagt de invulling van de functie 24-36 uur per week. In vier van de elf ziekenhuizen is extern een FG geworven; in zeven van de elf ziekenhuizen betreft het een interne benoeming. In acht van de elf onderzochte ziekenhuizen is er naast een FG ook een Chief Information Security Officer (CISO). In drie van de elf ziekenhuizen is er alleen een FG.

In sommige ziekenhuizen is er een uitgebreide functieomschrijving van de FG aanwezig die als bijlage bij de aanstellingsbrief of arbeidsovereenkomst is gevoegd. Uit het onderzoek is gebleken dat voornamelijk de grotere ziekenhuizen de functie, taken en bevoegdheden van de FG gedetailleerd hebben omschreven in hun privacybeleid. In zoverre is het functioneren en de positie van de FG onderdeel van het algehele privacybeleid. In kleinere ziekenhuizen lijkt hiervan minder sprake. De positie van de FG wordt weliswaar omschreven in het privacybeleid, maar de verhouding met andere functionarissen en commissies met privacy en informatiebeveiliging als aandachtsgebied is vaak onduidelijk. Ook de inbedding van de FG in het gehele privacybeleid wordt vaak niet gedetailleerd toegelicht. De twee academische ziekenhuizen beschikken over een uitgebreider en completer privacybeleid, waarin de inbedding van de FG is opgenomen en beschreven. Ook geven zij een gedetailleerde beschrijving van de werkzaamheden, de onafhankelijkheid, de taken en de bevoegdheden van de FG.

In de meeste onderzochte ziekenhuizen is de FG organisatorisch ondergebracht bij een afdeling die verantwoordelijk is voor ICT of voor kwaliteit en veiligheid. In de kleinere ziekenhuizen heeft de FG vaak recht- streeks contact met de raad van bestuur. In grotere ziekenhuizen betekent deze organisatorische inbedding vaak ook dat de managers van die betreffende afdelingen het eerste aanspreekpunt zijn voor de FG. In een enkel ziekenhuis is de secretaris van de raad van bestuur de eerste die door de FG wordt aangesproken. Dit doet overigens niet af aan het rechtstreekse contact dat er bestaat tussen FG en raad van bestuur. De FG’s hebben – indien nodig – direct toegang tot en contact met de raad van bestuur. De FG en management informeren de raad van bestuur door middel van kwartaalrapportages, periodieke datalekrapportages en jaarverslagen, waarin aandacht wordt besteed aan privacybeleid. De FG’s en raden van bestuur zijn van mening zijn dat er voldoende informatie over en weer met elkaar wordt gedeeld. In kleine ziekenhuizen zijn de lijnen korter dan in grotere ziekenhuizen. In grote(re) ziekenhuizen verloopt het contact en informatietraject vaker langs een manager van de afdeling waar de FG hiërarchisch onder is ‘gehangen’.

De aanstelling en taken van de FG zijn op verschillende manieren bekendgemaakt, meestal door middel van een vermelding op het intranet of in de interne nieuwsbrief en vermelding in het interne en externe privacybeleid van het ziekenhuis. Ten tijde van de inwerkingtreding van de AVG is er meer aandacht geschonken aan het bekendmaken van de FG door middel van een speciale campagne. Vaak heeft de FG een ronde gemaakt in het ziekenhuis langs verschillende afdelingen.