AVG als grootste zorg-def

AVG als grootste zorg
Dilemma’s rondom bescherming persoonsgegevens
binnen zorginstellingen
December 2020

AVG ALS GROOTSTE ZORG 2
Inhoudsopgave
Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Recente ontwikkelingen AVG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Onderzoek naar gegevensbescherming binnen zorginstellingen . . . . . . 4
Zorggerelateerde dilemma’s. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Tot slot: “Van brandjes blussen naar in control”. . . . . . . . . . . . . . . . . . . 12
Bijlage:
Organizational Resilience Summary BSI
Corona Crisismanagement; denkkader zorginstellingen

De Algemene verordening gegevensbescherming (AVG) is inmiddels ruim twee
jaar geleden in werking getreden en is sindsdien een van de meest besproken
EU-reguleringen. Hoewel de AVG een verscherping van een bestaande wetgeving betreft,
heeft deze veel stof doen opwaaien in de aanloop naar de datum van inwerkingtreding.
De meest in het oog springende wijziging was de mogelijkheid voor de toezichthouder
om een boete aan de organisatie in overtreding op te leggen ter grootte van maximaal
€ 20 miljoen of 4% van de wereldwijde omzet.
De AVG heeft ook voor zorgverleners nieuwe verantwoordelijkheden met zich meegebracht. De regels
dwingen u om nog zorgvuldiger om te gaan met de privacygevoelige informatie van patiënten en cliënten.
Waarom dient u als zorgverlener zo alert te zijn op privacyregels? Omdat het een grondrecht is dat de
persoonsgegevens van iedereen goed beschermd worden. Als consumenten vinden we het heel normaal
dat een bank zorgvuldig omgaat met onze betaalgegevens. Voor de kwaliteit van zorg betekent het dat
zorgmedewerkers secuur omgaan met patiëntgegevens. Juist nu veel informatie gedigitaliseerd is - een
ontwikkeling die door de coronacrisis in een stroomversnelling is geraakt - brengt dit extra uitdagingen
met zich mee.
In deze paper staan we stil bij meerdere recente ontwikkelingen die mogelijk kunnen leiden tot extra
risico’s voor zorginstellingen. Behalve de coronacrisis zorgt ook de mogelijkheid tot het opzetten van
een massaclaim in Nederland tot extra dynamiek. We bespreken daarnaast de resultaten van ons eigen
onderzoek naar de impact van de AVG op de zorg waarbij we ingaan op de dilemma’s die de medewerkers
van diverse zorginstellingen hebben beschreven. Voordat we de uitkomsten van dit onderzoek
behandelen, staan we kort stil bij een aantal belangrijke actualiteiten die naar onze mening voor de
zorgsector relevant zijn.
Inleiding

Eerste collectieve actie op AVG een feit
In Nederland is het -in tegenstelling tot andere Europese landen- al langer mogelijk om een collectieve
actie te starten. In een collectieve actie verenigen meerdere benadeelden zich omdat zij een schade
hebben opgelopen door toedoen van een organisatie. Zo is in augustus 2020 een collectieve actie opgezet
tegen de bedrijven Oracle en Salesforce vanwege massale datahandel die in strijd zou zijn met de AVG.
Er wordt een bedrag van €500,- per gedaagde per bedrijf gevorderd. Het totaalbedrag kan in de
honderden miljoenen Euro’s oplopen. Ook de consumentenbond heeft eerder een collectieve actie jegens
Facebook opgezet. Bij deze actie hebben ongeveer 170.000 mensen zich aangesloten. Ook hier kan de
financiële impact enorm zijn als de rechter de vordering toekent.
De impact van een collectieve actie kan tot grote financiële gevolgen leiden voor de organisatie die
hiermee wordt geconfronteerd. Vooral binnen de gezondheidszorg is dit risico erg groot, aangezien
er grote hoeveelheden bijzondere persoonsgegevens worden verwerkt. Wanneer deze door een
kwetsbaarheid in de openbaarheid komen, of door het structureel verkeerd toepassen van de AVG, kan dit
tot een grote schadepost leiden3
.
EVALUATIE NA TWEE JAAR AVG BINNEN DE EU
Wat gaat goed en wat kan beter?
goed AVG-wet heeft bijgedragen aan bescherming van rechten van betrokkenen
goed binnen de EU is 61% van de populatie (ouder dan 16 jaar) op de hoogte van het
bestaan van de AVG, 71% is bekend met de toezichthouder.
verbeterpunt het recht op dataportabiliteit wordt nog niet volledig benut
verbeterpunt innovatie in technologische ontwikkeling die aan de AVG voldoen loopt achter
verbeterpunt AVG wordt in de diverse lidstaten verschillend toegepast

Algemene evaluatie na twee jaar AVG
Op basis van artikel 97 van de AVG heeft twee jaar na de invoering van de wet een evaluatie door de
Europese Commissie aan het Europese parlement en Raad (council) plaatsgevonden1
. Kort gezegd komt
de Europese Commissie tot de conclusie dat de AVG effectief te noemen is waar het bijvoorbeeld gaat
om de bescherming van rechten van betrokkenen, ook gezien de coronacrisis die is ontstaan. Daarnaast
zijn er wel een paar verbeterpunten te benoemen. Zo wordt de AVG in de diverse lidstaten verschillend
toegepast. Daar zal in de komende periode meer aandacht aan worden besteed. De Europese Commissie
merkt op dat uit onderzoek2
is gebleken dat binnen de EU 61% van de populatie (ouder dan 16 jaar) op de
hoogte is van het bestaan van de AVG en 71% bekend is met de toezichthouder.
Ook merkt de Europese Commissie op dat het recht op dataportabiliteit niet volledig wordt benut, maar
vindt wel dat dit recht veel potentie heeft. Dit recht stelt betrokkenen immers in staat om meer controle
op de dataverwerking uit te oefenen. Vooral binnen de zorg is het (ook volgens de Europese Commissie)
denkbaar dat in de toekomst een dergelijk verzoek veelvuldig wordt uitgeoefend door patiënten. De
komende periode zal Europa er dan ook prioriteit aan geven om dit recht beter in te vullen, door een
toolkit vorm te geven en ontwikkeling van technische interfaces mogelijk te maken. In dezelfde lijn staat
de ambitie om innovatie in technologische ontwikkeling mogelijk te maken die aan de AVG voldoen. Denk
hierbij aan het gebruik van apps in het kader van COVID-19. Een ander veelbesproken onderwerp in deze
context is het gebruik van artificial intelligence.
Recente ontwikkelingen AVG
1 Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition -two years of application
of the General Data Protection Regulation. https://ec.europa.eu/info/sites/info/files/1_en_act_part1_v6_1.pdf
2 https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection
3 Ook in de reguliere rechtspraak zullen er uitspraken van rechters komen waarbij op basis van de AVG een schadevergoeding
wordt toegekend. De eerste schadevergoeding die in mei 2019 is toegekend van € 500,- is in hoger beroep vernietigd.

