Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG is een Europese wet die in wezen niet veel verschilt van zijn voorganger, de Wet bescherming persoonsgegevens (Wbp). De belangrijkste wijzigingen zijn dat zorgorganisaties moeten kunnen aantonen aan de AVG te voldoen en dat de boetes die de toezichthouder kan opleggen veel hoger zijn. De AVG heeft hiermee een meer verplichtend karakter dan zijn voorganger.
Afgezien hiervan is er inhoudelijk gezien dus niet veel veranderd ten opzichte van de Wbp. Daar komt bij dat veel bestaande wet- en regelgeving in de zorg niet of nauwelijks geraakt wordt door de AVG. Zo blijft bijvoorbeeld de Wet op de geneeskundige behandelovereenkomst (Wgbo) van kracht. De omgang met patiëntgegevens is niet alleen een belangrijk thema in de Wgbo. Het is ook een wezenlijk onderdeel van alle beroepscodes van behandelaars en een vast bestanddeel van elke gedragscode die binnen zorginstellingen wordt gehanteerd.
Weerstand tegen AVG
Desondanks bestaat er bij veel zorginstellingen veel onduidelijkheid over, zo niet weerstand tegen, de AVG. Voor een deel komt dit omdat de AVG wordt gezien als de zoveelste wet- en regelgeving waaraan moet worden voldaan. Bovendien kan het verplichtende karakter het risico op imagoschade vergroten. Ten slotte zou implementatie van de AVG duur zijn en ten koste gaan van de werkbaarheid.
Voor een deel kan dit alles voortkomen uit gebrek aan kennis: slechts weinigen hebben uit eerste hand kennis genomen van de AVG. Kortom: men heeft de AVG-klok wel horen luiden maar men weet niet waar de klepel hangt, en onbekend maakt onbemind.
Veel wet- en regelgeving
Er is inderdaad veel wet- en regelgeving. Dit geeft aan dat de zorg complex is en dat er veel belanghebbenden zijn. Om één en ander in goede banen te leiden zijn regels nodig; veel regels. Het zicht op al die regels is beperkt. Wat de een beschouwt als beperking, ziet een ander als een verworvenheid of zelfs als mogelijkheid. Regels worden door verschillende partijen in ieder geval verschillend uitgelegd en verkeren in verschillende stadia van implementatie. En inderdaad: niet alle regels zijn (nog) nodig. Maar dit betekent niet dat àlle regels overbodig zijn of dat er geen nieuwe nodig zijn.
Het kan bovendien zinvol zijn de wijze waarop regels zijn geformuleerd dan wel bedoeld, te onderscheiden van de wijze waarop ze worden geïnterpreteerd en geïmplementeerd. Het feit dat regels soms verkeerd of te letterlijk worden uitgelegd, dan wel te rigide worden geïmplementeerd, is de wet- en regelgeving niet altijd aan te rekenen. Dit geldt met name bij de AVG. De AVG is nieuw en abstract en er bestaat nog weinig jurisprudentie. Dit maakt de interpretatie en implementatie lastig.
Kosten onder druk
In een sector waar de kosten onder druk staan, zijn de kosten van de implementatie van nieuwe wet- en regelgeving en standaarden een belangrijke overweging. Niettemin is het in samenhang bezien van hun implementatie een zeldzame bezigheid. Ter wille van de naleving van veel wet- en regelgeving worden aparte documenten en procedures opgesteld en worden speciale functionarissen aangesteld en organen ingesteld. De vraag is of dit altijd nodig is. Vaak kan één en ander worden gecombineerd. Overigens kan de implementatie van de AVG ook leiden tot besparingen; bijvoorbeeld door het verlagen van risico’s (klachten en lekken), het beperken van de hoeveelheid gegevens (minimalisatie, bewaartermijnen) en het corrigeren van gegevens (rectificatie).
Meer nog dan de boetes, is het risico van imagoschade een belangrijke motivatie. Op deze angst wordt gretig ingespeeld door partijen in de markt van de juridische dienstverlening. Het gevolg van deze krampachtigheid is dat het de samenwerking belemmert en haaks staat op de transparantie die wordt nagestreefd.
Werkbaarheid
Ten slotte bestaat de vrees dat (strikte) naleving van de AVG ten koste zou kunnen gaan van de werkbaarheid. Ik heb al gewezen op het feit dat er, inhoudelijk gezien, met de komst van de AVG niet zo heel veel verandert. Bovendien is de omgang met patiëntgegevens deel van de professionaliteit van elke behandelaar. Deze vrees lijkt dan ook ongegrond.
Op dit punt aangekomen kan het verhelderend zijn om afstand te nemen van al deze obstakels en implementatieperikelen en de aandacht te richten op de geest van de AVG.
De AVG beoogt met burgers meer controle en vertrouwen te geven in de manier waarop hun persoonsgegevens worden verwerkt. Dit vertrouwen wordt beschouwd als voorwaarde voor de ontwikkeling van de digitale economie in de Europese markt. Vertaald naar de zorgsector: het doel van de AVG is patiënten meer vertrouwen te geven in de wijze waarop hun gegevens worden verwerkt als voorwaarde voor de ontwikkeling van meer transparantie in de zorgmarkt. Om dit te bereiken is het dus zinvol om wat minder te kijken naar de belemmeringen die de AVG zou opwerpen, en meer oog te hebben voor de kansen die het biedt.
John van Rooij is informatie-architect en adviseur gegevensbescherming.