2017 wordt het jaar van de implementatie
Data privacy is duidelijk een hot topic. Dat bleek niet alleen uit de hoge opkomst bij het Data Privacy Congres op 28 september, maar ook aan het type deelnemers. Veel meer mensen dan vorig jaar hadden de titel ‘Data Privacy Officer’ op hun visitekaartje staan. Dat was aangenaam kennismaken voor ons. Wij bespraken daar voornamelijk de implementatie in 2017.
Mooie ontwikkeling
De komst van de GDPR is niet onopgemerkt gebleven en dat vinden wij een mooie ontwikkeling. Alle branches zijn ermee bezig: we hebben mensen ontmoet uit de zorg, de overheid, de financiële dienstverlening en ga zo maar door. Allemaal zien ze de privacy van cliënten als een groot goed en doen ze er alles aan om datalekken te voorkomen.
Zoektocht
Is de kous daarmee af? Natuurlijk niet. Bewustwording is één ding. Maar de praktijk is weerbarstig. Want wat houdt de functie van data privacy officer of ‘functionaris gegevensbescherming’ precies in? Wat zijn de verantwoordelijkheden en taken van zo iemand? Dat is bij veel organisaties die wij hebben gesproken nog een zoektocht.
Testen
Intussen gaat ook het testen met persoonsgegevens onverminderd door. Voor het maken van analyses geldt hetzelfde. Bijna alle organisaties doen dit. De aandacht voor beveiliging is groot, waar het de voordeur betreft. Ondertussen staat de achterdeur nog vaak wagenwijd open. Testen met persoonsgegevens mag niet en vergroot de kans op een datalek.
Implementatie plannen
Het goede nieuws is dat veel bedrijven na een jaar van bewustwording en onderzoek bezig zijn met implementatie plannen om in 2017 compliant te worden aan de GDPR. 2016 was het jaar waarin is nagedacht over ‘wat’, in 2017 zal de nadruk komen te liggen op het ‘hoe’. Daar kijken wij natuurlijk vol verwachting naar uit!
10 jaar EPD
Een paar dagen na het Data Privacy Congres mochten wij spreken voor de Vereniging voor Informatica en Gezondheidszorg (VI&G). Het thema: 10 jaar EPD. Ook hier hebben we interessante inzichten opgedaan.
Eindsituatie
Bij implementaties van EPD’s ligt de focus vooral op de eindsituatie: hoe beveiligen we de productieomgeving? Het traject ernaartoe, waarvan testen een essentieel onderdeel is, is onderbelicht. Dus nogmaals: de voordeur zit op slot, de achterdeur staat open.
Zelf regelen
Frappant is dat er de facto maar twee grote EPD-leveranciers zijn in Nederland, die gezamenlijk vrijwel alle zorginstellingen bedienen. Beide leveranciers bieden geen oplossing voor het genereren van testdata. Voor ziekenhuizen betekent dit dat zij dit zelf moeten regelen. Prima, maar hoe dan?
Groot en complex
Het anonimiseren van gegevens wordt vaak ervaren als een groot en complex thema. Gegevens staan overal verspreid, dus waar anonimiseer je wat? En gebeurt dat dan wel consistent over de gehele softwareketen? Deze kwesties vormen voor veel ziekenhuizen een drempel om te starten met het anonimiseren van cliëntgegevens.
Consistent
Die drempel wegnemen is het bestaansrecht van EntrD. In ons verhaal bij de VI&G hebben we dan ook laten zien dat anonimiseren niet ingewikkeld hoeft te zijn. Dat je het kunt doen voor elke database en consistent over de gehele keten.
Meerwaarde
Daarmee gaat er een wereld voor je open, want je kunt de geanonimiseerde gegevens niet alleen gebruiken voor testen, maar ook voor bijvoorbeeld analyses. Vooral voor ziekenhuizen die veel onderzoek doen is dat een gigantische meerwaarde.
Er is geen enkel ziekenhuis dat de privacy van cliënten onbelangrijk vindt. Zoals gezegd vindt iedereen het zelfs een uitermate groot goed. Een goed uitgangspunt om te beginnen met het anonimiseren van cliëntgegevens. Dat 2017 maar een mooi jaar mag worden.
Wilt u meer weten over implementatie, dan helpen wij u graag verder. Neem gerust contact met ons op!