Effect van coronacrisis
Terwijl de COVID-19-pandemie wereldwijd om zich heen slaat, bevinden zorginstellingen zich
onverminderd in een crisissituatie4
. Het is duidelijk dat de impact het grootste is binnen de zorg. Het
is daarom belangrijk dat er ondanks de uitzonderlijke situatie gewerkt wordt aan de weerbaarheid van
de organisatie. Het is juist door deze weerbaarheid dat een organisatie gemakkelijker opveert uit een
crisissituatie en ondanks de disruptie vandaaruit kan floreren5
.
Door de coronacrisis zijn een aantal ontwikkelingen in een stroomversnelling geraakt. Niet alleen is de
samenwerking tussen bepaalde zorgdomeinen zoals huisartsen en ziekenhuizen verbeterd, ook op digitaal
vlak is er veel veranderd. Denk hierbij aan de groei in het thuiswerken en het gebruik van apps en digitale
communicatiemiddelen. Zo heeft een ziekenhuis een app ontwikkeld waarmee het hele triageproces
digitaal en op afstand kan worden afgewikkeld. Deze ontwikkelingen leiden tot een aantal grote risico’s die
tijdig gesignaleerd moeten worden, zoals het risico op een datalek, een cyberincident of een verkeerde
toepassing van de AVG. De kans dat een dergelijk risico zich voordoet, is groter wanneer bijvoorbeeld
de mate van controle afneemt door het op afstand werken. Deze risico’s kunnen een grote (financiële)
impact op de gehele organisatie hebben door bijvoorbeeld beschadiging van de reputatie, massaclaims en
hoge boetes. Een combinatie van de gevolgen zouden zelfs het voortbestaan van de organisatie kunnen
bedreigen. In diverse papers, waaronder het Internationale leerstuk van BSI Group over organisational
resilience, wordt heel nadrukkelijk gekeken naar drie domeinen waarbinnen organisaties weerbaar zouden
moeten zijn, te weten: op operationeel vlak (operational resilience), binnen de supply chain (supply chain
resilience) en tot slot op het gebied van informatie (information resilience).
Onderstaande mindmap geeft u een beeld van de zaken die op het vlak van privacy opspelen tijdens de
coronacrisis.
LOCATIE
JURIDISCHE
EISEN
DATA
VERZAMELEN
OVERHEID
COMPLIANCE
AGENDA
COVID 19
PRIVACY ASPECTEN
WERK OP
AFSTAND
WERKNEMERS
• contacten app
• quarantaine
• verzamelen mobiele
data
• training via E-learning/
bewustwording corona en
AVG aspecten
• compliance assessments: ook
op corona en AVG aspecten
• gezondheidsapp
• veiligheid aan grenzen/
risicolanden
• surveillance
• toegang data private sector
• monitoring werknemers
• video conferencing
• cyberweerbaarheid
• datalekken voorkomen
• gezondheidsapp
• veiligheid aan grenzen/
risicolanden
• surveillance
• toegang data private sector
• awareness
• gezondheidsaspecten
• continuiteitsplan
• bijzondere persoonsgegevens
verwerken
4 In bijlage 1 treft u een denkkader aan in het kader van crisismanagement.
5 Definitie British Standard 65000: “the ability of an organization to anticipate, prepare for, respond and adapt
to incremental change and sudden disruptions in order to survive and prosper”.

Doordat ook zorgmedewerkers steeds meer thuis werken, vindt overleg steeds meer online plaats. Dit
bemoeilijkte de communicatie, de samenwerking en het overzicht over de uit te voeren processen. Een
respondent gaf bijvoorbeeld aan: “Wij hebben veel werk gehad aan allerlei voorzieningen voor online
behandelen, zoals beeldbellen met patiënten.” Het risico op datalekken werd ook groter, vooral omdat
er steeds meer gegevens buiten het beschermde interne netwerk werden uitgewisseld. Omdat dit
regelmatig gebeurde op niet door de organisatie verschafte devices kon de standaardbeveiliging niet altijd
gegarandeerd worden.
“Beeldbellen biedt vaak een uitkomst”, gaf een andere respondent aan, “maar bij behandeling op
afstand zijn nog wel verbeteringen nodig. Niet elke doelgroep kan hier goed mee omgaan. Daardoor
zijn behandelingen in sommige gevallen niet mogelijk”. Niet elke behandelaar kan bovendien in de
thuissituatie een omgeving creëren waarbij de privacy voor de cliënt gewaarborgd is. Omdat organisaties
minder controle hebben over de gebruikte devices en/of het netwerk, is het zaak om de gebruikte apps en/
of documenten te gaan beveiligen.
Uit onderzoek (aug 2020) onder 20 grote zorginstellingen blijkt dat:
• 80% van de ondervraagden in hun functie de meeste tijd besteden aan adviseren over vragen en
dilemma’s over AVG en/of compliance binnen de organisatie.
• Ruim 80% van de ondervraagden vindt dat de coronacrisis en het online werken de uitvoering van de
werkzaamheden in enige mate heeft beïnvloed.
• Alle ondervraagden denken deels of zelfs volledig compliant te zijn aan de AVG-wetgeving.
In welke mate voldoet uw organisatie aan de AVG?
80% Wij zijn deels compliant, er is een aantal zaken dat nog aandacht behoeft
20% Wij zijn volledig compliant

