Wat kan je er zelf aan doen?
Datalekken. Er gaat bijna geen dag voorbij of we horen erover in het nieuws. De meeste meldingen over datalekken kwamen uit de zorg en de financiële sector. Wat kun je als medisch secretaresse zelf doen om de privacy op het secretariaat te waarborgen? We vroegen het aan Bouke van Kleef, privacybewustwordingsspecialist en eigenaar van AVK Training & Coaching.
Tekst Ellen Smink
Er zijn al zoveel voorzorgmaatregelen genomen, wat moeten we nog meer doen?
Bouke: “Ja, er is inderdaad ‘al veel gebeurd’, maar jemig wat is er nog veel te doen. Natuurlijk is privacy in eerste instantie een onderwerp voor de specialisten, zoals de FG (Functionaris Gegevensbescherming, red.), juristen en/of de securityspecialisten. Maar als secretaresse moet je er ook wat mee, want uiteindelijk gaan heel veel persoonsgegevens door jouw handen en krijg je allerlei data onder ogen. Dat brengt risico’s met zich mee en dat zijn niet alleen digitale risico’s, maar ook risico’s op het gebied van gegevensbescherming.”
Recht op privacy dus?
Bouke: “We noemen het de privacywetgeving maar het is eigenlijk gegevensbeschermingsrecht. Wij hebben allemaal het recht dat onze gegevens op een adequate manier beschermd worden door de organisaties die onze gegevens verwerken. Gegevensbescherming gaat in mijn ogen iets verder dan privacy. Als secretaresse in de zorg heb je te maken met gezondheidsgegevens. Dat zijn bijzondere persoonsgegevens. En bij bijzondere persoonsgegevens zijn er strikte voorwaarden. Je mag ze niet zomaar verwerken. Daarnaast zijn er richtlijnen hoe je daarmee secuur moet omgaan.”
Die zijn toch bekend
Bouke: “Eh deels wel. AVG (Algemene verordening gegevensbescherming, red.) en privacy zijn als containerbegrippen, waardoor het lijkt dat iedereen er een beetje verstand van heeft. Maar vaak is men niet voldoende geïnformeerd. Een onderwerp als privacy leent zich ook een beetje voor ‘in het land der blinden is eenoog koning’. Veel mensen weten het antwoord niet en vertrouwen erop dat andere mensen het antwoord wel weten die het eigenlijk ook niet precies weten. Gegevensbescherming is echt een vak. En het is niet zo dat de secretaresse dit vak moet uitoefenen maar ze moet wel van de voor haar relevante dingen weten.”
Zoals?
Bouke: “Stel je zit in de wachtruimte van een ziekenhuis en er wordt omgeroepen: ‘Meneer Jansen met de aambeien’. Nu is dit natuurlijk flauw, want de kans dat dat gebeurt, is niet zo groot. Toch is het wel waarschijnlijk dat als ik bij de balie aankom, het dossier van mijn voorganger met alle gegevens nog open ligt. Of dat ik bij de assistente van de huisarts kan meekijken in de agenda. Ik stond gisteren bij de apotheek. Er stond iemand bij de toonbank die een beetje hardhorend was. Hierdoor was in de hele apotheek te horen waarvoor de vrouw kwam. Ook de assistente ging harder praten, waardoor het hele ziektebeeld van de vrouw door de wachtruimte van de apotheek ging, waar ik niet de enige was. In een dergelijk situatie moet je naar een alternatief zoeken en kijken of je niet even apart met de vrouw kan gaan zitten. Er zijn altijd oplossingen te bedenken. In dit geval was de oplossing er gewoon. Er was een apart kamertje waar ze zich hadden kunnen terugtrekken.”
Wat is het grootste risico waar we rekening mee moeten houden?
Bouke: “Wat ik net noemde zijn nog kleine voorbeelden. Het grootste risico voor het secretariaat zit hem veel meer in het feit dat we te veel en te lang gegevens bewaren. Het behoort tot de karaktereigenschappen van vele Nederlanders en dus ook de secretaresse dat stukken worden bewaard, zodat ze terug te vinden zijn. Dat is natuurlijk prima, maar je moet er ook rekening mee houden dat dingen ook weg moeten. Vraag je dus af waarom je bepaalde gegevens bewaart en of het wel echt nodig is om ze te bewaren. Zo mag je bijvoorbeeld een kopie-ID van iemand niet zomaar bewaren. Toch zal je, als je in mailbox gaat zoeken naar ‘kopie-ID’, schrikken hoeveel mails je daarmee nog in je mailbox vindt. Datzelfde geldt voor mails waarin een BSN-nummer wordt vermeld. Er zijn strenge regels over het mogen verwerken van het BSN-nummer. Zelfs de Belastingdienst is door de Autoriteit Persoonsgegevens op haar vingers getikt omdat de Belastingdienst het verplicht had gesteld het BSN-nummer op de loonstrook te zetten. Dat is nu niet meer verplicht. Ook het verplicht vermelden van het BSN-nummer op facturen door ZZP’ers is inmiddels terecht aan banden gelegd.”
Wat zijn de consequenties voor de secretaresse persoonlijk als er niet goed met data wordt omgegaan?
Bouke: “In principe zijn de consequenties altijd voor de werkgever. Toch ken ik een voorbeeld van een iemand die ontslag heeft gekregen omdat hij/zij haar/zijn boodschappenlijstje aan de achterkant van een patiëntendossier had geschreven. Het was niet het enige incident, maar een stapeling van incidenten waarvan deze uiteindelijk de druppel was. Waar het om gaat is dat je als secretaresse goed geïnformeerd moet zijn wat je wel en niet mag. Ook is het goed dat je het privacyjargon kent. En dat je weet wat veilig en risicovol onlinegedrag is. Dat we bewust moeten omgaan met privacy is inmiddels bij alle organisaties bekend, maar waarom we niet altijd doorpakken is een interessantere vraag. We zullen datalekken moeten leren herkennen en nog bewuster moeten omgaan met gegevens en beveiliging. Veel van die gegevens gaan door de handen van een medisch secretaresse, ook al omdat ze dicht tegen de bijzondere persoonsgegevens of gevoelige gegevens van het management aan zit. In die zin is ze dus een heel belangrijke schakel voor een privacybewuste organisatie die optimaal omgaat met de gegevens van haar cliënten.”
Meer informatie
Tijdens het Secretaressecongres geeft Bouke de workshop ‘Privacy op het Secretariaat’, waarbij hij je onder andere laat zien welke (digitale) risico’s je tijdens je werk loopt en wat je zelf kan doen om nog beter met privacy om te gaan.