Roger Howard, Data Protection Officer:

 

“Gedeelde FG is een efficiënte oplossing voor de ingewikkelde AVG”

 

De Algemene Verordening Gegevensbescherming (AVG) die op 25 mei van kracht wordt, vraagt veel aandacht en inzet van de zorgaanbieders in de regio. Op hun verzoek heeft het Regionaal Platform Verwerking Persoonsgegevens (RPVP) het Convenant Gegevensbescherming ontwikkeld om kennis te delen en elkaars inspanningen zoveel mogelijk te beperken. Het uitgangspunt: gezamenlijk dezelfde bouwstenen gebruiken en geen dubbel werk doen. Ondersteuning van een Functionaris Gegevensbescherming (FG) helpt zorginstellingen om snel de juiste weg te vinden en zich efficiënt voor te bereiden op de nieuwe privacywet. Roger Howard is specialist op dit gebied en is via REN beschikbaar om geïnteresseerde RPVP-leden te adviseren.

 

Howard is inmiddels als ‘gedeelde FG’ aan de slag bij twee VVT-instellingen in het werkgebied van REN: Zorgcentrum de Wijngaerd in Made en Zorgorganisatie Het Hoge Veer in Raamsdonksveer. Het RPVP telt ongeveer twintig leden, maar kan nog uitgroeien tot zo’n dertig zorgaanbieders. Howard ziet zichzelf als meewerkend voorman. “Mijn rol is die van kwartiermaker. Meedenken over het inrichten van de organisatie op basis van de nieuwe wetgeving. Hoe moeten instellingen de regels implementeren? Het is prettig om te ervaren dat het platform zo goed functioneert. Ik ben ervan overtuigd dat we gezamenlijk veel meer bereiken dan dat ieder voor zich het wiel probeert uit te vinden. Het RPVP is een goede ‘balie’ om je te melden.”

 

Behalve vertrouwd zijn met de wet vraagt het FG-schap ook organisatorisch inzicht en kennis en affiniteit met informatiebeveiliging. Howard heeft als Data Protection Officer brede ervaring in het adviseren van directies met betrekking tot risico-gebaseerd beschermen van persoonsgegevens. Hij is aanspreekpunt voor onder andere medewerkers, leveranciers en stakeholders. Sinds 2013 is hij ook programmamanager en docent van de FG-leergang aan een hogeschool.

 

Nieuw vakgebied

De gedeelde FG vindt hij een efficiënte oplossing. “De AVG is ingewikkeld, het kost veel tijd om je de materie eigen te maken als het niet je dagelijks werk is. Het is een nieuw vakgebied, er gebeurt veel, je doet het er niet zomaar bij. Die bewustwording moet nog groeien.” Het getuigt van een professionele aanpak om je zaken zo op orde te krijgen en bovendien conformeer je je aan het convenant.” Zijn extra kosten een obstakel? “Die proberen we zo beperkt mogelijk te houden. En sowieso: hoe meer zorgaanbieders meedoen, hoe gunstiger. Persoonsgegevens zijn zo belangrijk, daar kun je niet achteloos mee omgaan.”

 

Met betrekking tot de AVG is de gezondheidszorg enigszins een ‘buitenbeentje’ met vaak aanvullende regelgeving die om extra duiding van deskundigen vraagt. Met het regionale platform, het convenant en de FG-dienstverlening loopt REN voorop in Nederland. Howard: “Andere regio’s kijken mee hoe REN dit aanpakt en wat de resultaten zijn. Het convenant wint aan interesse, maar heeft nog wel een zetje nodig. Voor veel zorginstellingen wordt steeds duidelijker wat er van hen wordt verwacht. Men ziet dat een FG nodig is. De Autoriteit Persoonsgegevens (AP) heeft aangegeven te gaan controleren of organisaties die een FG moeten hebben er daadwerkelijk ook een hebben.”

 

Toenemende bewustwording

Howard ziet de bewustwording gestaag toenemen bij organisaties waar het beschermen van persoonsgegevens net zo belangrijk wordt gevonden als het bewaken van de financiën. Maar, hij treft ook nog steeds directies die de problematiek niet onderkennen of ‘parkeren’. “Er zijn nu twee jaar verstreken om het tussen de oren te krijgen. Het is afwachten hoe de AP vanaf 25 mei gaat handhaven. Ik verwacht echter niet dat het boetes gaat regenen. Organisaties zal nog wel een kans worden geboden om een en ander te verbeteren, tenzij men ernstig nalatig is geweest. Organisaties moeten allereerst goed beseffen welke risico’s ze lopen. Gelukkig zie ik steeds meer zorgorganisaties die de risico’s omtrent hun bedrijfsvoering in kaart brengen. Vervolgens is het een kleine stap naar informatieveiligheid in het algemeen en de bescherming van persoonsgegevens in het bijzonder.” Howard benadrukt nogmaals hoe belangrijk het is om de samenwerking op te zoeken via een platform als het RPVP: “Risico’s lossen zich het beste op door denkkracht te bundelen.”