Onderzoek naar gegevensbescherming
binnen zorginstellingen
Over welke ontwikkeling maakt u zich het meeste zorgen?
30% Het gebruik van apps, fysieke dossiers en
daaraan gerelateerde beveiligingsaspecten
50% Delen van gegevens met derde instanties dan wel intern

20% Het juist inzetten van rechtsgronden voor verwerking,
zoals toestemming of gerechtvaardigd belang

Wij gaan nu nader in op een aantal dilemma’s zoals die door de respondenten zijn
geformuleerd. Daar waar de dilemma’s samengevoegd konden worden, hebben we dat
gedaan.
1. Verantwoordelijkheid en eigenaarschap
Eigenaarschap ontbreekt vaak, zowel in eerste lijn als op bestuursniveau. De Functionaris
Gegevensbescherming (FG) moet er op grond van de AVG op toezien dat de AVG in de gehele
organisatie correct wordt nageleefd. Dit betekent dat de FG geen uitvoerende taak heeft, maar meer een
controlerende taak. Ook behoort het tot het takenpakket van de FG om ervoor te zorgen dat de organisatie
voldoende is getraind om de AVG correct toe te passen. Het komt erop neer dat het takenpakket heel
breed is, aangezien binnen bijna de gehele organisatie gevoelige patiëntgegevens worden verwerkt.
Wij zien dat de FG zich in de praktijk in een spagaat bevindt. Door de hoeveelheid en complexiteit van
vragen is de FG nog veel met advieswerk bezig. De FG beschikt vaak over onvoldoende middelen om
aandacht aan andere taken te besteden. Ook is er zelden ruimte voor extern advies waardoor belangrijke
zaken blijven liggen. Het gevoel van urgentie binnen de eerste lijn, en vaak ook op bestuursniveau,
ontbreekt. Op dat (laatste) niveau wordt bijvoorbeeld aangegeven dat er andere zaken zijn die hogere
prioriteit hebben, terwijl in de eerste lijn de werkdruk enorm is waardoor deze verplichtingen vaak gezien
worden als extra last.
Juist daarom is het belangrijk dat de FG sterk in zijn of haar schoenen staat, herhaaldelijk (op bestuurs-
niveau) aandacht voor het onderwerp vraagt en daarover de discussie voert en tot slot nog veel meer
onderstreept welke afbreukrisico’s er voor de organisatie zijn. Denk bijvoorbeeld aan collectieve acties en
reputatieschade.
De AVG is niet alleen de verantwoordelijkheid van de Functionaris Gegevensbescherming;
de AVG is onderwerp van de hele organisatie. Dat besef moet vaak nog ontstaan .
2. (AVG) obstakels binnen de bemoeizorg
Bemoeizorg vindt plaats bij mensen die zorgbehoevend zijn, maar deze zorg op een problematische
manier mijden. Vaak hebben zij complexe psychische problemen waardoor zij in een isolement verkeren,
dakloos zijn en geen werk of inkomen hebben. Het toch verlenen van zorg aan deze groep mensen is
het meest uitdagend, omdat de wil bij de betrokkene vaak ontbreekt. Bemoeizorg heeft een belangrijke
grondslag in de WMO. Gemeenten zijn immers op basis van deze wet verplicht om bemoeizorg te
verlenen. Het uitgangspunt van de WMO is dat iedereen moet kunnen meedraaien in deze maatschappij en
indien mogelijk, zelfstandig moet kunnen leven. Voor gemeenten kan het op financieel en andere vlakken
een uitdaging zijn om deze taak uit te voeren. Daardoor ontstaat de situatie dat slechts overlastgevende
gevallen (daar waar sprake is van verward gedrag), in beeld komen, maar niet altijd adequaat kunnen
worden opgepakt. Door deze ontwikkeling spreekt men ook wel over een verschraling van de zorg6
, omdat
bepaalde basisvoorzieningen weggevallen zijn.
In de praktijk wordt in het voortraject dan ook veel geïnvesteerd in het opbouwen van een vertrouwens-
relatie met de betrokkenen om hen vervolgens te leiden naar de reguliere zorg7
. Hierdoor kan al snel
een spanningsveld tussen de privacywetgeving en het verlenen van bemoeizorg ontstaan. Het is om die
redenen belangrijk om de medewerkers die in de eerste fase betrokken zijn goed te informeren dan wel te
trainen wat wel en niet kan.
De AVG kent veel obstakels voor uitwisseling van gegevens, waarbij ook nog het beroepsgeheim geldt.
Ook is het in de praktijk vaak uitdagend om tussen verschillende instellingen gegevens uit te wisselen.
Vanuit de Wvggz (in werking getreden per 1 januari 2020) lukt het onder stringente voorwaarden wel8
.
Zorggerelateerde dilemma’s
6 https://www.movisie.nl/artikel/maatschappelijke-zorg-wat-weten-we-waar-staan-we
7 https://www.privacyindezorg.nl/assets/files/2014-Handreiking-gegevensuitwisseling-bemoeizorg.pdf
8 Het doel van deze wet is overigens om gedwongen zorg zo veel mogelijk terug te dringen en meer vrijwillige ambulante
zorg te verlenen.

