‘De vage grens tussen privacy en betrokkenheid, dat kom ik vaak tegen bij zorginstellingen’

Hoe kan het dat, na alle aandacht die er is voor privacy in de zorg, er toch nog zo’n lek opduikt als bij het OLVG?

Het verbaast me niks. Ik loop voor mijn werk veel rond bij zorginstellingen, en ik zie dat het vaak voorkomt dat autorisatieprocessen nog niet op orde zijn. Van oorsprong ben ik IT-auditor, dus ik weet goed hoe die instellingen moeten werken en hoe ze moeten worden ingericht. Dat gebeurt lang niet overal even goed.

Waarom niet?

Het is heel lastig. Het personeel moet gewoon z’n werk kunnen blijven doen, en aan de andere kant moet het veilig zijn. De truc zit ’m in een combinatie van restricties vooraf en controles op logging – dus dat je weet wie welk dossier heeft ingezien – achteraf.

Stel je zo’n systeem te strak in, dan is het niet meer werkbaar. Dan verdwaalt elke medewerker in een zee van schermpjes die verschijnen en die je vertellen dat je iets niet mag inzien.

Uitgangspunt is dat mensen alleen relevante informatie voor hun behandelrelatie moeten zien. Zo heeft dan iemand van de ene afdeling niet noodzakelijkerwijs toegang tot de gegevens van een andere afdeling. Het kan dat dat wel nodig is, bij multidisciplinaire behandeling bijvoorbeeld. Voor deze uitwisseling naar een andere specialisatie is toestemming van de patiënt nodig. Maar bij een gebroken been is het niet nodig de hele psychische doopceel te kunnen lichten. Hiervan wordt het, alwéér niet eenvoudiger, maar wel veiliger.

Bovendien werken er veel flexkrachten in de zorg. Elke ochtend het profiel van al die medewerkers opnieuw instellen, dat is niet te doen. Er gebeurt veel ad hoc. ’s Ochtends wordt een invalkracht gebeld, die kan dan nog niet in het systeem, en krijgt de inlog van een account van iemand die al werkt.

Privacy heeft daarbij vaak niet de aandacht van het zorgpersoneel. Die willen gewoon hun werk kunnen doen. Er wordt altijd gepiept als ze ergens niet bij kunnen, maar zelden als ze teveel toegang hebben.

Wanneer gaat het wel goed?

Er moet al zoveel in de zorg, dus veel hangt af van de bestuurders en of zij van privacy een prioriteit maken. Dat werkt dan door in de cultuur van een organisatie. Ik heb het idee dat dit in ziekenhuizen vaker gebeurt dan in de ouderenzorg en de gehandicaptenzorg, waar ik vooral werkzaam in ben.

Juist in de zorg, als het gaat om kwetsbare mensen, is het heel belangrijk dat je gegevens goed zijn beschermd. Wat eenmaal gelekt is, is nooit meer terug te halen. Dat is het gevaar van deze tijd. Privacy gaat erover dat je zelf bepaalt wat anderen over jou weten. Dat is niet aan een zorginstelling.

Maar dat snappen zorgmedewerkers toch als geen ander?

Mensen in de zorg zijn doordrongen van hun beroepsgeheim, maar wat dat betekent op de werkvloer is nog lastig. Praat niet over patiënten waar anderen bij zijn, wees voorzichtig met wat je mailt, dat zijn belangrijke adviezen.

Ik heb voorbeelden genoeg van hoe het toch mis kan gaan. Ik had een opdracht bij een zorginstelling in een kleine, hechte dorpsgemeenschap, waar iedereen elkaar kent. Verpleegkundigen vertelden daar dat zij ’s avonds niet Facebook checkten, maar in het elektronisch cliëntendossier keken hoe het met kennissen was.

Iedereen snapt dat dit eigenlijk niet hoort. Maar als een zorgverlener even kijkt hoe het is met de vader van een zieke collega, dan gebeurt dat ook uit betrokkenheid. Het mag niet, maar de bedoeling is niet verkeerd. Dat kom ik vaak tegen, die spanning over waar de grens loopt tussen privacy en betrokkenheid.