Stel, er staat een man voor uw balie met een bijzonder verzoek: hij wil zijn dossier laten wissen. Kan dat?

Als we strikt naar de regels kijken kan dat inderdaad. In de Global Data Protection Regulation (GDPR) is namelijk ‘het recht om vergeten te worden’ opgenomen. Klinkt misschien romantisch, maar of het verstandig is daar kun je vraagtekens bij zetten. Voordat u enthousiast gaat wissen, kunt u beter eerst onderzoeken of zo’n verzoek in het belang van de patiënt is. Met andere woorden, is het verzoek proportioneel. Is het antwoord daarop nee? Vraagt u zich dan serieus af of u aan dat verzoek wilt voldoen.

Iemand kan namelijk verschillende redenen hebben om zo’n verzoek te doen. Stel dat je medisch verleden je belemmert in je carrière. Dan heb je een legitieme reden om je van je medische historie te ontdoen. Kampt een patiënt met ernstige psychische problemen en kan hij de gevolgen van zijn verzoek niet overzien, dan is het een ander verhaal. Op deze ethische kwestie gaan we hier niet verder in, dat is tenslotte niet onze business. Voor hier gaan we er even vanuit dat de patiënt in kwestie er goed over nagedacht heeft en de gevolgen van zijn verzoek overziet.

 

Maar hoe nu verder?

 Op het eerste gezicht klinkt het als een eenvoudig verzoek. Je zoekt het dossier op en je vernietigt het. Maar dat blijkt in de praktijk makkelijker gezegd dan gedaan. Om het dossier volledig te kunnen wissen, heb je nogal wat inzicht nodig:

  • Welke gegevens hebben we?

We zijn vaak geneigd om zoveel mogelijk gegevens te verzamelen en te bewaren. Zeker in de gezondheidszorg kan tenslotte elk klein detail van belang zijn. Maar gegevens over gezondheid zijn ‘speciale data’ en daar gelden volgens de Autoriteit Persoonsgegevens (AP) de strengste regels voor. Al voordat je deze gegevens bewaart, moet je jezelf de vraag stellen: hebben we deze gegevens wel nodig en hoe gaan we ze beschermen?

  • Waar staan de gegevens?

Deze vraag is misschien nog wel lastiger te beantwoorden dan de eerste. Want waar begin je? Veel dossiers zijn ooit begonnen op papier. Worden die centraal bewaard of ligt er ergens in een bureaulade misschien ook nog wat? En dan de digitalisering. In een ideale situatie is er één elektronisch patiëntendossier. Maar hoe zit het met gegevens die in een e-mail hebben gestaan? Of die via een Dropbox of OneDrive zijn gedeeld? Daarnaast worden steeds meer dossier gedeeld met andere zorginstellingen. Het RIAGG deelt gegevens met een praktijk voor psychologie, het ene ziekenhuis deelt een dossier met het andere voor een second opinion. Heeft u er nog zicht op waar uw dossiers zich bevinden?

  • Wie zien de gegevens in?

De laatste vraag sluit aan bij de tweede vraag. Zolang je niet weet waar de gegevens staan, is het onmogelijk om te bepalen wie er inzage in hebben.

Wilt u in staat zijn om een dossier volledig te wissen, dan moet u antwoord kunnen geven op de eerste twee vragen: welke gegevens heeft u en waar staan ze. En die antwoorden krijgt u alleen als u continu en consequent vastlegt waar welke gegevens staan. Onbegonnen werk? Wat ons betreft niet. Data-overzicht is namelijk niet alleen nodig bij het verwijderen van dossiers. Het is volgens ons de basis om data goed te beschermen.

Efficiënt inzicht creëren

Om op een slimme manier inzicht te creëren en te behouden heeft ON2IT het Security Framework (ONSF) ontwikkeld. Dit framework laat zien dat data loggen geen onbegonnen werk is. Het geeft u inzicht, zodat u weet welke data u heeft en waar ze zich bevinden. Het ONSF is een overzichtelijk vier-stappenplan om van beleid tot operationeel niveau te komen.

 

Lees hier meer over deze oplossing