Het verkrijgen van toestemming van de betrokkene is de ideale werkwijze. Soms is dat echter niet mogelijk,
terwijl een beroepsbeoefenaar of hulpverlener het wel noodzakelijk kan vinden om informatie te delen
met andere instanties. In dat geval kan, alleen in uitzonderingssituaties, ‘buitenkant’-informatie gedeeld
worden9
. Bij elke situatie moet een beroepsbeoefenaar alle belangen afwegen om te kunnen beoordelen
of het delen van ‘buitenkant’-informatie onontkoombaar is. Zo mag een GGZ-instelling geen diagnose
(bijvoorbeeld dat iemand schizofrenie heeft) verstrekken aan een woningcorporatie, maar kan het wel
noodzakelijk zijn om voor het bestrijden of voorkomen van overlast informatie als ‘onvoorspelbaar impulsief
agressief gedrag’ te delen. Ook kan het bijvoorbeeld nodig zijn de woningcorporatie te laten weten dat
de betrokkene onder behandeling is en dat de verwachting is dat de geconstateerde problemen zullen
afnemen. Het beroepsgeheim staat dus niet in de weg om in bepaalde gevallen, mede in het belang
van de cliënt, relevante informatie over hulpverleningscontacten of mogelijkheden daartoe te delen met
instanties als politie en woningcorporaties. Uiteraard is de beroepsbeoefenaar of hulpverlener degene die
in een concreet geval de afweging moet maken of hij informatie wil delen met anderen. Als er sprake is van
vitaal of gerechtvaardigd belang is het uiteraard wel toegestaan om gegevens de delen of anderszins te
verwerken. Voorwaarde is dat altijd eerst wordt gecheckt of een minder ingrijpende wijze mogelijk is10
.
3. Business Intelligence en het verwerken van persoonsgegevens
Business Intelligence (BI) wordt vaak ingezet om processen te verbeteren en efficiënter te maken. De eerste
vraag die in dit kader gesteld zou moeten worden is welk soort gegevens er worden verwerkt. Dit zijn
namelijk in lang niet alle gevallen persoonsgegevens. Daarom is het belangrijk om eerst vast te stellen waar
dit wel het geval is, aangezien de verwerkingen dan aan de AVG moeten voldoen. Worden er anonieme
gegevens gebruikt? Dan is de AVG niet van toepassing op de anonieme gegevens, maar uiteraard wel op
de persoonsgegevens die verwerkt worden tot anonieme gegevens.
Daarnaast is het belangrijk om te bepalen op basis van welke grondslag de verwerkingen plaatsvinden.
Vaak wordt gedacht aan ‘toestemming’, maar dit is geen (werkbare) grondslag aangezien deze aan een
aantal eisen moet voldoen en ook weer kan worden ingetrokken. Om deze redenen zien wij dat in de
praktijk de grondslag ‘gerechtvaardigd belang’ wordt gebruikt. Hierbij geldt dat er een duidelijke reden
moet zijn hoe de belangen van de organisatie zwaarder wegen dan het belang van de betrokkene om
niet onderworpen te worden aan deze verwerkingen. Ook moet men steeds bekijken of men niet op een
andere, minder ingrijpende manier dezelfde informatie kan verkrijgen.
Zoals gezegd, kan deze grondslag niet zomaar worden ingezet. Daarom is het schriftelijk vastleggen (door
de FG/het privacyteam) van het gebruik van deze grondslag belangrijk. Denk hierbij aan het privacybeleid
en de relevante procedures om te voorkomen dat men zich niet aan de regels houdt, bijvoorbeeld door
te ruime verwerkingen in te zetten. In het privacybeleid kan worden aangegeven wie welke rol speelt bij
het gebruik van deze grondslag en hoe controles op naleving plaats vinden. Daarnaast kan een DPIA (data
protection impact assessment) verplicht zijn. Ook kan overwogen worden om de werkzaamheden vast
te leggen in werkinstructies om overtredingen in verwerkingen te voorkomen. Als er een werkinstructie,
een beleid of een procedure aanwezig is, moet uiteraard ook worden geborgd dat men conform deze
instructie werkt.
4. Delen van gegevens met derden/patiënten, ook in het kader van
coronacrisis (RIVM, GGD)
Het delen van persoonsgegevens kent veel gezichtspunten. Niet alleen is het soms noodzakelijk om in
de interne organisatie persoonsgegevens te delen, maar ook kan het nodig zijn om deze gegevens met
andere organisaties te delen. In het huidige coronatijdperk komen daar ook de GGD en RIVM bij. Daardoor
ontstaan verschillende dilemma’s en zijn er soms ook ongemakkelijke belemmeringen, waardoor het
onmogelijk blijkt te zijn om gegevens (zonder toestemming van betrokkenen) te delen.
9 https://www.socialevraagstukken.nl/gewoon-clientinformatie-delen-dat-is-soms-nodig/
10 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/031_informatie_delen_in_samenwerkingsverbanden
_feb_2012.pdf

