Veiligheidsconsulent: het voorbeeld van de ziekenhuizen
Een instelling die toegang heeft tot persoonlijke gegevens van mensen moet een consulent voor informatieveiligheid aanwijzen. Dat is nodig om te voldoen aan de Europese wetgeving ter bescherming van de persoonlijke levenssfeer.
Overheidsbesturen hebben toegang privégegevens en moeten er dan ook omzichtig mee omgaan. Een veiligheidsconsulent staat in voor de veiligheid en de privacy van de persoonsgegevens die door het bestuur worden verwerkt of uitgewisseld. Hij maakt het informatieveiligheidsplan op, geeft adviezen over informatieveiligheid, sensibiliseert, voert controles uit, documenteert het beleid en begeleidt besturen bij de toepassing van de wetgeving.
Een veiligheidsconsulent is nog niet echt ingeburgerd in overheidsbesturen. Meer dan de helft van de gemeentebesturen beschikt al over zo’n consulent. Nochtans is dat een noodzaak. OCMW’s bijvoorbeeld moeten wel eens de Kruispuntbank van de Sociale Zekerheid raadplegen. Ambtenaren en politieagenten moeten vaak een beroep doen op het rijksregister. Het is wettelijk vastgelegd dat wie daar toegang toe, heeft een consulent voor informatieveiligheid moet aanwijzen.
Aangezien de functie van veiligheidsconsulent geen uitvoerende taak is, leent ze zich tot externe uitbesteding
Instellingen die een beroep willen doen op een veiligheidsconsulent, kunnen inspiratie opdoen bij de ziekenhuizen, die daarin al een zekere traditie hebben. In de gezondheidssector is de veiligheidsconsulent effectief aanwezig en wordt zijn rol ook afgedwongen.
Dat is niet verwonderlijk. Een belangrijke achterliggende reden is de toenemende informatisering in ziekenhuizen, vooral door het medisch patiëntendossier en de elektronische uitwisseling van data, waardoor de risico’s voor de dataprivacy zijn toegenomen. De risico’s in ziekenhuizen zijn groot: een medisch patiëntendossier dat in verkeerde handen valt, een loslippige verpleegster die vertelt over een bekend figuur die in behandeling is, een medisch dossier van een politicus dat geconsulteerd wordt door personeel dat geen zorgrelatie heeft,… In de Angelsaksische wereld leiden zo’n toestanden meer dan eens tot rechtszaken. De situatie beperkt zich niet tot ziekenhuizen. OCMW-personeelsleden kunnen bijvoorbeeld geneigd zijn dossiers van bepaalde mensen die aankloppen voor een leefloon te raadplegen, omdat ze de persoon in kwestie kennen. Ook al zijn ze professioneel niet betrokken bij het dossier.
Om deze reden is de functie van veiligheidsconsulent in het leven geroepen: hij moet erop toezien dat de organisatie voldoende maatregelen neemt om dit te voorkomen. Indien er zich een incident voordoet, kan een instelling als een ziekenhuis of een overheid zichzelf indekken als er een risicoanalyse is uitgevoerd van de informatieveiligheid. Dat is ook de taak van een veiligheidsconsulent: het uitvoeren van een risicoanalyse waarmee de belangrijkste risico’s voor de informatieveiligheid aan het licht komen. Op basis daarvan wordt een veiligheidsplan opgesteld.
De vraag rijst wie er in een organisatie in staat is de rol op te nemen. De BDO-aanpak laat twee keuzes. Ofwel wordt de rol van de veiligheidsconsulent uitbesteed en neemt BDO deze taak over. Ofwel is er een interne veiligheidsconsulent die door BDO ondersteund wordt. Na een analyse gebeurt een formele overdracht van de taken van BDO naar een interne consulent.
In beide gevallen wordt in twee fases gewerkt. Eerst zijn er de opstarttaken met het opstellen van een veiligheidsbeleid, de risicoanalyse en het opstellen van een veiligheidsplan. Daarnaast zijn er de recurrente uitvoerende taken, zoals de opvolging van het veiligheidsplan en de communicatie over het veiligheidsbeleid. Aangezien de functie van veiligheidsconsulent geen uitvoerende taak is, leent ze zich tot externe uitbesteding. Bij een uitbesteding wordt de onafhankelijkheid van de functie ook gegarandeerd.
Fout opgemerkt of meer nieuws? Meld het hier