In Nederland werken bijna 1,7 miljoen mensen in de zorg. En nog is sprake van een groot personeelstekort. De personeelstekorten in de zorg brengen voor bestuurders en HR-professionals nieuwe uitdagingen met zich mee. Wij zien in de praktijk dat dit bijvoorbeeld leidt tot het aannemen van zorgmedewerkers die achteraf niet zo geschikt blijken te zijn voor de zorg. In deze blogreeks gaan wij in op allerlei arbeidsrechtelijke zaken die je tegen kunt komen vanaf de sollicitatie tot het einde van het dienstverband.
In de zorg worden veel en gevoelige persoonsgegevens van patiënten gebruikt. Gezien de gevoeligheid van patiëntgegevens en de risico’s die patiënten lopen als met deze gegevens niet zorgvuldig wordt omgegaan, is de verwerking van gegevens van zorgmedewerkers op het gebied van informatiebeveiliging meer gereguleerd dan voor andere branches. Denk bijvoorbeeld aan het verplicht vastleggen van uitgebreide loggegevens (vastlegging van alle handelingen die bijv. met patiëntgegevens in een EPD worden verricht conform NEN 7513), het proactief en periodiek moeten controleren hiervan en het minimaal moeten bewaren van deze gegevens voor 5 jaar. De extra focus op informatiebeveiliging is overigens niet alleen af te leiden uit wet- en regelgeving, maar ook uit bijvoorbeeld sanctiebesluiten van de privacy toezichthouder.
Op het gebied van informatiebeveiliging, is er – onder meer voor zorgaanbieders – ook nieuwe wetgeving op komst namelijk: de NIS2/Cyberbeveiligingswet. Op basis van de NIS2/Cyberbeveiligingswet zullen op (bestuurders van) zorgaanbieders bepaalde plichten en verantwoordelijkheden gaan rusten. Voor HR kan dit o.a. tot gevolg gaan hebben dat zij zorgmedewerkers bij de start van hun werkzaamheden moeten wijzen op alle relevante beleidsstukken, dat zij een rol spelen in het kennisniveau van medewerkers en bestuurders op het gebied van cyberhygiëne en cyberbeveiliging en dat zij in het algemeen moeten bijdragen aan “de beveiligingsaspecten ten aanzien van personeel” waaronder bijvoorbeeld dat zij een bepaalde rol kunnen krijgen bij de screening van medewerkers*.
*De Cyberbeveiligingswet is nog niet definitief/in werking getreden
In de praktijk merken we dat op privacy gebied in de zorg niet alleen extra verplichtingen voor medewerkersgegevens gelden, maar ook dat er vaak bepaalde uitdagingen ontstaan waarbij specifiek de privacy van zorgmedewerkers in het geding kan komen. Vraagstukken die wij bijvoorbeeld regelmatig in de zorgsector voorbij zien komen zijn:
Nee. Vooral op het gebied van informatiebeveiliging gelden er extra verplichtingen voor het gebruik van medewerkersgegevens. Er gelden echter geen extra verplichtingen voor zaken zoals de reguliere personeelsadministratie op basis van de reguliere arbeids- en privacyrechtelijke kaders. De reguliere privacy verplichtingen houden onder meer in dat ook zorgmedewerkers moeten weten wat er met hun persoonsgegevens gebeurt, dat niet meer medewerkersgegevens mogen worden verwerkt en bewaard dan nodig, dat dit alleen mag als de organisatie hiervoor een rechtsgrond heeft en dat gegevens niet zomaar voor andere doeleinden mogen worden gebruikt. HR zal o.a. een belangrijke rol hebben in bijvoorbeeld het niet zomaar delen van medewerkersgegevens, het zorgvuldig gebruiken hiervan en het leveren van input voor belangrijke privacy documentatie. Denk bijvoorbeeld aan de privacyverklaring voor medewerkers, het bewaartermijnenbeleid, de contracten met ondersteunende HR-partijen (zoals een IT-leverancier, arbodienst en verzekeraar) en het uitvoeren van risicoanalyses (zoals een DPIA voor het verzuimproces of een nieuw HR-systeem).
Privacy in de zorg is een zeer gereguleerd gebied waarover vooral op het gebied van informatiebeveiliging veel te doen is. Daarnaast merken we dat in de praktijk bepaalde privacy thema’s veel aandacht vragen. Extra belangrijk dus om als HR-professional in de zorg op de hoogte te zijn van de relevante kaders en te weten waar medewerkers met bepaalde vraagstukken en issues terecht kunnen.
Heb je vragen over privacy in de zorg? Neem dan contact op met Michelle Wijnant.
Blogserie HR in de zorg