a. Delen van persoonsgegevens intern en extern:
Bij het delen van persoonsgegevens speelt de grondslag een belangrijke rol. Ook komt er veel
bewustwording bij kijken. De grondslag voor het delen van gegevens is in de meeste gevallen
‘toestemming’, maar kan ook op basis van een wettelijke verplichting plaatsvinden. Zo zijn artsen op
basis van de Wet publieke gezondheid verplicht om bepaalde infectieziekten te melden bij de GGD
die de melding weer aan het Cib (Centrum infectieziektenbestrijding) van het RIVM doorgeeft. Het
delen van de persoonsgegevens vindt gepseudonimiseerd11
plaats. In dit geval is er nog steeds sprake
van een persoonsgegeven in de zin van de AVG, omdat de persoonsgegevens nog achterhaald kunnen
worden. Pseudonimisering is een beveiligingsmaatregel. Men zal dus ook altijd moeten bekijken welke
gegevens men deelt en of men niet te veel gegevens deelt voor het doel van de verwerking. Soms wordt
namelijk te veel informatie opgevraagd of te veel informatie aan de ontvanger verzonden. Men zal dus
goed moeten bekijken welke (soort) informatie nodig is om aan het doel van de verwerking te kunnen
voldoen. Daarnaast zal men altijd bewust moeten zijn dat de gevoelige informatie beveiligd moet worden
verzonden. Helaas vinden er nog steeds datalekken plaats, omdat de informatie zonder beveiliging per mail
of in hardcopy wordt verzonden en daardoor mogelijk of daadwerkelijk in verkeerde handen komt.
b. Corona
Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten
het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Voor het delen
van gegevens buiten het elektronisch uitwisselingssysteem (bijvoorbeeld per mail) geldt dit niet. In dat
geval is uitwisseling mogelijk mits de ontvanger geheimhoudingsplicht heeft en het delen van gegevens
noodzakelijk is voor de behandeling. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen.
Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven,
is inzage zonder toestemming toegestaan. De Autoriteit Persoonsgegevens (AP) heeft dit laten weten
in een brief aan de minister van Medische Zorg12
. De minister is bezig met een regeling voor tijdens de
coronacrisis. Dit plan moet het mogelijk maken om zonder expliciete toestemming van patiënten medische
dossiers te raadplegen via elektronische uitwisselingssystemen, zoals het Landelijk Schakelpunt (LSP).
Door het plan van de minister verandert er niets voor mensen die al toestemming hebben gegeven of
juist toestemming hebben geweigerd. In beide gevallen blijft die keuze gerespecteerd. Daarnaast is er
een grote groep mensen die nog geen keuze heeft doorgegeven. Het voorstel van de minister maakt het
mogelijk dat hun medische gegevens kunnen worden uitgewisseld zonder dat zij daarvoor toestemming
hebben gegeven. Het gaat daarbij niet om hun hele medische dossier, maar alleen om de professionele
samenvatting. De AP vindt dat acceptabel. Maar wel vindt de AP dat die patiënten in plaats daarvan ter
plekke, op de huisartsenpost of spoedeisende hulp, toestemming moeten kunnen geven om daadwerkelijk
hun medisch dossier bij de huisarts te raadplegen. Dit kan ook mondeling. Een belangrijke overweging
is voor de AP dat deze maatregel van tijdelijke aard en voor beperkte duur is waarna men weer terug zal
keren naar de nomaaltoetstand. Ook blijft het voor de AP belangrijk dat misbruik langs strafrechtelijke weg
wordt aangepakt.
c. Overige kwesties
Voor het overige (niet aan corona gerelateerde kwesties) moet men ook alert zijn hoe de toestemming
in het proces wordt ingeregeld. De toestemming moet immers aan de eisen van de wet voldoen. Er zijn
situaties bekend waarin de ziekenhuizen de toestemming vragen bij de inschrijfbalie. Dit gebeurt op een
vluchtige manier, gezien het aantal wachtenden in de rij en de grote stroom aan patiënten. Een ziekenhuis
voldoet op deze manier niet aan het vereiste van “wel geïnformeerd”. Ook is voor de toestemminggever
niet duidelijk hoe hij of zij deze toestemming weer kan intrekken. Laat staan dat het duidelijk is dat
intrekking net zo gemakkelijk gaat als het geven van toestemming. Daarnaast is het altijd belangrijk te
borgen dat deze toestemming schriftelijk gegeven wordt.
12 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/brief_medisch_dossier_corona.pdf
11 Als gegevens anoniem zijn is de AVG niet meer van toepassing, omdat de gegevens niet meer te herleiden zijn naar
natuurlijk personen.

5. Loggingscontrole versus privacy medewerkers
Uitgangspunt is dat alleen de medewerker met een behandelrelatie tot de patiënt toegang heeft tot
het medisch dossier. Dit vloeit voort uit de verplichting op basis van artikel 32 AVG om voor adequate
technische en organisatorische maatregelen te zorgen om het patiëntdossier te beveiligen. In het besluit
electronische gegevensverwerking door zorgaanbieders is een regeling opgenomen voor electronische
patientdossiers. In dit besluit, wordt verwezen naar de NEN7510-en NEN7513-normen. Op basis van deze
normen is niet alleen het loggen van deze dossiers verplicht, maar ook de controle op deze logbestanden.
Daarnaast worden het gebruik van tweefactorauthenticatie genoemd en tot slot het creëren van
bewustwording omtrent informatiebeveiliging.
In zeer speciale gevallen is een uitzondering mogelijk, maar dit moet wel deugdelijk kunnen worden
verantwoord. Het loggen van patiëntdossiers weegt zwaarder dan de privacy van de medewerker. Wij
zien in de praktijk ook dat een behandelaar al snel ter verantwoording kan worden geroepen waarom hij
een dossier heeft ingezien. Wel moeten medewerkers op de hoogte zijn dat zij gelogd worden (en dat
dossieropening gelogd wordt). Dit kan bij de behandelaar als vervelend worden ervaren. Al met al blijkt
uit de praktijk dat de toezichthouder het zeer belangrijk vindt dat logging van dossiers en controle van
de loggingsbestanden op orde is en dat autorisaties goed zijn afgesteld. Er zijn al meerdere hoge boetes
en dwangsommen door de AP opgelegd in dit verband. De meest bekende boete is die aan het Haga
ziekenhuis. Uit het boetebesluit blijkt dat de AP niet gevoelig is voor argumenten, zoals de kosten. De AP is
heel duidelijk dat het doel (beveiliging patientdossiers) uiterst belangrijk is. Uit de boetebeleidsregels blijkt
ook dat de AP inadequate beveiliging als strafverzwarend meeweegt13
6. Verzuim en restcapaciteit, re-integratie medewerkers begeleiden
versus privacy.
In geval van langdurig verzuim wordt de arboarts/bedrijfsarts/arbodienst door de werkgever op de hoogte
gesteld. De bedrijfsarts kan de werknemer oproepen om nader te onderzoeken door welke klachten de
werknemer niet in staat is om de werkzaamheden uit te voeren. Ook wordt door de arboarts/bedrijfsarts/
arbodienst vastgesteld of en in welke mate de werknemer in staat is om zijn werkzaamheden uit te voeren.
Aangezien de arboarts/bedrijfsarts/arbodienst een geheimhoudingsplicht heeft, krijgt de werkgever zelf
geen medische informatie over de werknemer. Wel krijgt de werkgever steeds een korte terugkoppeling
over de stand van zaken en ook een advies over hoe de werknemer zou kunnen re-integreren. De arboarts/
bedrijfsarts/arbodienst mag zonder toestemming van de werknemer de volgende informatie aan de
werkgever verstrekken:
i. dat de werknemer (tijdelijk) arbeidsongeschikt is;
ii. hoelang de afwezigheid ongeveer gaat duren;
iii. wat de belastbaarheid van de medewerker is als deze (gedeeltelijk) weer aan het werk gaat;
iv. welke eventuele werkaanpassingen gewenst zijn.
Uit de hierboven genoemde informatie kan in sommige gevallen impliciet blijken waar de medewerker
last van heeft. De privacy van de medewerker die niet wenst dat de werkgever op de hoogte is van zijn
klachten, zou in deze situaties in het gedrang kunnen komen. In de meeste gevallen deelt de medewerker
in zekere zin zijn klachten wel met werkgever, bijvoorveeld in het geval van een ernstige (chronische)
ziekte.
De vraag rijst of in dergelijke gevallen privacyregels geschonden worden, ook afgezet tegen de wet
verbetering poortwachter. Sommigen menen dat dit het geval zou zijn, maar dit ligt genuanceerder. In
dit verband merken wij op dat in dergelijke trajecten een hoog risico op non-compliance aanwezig is,
bijvoorbeeld AVG versus de wet verbetering poortwachter. Op een aantal aspecten moet acht worden
geslagen. Bijvoorbeeld het hierboven genoemde beroepsgeheim van de arts versus het uitwisselen van
13 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586_0.pdf

