Wie doet wat op het gebied van privacy en informatiebeveiliging?

Als zorginstelling heb je een grote verantwoordelijkheid als het gaat om de beveiliging en verwerking van persoonsgegevens. Hieruit volgen verplichtingen op het gebied van zowel informatiebeveiliging als privacy. Zo moet je voldoen aan de Nederlandse Normen set 7510 (NEN7510), de Wet bescherming persoonsgegevens (Wbp), die vanaf mei 2018 wordt vervangen door de Algemene Verordening Gegevensbescherming (AVG). Daarmee zijn nog niet alle van toepassing zijnde wetten en gedragscodes genoemd (bijvoorbeeld de Wet op de geneeskundige behandelingsovereenkomst en de Wet gebruik burgerservicenummer in de zorg), wel de voor dit onderwerp belangrijkste.

Activiteiten op het vlak van informatiebeveiliging en privacy behoren dan ook goed te worden belegd bij medewerkers binnen de zorginstelling. Er zijn verschillende functies te onderkennen. Veel voorkomende functies zijn die van Chief Information Security Officer / Security Officer (SO), Privacy Officer (PO) en Functionaris Gegevensbescherming / Data Protection Officer (FG/DPO). Wie is nu waar verantwoordelijk voor en hoe verhouden deze functies zich tot elkaar? Onderstand worden de diverse functies nader toegelicht.

De Chief Information Security Officer (SO)

De SO is verantwoordelijk voor de beveiliging van informatie binnen de zorginstelling. Hij/zij is verantwoordelijk voor het implementeren van en toezicht houden op het informatiebeveiligingsbeleid binnen de zorginstelling. De SO speelt een centrale rol in het beheren van alle processen die daarmee te maken hebben en moet daarbij voldoen aan de NEN7510 normen set, een set van organisatorische en technische beveiligingsmaatregelen die moeten worden geïmplementeerd en beheerd.

De Privacy Officer (PO)

Waar de CISO verantwoordelijk is voor het informatiebeveiligingsbeleid is de PO verantwoordelijk voor het vormgeven en bewaken van het privacy beleid. Daarnaast kan de PO ondersteunen bij het in kaart brengen van de risico’s door bijvoorbeeld een gegevensbeschermingseffectbeoordeling (ook wel DPIA genoemd) uit te voeren. Wanneer het privacy beleid is vastgesteld en een DPIA is uitgevoerd kan een implementatieplan worden opgesteld. Verder speelt de PO een belangrijke rol op de werkvloer. Net als de SO vervult hij/zij een adviserende rol en fungeert hij als vraagbaak op het gebied van gegevensverwerking. Denk hier bijvoorbeeld aan de wijze waarop gegevens moeten worden gedeeld en welke eisen en verplichtingen er aan externe partijen moeten worden opgelegd.

De Functionaris Gegevensbescherming/Data Protection Officer (FG/DPO)

Liet de Wbp het aanstellen van een FG/DPO nog vrij, onder de AVG is elke zorginstelling verplicht een FG/DPO aan te stellen (AVG artikel 37 lid 1c). De FG/DPO is o.a. verantwoordelijk voor het toezicht houden op de naleving van de privacywet- en regelgeving, het inventariseren en bijhouden van gegevensverwerkingen en het afhandelen van vragen en klachten van mensen binnen en buiten de organisatie. Lees meer over de invulling van de rol van FG/DPO op de site van de Autoriteit Persoonsgegevens (AP).

De functies staan niet los van elkaar…

Hoewel de functie van FG/DPO op zich staat, bestaat er wel een duidelijke samenhang en soms zelfs een overlap in de taken van de FG/DPO en de PO en SO. Moeten we de verschillende functies dan niet samenvoegen tot één informatieveiligheid functie? Onze stellige overtuiging is dat dit niet kan en moet. Als het om informatiebeveiliging gaat liggen de implementatie en toezichthoudende taak bij de SO. Op het vlak van de veilige verwerking van persoonsgegevens ligt de implementatie van de maatregelen vaak bij de PO en de toezichthoudende taak bij de FG/DPO. Opgemerkt moet worden dat de eindverantwoordelijkheid altijd in de lijn ligt (integrale verantwoordelijkheid). De eindverantwoordelijkheid voor de privacy wetgeving ligt zelfs bij het bestuur van de zorginstelling. Om die reden – en om zijn onafhankelijke positie te waarborgen –  moet een FG/DPO altijd rechtstreeks worden aangestuurd door en verantwoording afleggen aan het bestuur.

De onafhankelijke positionering van de FG/DPO

Zoals al eerder aangegeven zijn wij van mening dat de onafhankelijke positionering van de FG/DPO moet worden gewaarborgd. De FG/DPO moet primair toezicht houden en waar nodig handhaven. De FG/DPO is het verlengde, een ‘vooruitgeschoven post’, van de AP. De FG/DPO functie moet dus niet worden samengevoegd met de functie van SO en/of PO. De functie van FG/DPO vraagt behoorlijk wat competenties van iemand. Daarnaast moeten de onafhankelijk toezichthoudende taken van de FG/DPO, zoals al eerder aangegeven, gescheiden worden belegd van de adviserende en uitvoerende taken van de SO en PO.

De rol van functionaris gegevensbescherming in deeltijd

Afhankelijk van de omvang van een zorginstelling kan bij kleine zorginstellingen de rol van FG in deeltijd voor meerdere zorginstellingen worden uitgevoerd. Vaak zijn kleinere zorginstellingen (logischerwijs) geneigd de functies van FG/DPO en PO te combineren. Hier kan in deze situatie begrip voor worden opgebracht. Het combineren van de privacy functie met die van de SO wordt afgeraden. Kijk in dit geval veel meer naar de mogelijkheden de functies van enerzijds FG/DPO en anderzijds die van de PO en SO voor meerdere zorginstellingen in deeltijd uit te voeren.

Heb je als zorginstelling niet de juiste competenties in huis om de functie van FG/DPO in te vullen? Dan kun je de functie van FG/DPO nog altijd extern inhuren/inkopen. Start in ieder geval op tijd met het compliant worden met de AVG en stel een FG/DPO aan!