gegevens met werkgever. Van belang is dat er in deze relatie geen sprake mag zijn van uitwisseling van
medische gegevens. De gegevens die worden uitgewisseld zijn als het ware gedemedicaliseerd. Deze
gegevens zijn noodzakelijk voor de werkgever om te voldoen aan de loondoorbetalingsverplichting en aan
de verzuim- en re-integratiebegeleiding. Van belang is in deze context dat de betrokken personen in de
uitvoering exact weten wat wel en niet is toegestaan.
Daarnaast moet het uitwisselen van gegevens met mate gebeuren. Wij zien in de praktijk dat er vaak te veel
gegevens worden uitgewisseld. Dit gebeurt vaak vanuit de gedachte dat men de gegevens wellicht later
nodig heeft. Hiermee wordt duidelijk een grens overschreden. Het lastige is dat niet altijd een generieke
regel is vast te stellen, aangezien per geval verschilt wanneer er sprake is van te veel uitgewisselde
informatie.
Tot slot speelt transparantie een belangrijke rol. Een zieke werknemer zal gedurende het proces
onderworpen worden aan ingrijpende beslissingen, bijvoorbeeld rondom loondoorbetaling en
restcapaciteit. Het is belangrijk dat deze werknemer precies weet welke gegevens over hem uitgewisseld
worden en op basis waarvan de genoemde beslissingen worden genomen. In sommige gevallen zal zelfs
een werknemer (vooraf) op de hoogte gesteld moeten worden. Denk hierbij aan de mededeling van het
re-integratiebedrijf dat werknemer niet meewerkt aan het re-integratieproces of een bedrijfsarts die de
medewerker informeert over een arbeidsconflict.

Wat kunnen we leren van reeds opgelegde boetes?
Wij maakten een korte analyse van de boetes die tot nu toe zijn opgelegd door de Autoriteit
Persoonsgegevens (AP). Sinds de inwerkingtreding van de AVG heeft de AP vijf boetes opgelegd. Hoewel
in november 2020 een boete van maar liefst € 600.000 is opgelegd aan Uber, is de boete die daarna is
opgelegd aan het Haga ziekenhuis een van de meest besproken boetes in de media tot nu toe, omdat het
hier ging om de privacy van een bekende Nederlandse.
De AP heeft niet alleen boetes in deze periode opgelegd, maar ook een aantal dwangsommen, een
berisping en een verwerkingsverbod. De AP kan een boete in sommige gevallen combineren met een
last onder dwangsom. In dat geval kan een termijn worden verbonden aan het op orde stellen van zaken.
Indien deze termijn niet wordt gehaald, wordt de dwangsom verbeurd.
De door de AP opgelegde boetes zijn allemaal besluiten in de zin van de Algemene Wet Bestuursrecht
(Awb), waartegen het instellen van bezwaar als eerste rechtsmiddel mogelijk is. Omdat een dergelijke
boete van administratieve aard is, bieden verzekeraars met de cyberpolis dekking voor een eventueel
opgelegde boete, uiteraard mits er geen sprake is van opzet dan wel grove schuld of een misdrijf.
In het onderstaande schema ziet u de tot nu toe opgelegde boetes.
*Wij zien overigens dat er op basis van de Wet openbaarheid bestuur ook inzage in dossiers bij de AP kunnen
worden opgevraagd.14
Deze boetes kunnen in de volgende categorieën worden ingedeeld:
1. Uitoefening van de rechten (BKR)
- het inzagerecht voldeed niet aan de eisen van de AVG: zo werden er drempels opgeworpen,
zodat betrokkenen niet goed hun rechten konden uitoefenen. Kosteloze inzage mocht maar
1 keer per jaar. Het inzagerecht bij BKR is juist heel belangrijk aangezien betrokkenen bij
een negatieve registratie in principe geen hypotheek kunnen krijgen, aldus de AP. BKR heeft
rechtsmiddelen tegen deze beslissing aangewend.
2. Doelbinding (KNLTB)
- de persoonsgegevens van ruim 350.000 leden zijn aan sponsoren verkocht. Daar waar de
tennisbond van mening was dat deze een gerechtvaardigd belang had bij de verkoop
van de gegevens, heeft de AP geconcludeerd dat dit niet het geval was.
Organisatie Hoogte boete en datum Overtreding
BKR
https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-
bkr-vanwege-kosten-bij-inzage-persoonsgegevens
Onbekend
KNLTB
tennisbond-vanwege-verkoop-van-persoonsgegevens
Haga ziekenhuis
https://autoriteitpersoonsgegevens.nl/nl/nieuws/
haga-beboet-voor-onvoldoende-interne-beveiliging-
pati%C3%ABntendossiers
Uber
bedrijf-voor-verwerken-vingerafdrukken-werknemers
€ 830.000
6 juli 2020
€ 725.000
30 april 2020
€ 525.000
3 maart 2020
€ 460.000
16 juli 2020
€ 600.000
27 november 2020
geen kosteloze inzage
ongeoorloofd gebruik
vingerafdruk
verkoop ledengegevens
slechte beveiliging
patientdossiers
te laat melden datalek
14 In een wob verzoek is bijvoorbeeld alle communicatie tussen de AP en de gemeente Oldenzaal opgevraagd.

3. Beveiliging en meldplicht datalek (Haga ziekenhuis, Uber)
- in het geval van het Haga ziekenhuis werd de ferme boete volgens de AP gerechtvaardigd,
omdat het ziekenhuis niet in staat was gebleken om de vertrouwensrelatie tussen arts en
patiënt te borgen. Daarbij was het niet relevant dat het om een interne breuk ging.
De boete is in bezwaar in stand gebleven en de dwangsom is niet geïnd. Wel kan de
AP nog altijd een (nieuw) onderzoek instellen om te bekijken of de maatregelen goed zijn
doorgevoerd.
- In het geval van Uber ging het om het niet tijdig melden van een datalek.
4. Gebruik bijzondere persoonsgegevens
- in dit geval is ten onrechte de vingerafdruk van medewerkers gebruikt. De AVG bood hier
in dit geval geen ruimte voor. De naam van het bedrijf is door een uitspraak van de rechter
niet bekend gemaakt. Ook heeft het bedrijf rechtsmiddelen ingezet tegen de boete.
Tot slot merken wij op dat op basis van klachten van betrokkenen de AP kan besluiten om nader onderzoek
bij organisaties in te stellen. Uit de beleidsregels prioritering klachten blijkt dat de volgende aspecten een
belangrijke rol spelen:
1. Hoe schadelijk is de inbreuk voor betrokkenen?
a. Is er sprake van een ernstige, structurele inbreuk? Gaat het om bijzondere
persoonsgegevens? Of die van een kwetsbare groep, zoals kinderen?
2. De omvang van de bredere maatschappelijke betekenis van een eventueel
optreden van de AP
a. Valt de overtreding binnen het Toezichtskader zoals door de AP periodiek wordt
vastgesteld? Zijn er grote groepen mensen die worden benadeeld?
3. Doeltreffend en doelmatig optreden van de AP
a. De beschikbare (financiële) middelen moeten dusdanig worden ingezet dat de AP
doeltreffend en doelmatig kan optreden. In sommige gevallen houdt dit in dat andere
middelen worden ingezet, zoals een telefonische confrontatie of een openbare brief.

We doen hieronder een aantal aanbevelingen waardoor organisaties de controle weer kunnen terugkrijgen.
Uitvoeren compliance-assessments uitvoeren is een must
Juist om de risico’s van non-compliance te kunnen beheersen, is het belangrijk voor de FG om een
periodieke plan-do-check-act-cyclus in te bouwen. Veel organisaties beschikken over beleid en procedures
waarin staat beschreven hoe men aan de AVG voldoet. Deze documenten vormen een belangrijke
invulling van de verantwoordingsplicht binnen de AVG. Wij zien in de praktijk dat in de organisatie veelal
niet wordt voldaan aan (onderdelen van) eigen beleid en procedures. Uit de boetebeleidsregels blijkt
dat deze omstandigheid een strafverzwarend effect kan hebben. Om deze redenen bevelen wij aan om
periodiek een compliance-assessment uit te voeren. Door een dergelijk assessment (dat toeziet op een
bepaald onderwerp) kunnen organisaties risico’s in kaart brengen en beheersen en bestaande processen
verbeteren.
Investeren in adequate preventieve maatregelen
Uit artikel 32 AVG blijkt dat organisaties voldoende technische en organisatorische maatregelen
moeten nemen om een op het risico afgestemd beveiligingsniveau te waarborgen. De norm biedt
zorginstellingen een zekere vrijheid bij de invulling ervan en in het bewerkstelligen van de passende
balans tussen de technische en organisatorische maatregelen. Zeker in gevallen waarin bijzondere
persoonsgegevens worden verwerkt, zal er extra aandacht moeten zijn voor technische maatregelen zoals
logging en autorisatiebeheer. Deze maatregelen kunnen vrij kostbaar zijn vanwege het ontbreken van
geautomatiseerde tools. Het gevolg hiervan is dat controle op logging een flink beslag op personeel kan
leggen. Uit een geanalyseerde boete die aan een ziekenhuis werd opgelegd, blijkt dat de AP ondanks deze
bezwaren met een scherpe blik kijkt naar de uitvoering van de controles en van zorginstellingen verwacht
dat logging en controle op autorisatiebeheer plaats vinden.
Bewustwording: aandacht voor gedrag en cultuur
Gedrag van personeel speelt een belangrijke rol bij het ontstaan van non-compliance. Zo kunnen
organisaties worden gedupeerd door medewerkers die een datalek – bijvoorbeeld uit schaamte of
angst voor represailles – proberen te verbergen in plaats van deze conform de wettelijke verplichting te
melden. Als dit bekend wordt, kan de uiteindelijke schade nog groter zijn. De situatie kan immers leiden
tot reputatieschade en mogelijk door de AP worden aangemerkt als opzettelijk handelen. Uit het beleid
van de AP blijkt dat de omstandigheden rondom het al of niet melden van een datalek een rol speelt bij
de oplegging van de boete. Hoewel organisaties compliance grotendeels in beleid proberen te vertalen,
is het van belang om blijvend aandacht te besteden aan de bewustwording van medewerkers. Dit is geen
eenmalige exercitie , maar het heeft doorlopend aandacht nodig om een cultuur te creëren waarin het
melden van een datalek of ander incident vanzelfsprekend is en medewerkers op een integere manier met
persoonsgegevens omgaan.
Het belangrijkste is: maak een plan
De hierboven genoemde aanbevelingen zijn terug te herleiden naar één belangrijke aanbeveling, te weten:
maak een plan. Dit plan is niet alleen belangrijk om binnen de organisatie draagvlak en de benodigde
financiële middelen te krijgen, maar ook om grip te krijgen op de bijzondere dynamiek in uw organisatie.
Onderzoek aan de hand van de genoemde toezichtaspecten en risico-inventarisatie welke werkzaamheden
(geprioriteerd) moeten worden opgepakt. Werk daarnaast uit welke opleidingen en assessments u inzet
om risico’s te beheersen. Uiteraard is het belangrijk om dit jaarlijks te herhalen.
Tot slot:
“Van brandjes blussen naar in control”
13 Denkbaar is dat werknemers jaarlijks een e-learning moeten volgen, ook kan worden gedacht aan workshops of
aanvullende acties zoals het ophangen van posters of uitdelen van flyers. Ook kan ervoor worden gekozen om aan te
sluiten bij MT’s of andere relevante overleggen.

Contact
Saida Nhass
Managing consultant AGRC
Saida.nhass@aon.nl
06 20423691
Astrid Zevenbergen
Onderzoeker- adviseur
a.zevenbergen@cot.nl
06 295 203 12
www.aon.nl/gezondheidszorg

Over Aon
Aon plc (NYSE:AON) is een toonaangevende
wereldwijde dienstverlener op het gebied van risk,
retirement en health. Aon analyseert de personele
risico’s en bedrijfsrisico’s, geeft passend risicoadvies,
zorgt voor de (financiële) oplossing en staat klanten
bij als een incident de bedrijfscontinuïteit bedreigt.
Zo helpen wij klanten succesvol te ondernemen.
Aon heeft in Nederland 15 locaties met
2.600 medewerkers en wereldwijd meer dan
50.000 medewerkers in ruim 120 landen.
Ga voor meer informatie naar www.aon.nl.
© 2020 Aon Nederland
Disclaimer
Deze whitepaper is met zorg samengesteld door de
betrokken consultants. Op geen enkele wijze kan worden
gegarandeerd dat beschreven omstandigheden volledig in
overeenstemming zijn met van toepassing zijnde weten
regelgeving. In dit document wordt geen juridisch advies
gegeven of een oordeel omtrent de mate van compliance.
Aon aanvaardt geen enkele aansprakelijkheid voor het
onjuist interpreteren, toepassen dan wel uitvoeren van de in
de opgeleverde documentatie genoemde acties. Mocht u
verduidelijking wensen, dan kunt u uiteraard via ondersta-
ande contactgegevens met een van de consultants contact
opnemen.
www.aon.nl/gezondheidszorg

2
Organizational Resilience:
Harnessing experience, embracing opportunity
Executive summary
Howard Kerr, Chief Executive, discusses
the principle of Organizational Resilience
and how it can strengthen companies in today’s
increasingly complex and ever-changing
business world.

2 Organizational Resilience: Harnessing experience, embracing opportunity
Long-term prosperity in business is rare and decreasing. In the US,
for example, research1
has shown that companies currently remain
in the S&P 500 index for an average of just 18 years, down from 61
years in 1958. And it’s a similar story elsewhere in today’s dynamic,
interconnected world.
Every leadership team will agree that, to ensure lasting success,
their organization must become ‘resilient’. But what does this really
mean in practice? 1
Source: Creative Destruction Whips Through Corporate America, Foster R. Innosight. 2012
There have been numerous management papers on how
and why companies should embrace resilience in order
to protect themselves from growing business threats.
However, ‘Organizational Resilience’ is based upon a much
broader view of resilience as a value driver for organizations,
enabling them to perform robustly over the long term.
Our own recently published Standard BS 65000, defines
Organizational Resilience as “the ability of an organization
to anticipate, prepare for, respond and adapt to incremental
change and sudden disruptions in order to survive and
prosper”. Here, the words “organization” and “prosper” really
matter. Organizational Resilience reaches beyond survival,
towards a more holistic view of business health and success.
A resilient organization is Darwinian, in the sense that it
adapts to a changing environment in order to remain fit
for purpose.
BSI regards Organizational Resilience as a strategic
imperative for all companies, both large and small.
Strategic enabler
While there is always an important element of risk
management in Organizational Resilience, it should be
equally focused on business improvement. Organizational
Resilience is not a defensive strategy, but a positive,
forward-looking ‘strategic enabler’, which allows business
leaders to take measured risks with confidence. Robust,
resilient organizations are flexible and proactive – seeing,
anticipating, creating and taking advantage of new
opportunities in order, ultimately, to pass the test of time.
By demonstrating the resilience of their organization
– through certification and compliance to recognized
standards, for example – leaders are also showing that it is
reliable, trustworthy and a company that others would want
to do business with. In this way, Organizational Resilience
underpins enviable brand values and priceless reputational
benefits.
Mastering change
Mastering Organizational Resilience requires the adoption
of excellent habits to deliver business improvement by
embedding competence and capability throughout the
business and down the supply chain: from products and
services to people and processes; and from vision and
values to culture and behaviours.
Organizational Resilience requires commitment from the
whole company. It is founded on the values, behaviours,
culture and ethos of an organization. It is the leaders of an
organization who drive these ‘soft’ factors. However, to make
a difference, it requires top-down direction and bottom-up
engagement, through clear communication and a willing
embrace from all employees.
Learning from experience
The writer and philosopher Aldous Huxley observed,
“Experience is not what happens to a man; it is what a man
does with what happens to him.” Similarly, resilience is not
what happens to an organization, it is what the organization
does with what happens to it.
The most resilient organizations are eager to learn from
their own and others’ experiences to minimize problems
and grasp opportunities. Peer-to-peer networking and
knowledge sharing are vital, for example, when they seek
to invest in new areas, introduce innovative products and
processes or penetrate new and unfamiliar markets.

3
Building a resilient organization
BSI’s model for Organizational Resilience comprises three
fundamental elements:
• Product excellence
In this context, ‘product’ refers to whatever product,
service or solution an organization brings to market.
Organizations must ask themselves which markets they
serve. Do its capabilities and products match those
markets’ requirements and comply with their regulatory
environment and if not, how can it adapt them? Truly
resilient businesses innovate, creating new products and
markets, and differentiating their offering to stay ahead
of their competitors.
• Process reliability
Embedding best practice in developing and marketing
products and services is a key component of success.
Resilient organizations ensure that they ‘do the basics
right’ consistently through the strength and reliability
of their processes, while still leaving scope for innovation
and creativity. Business-critical processes in the
management of areas such as quality, environment,
health and safety, information security and business
continuity must be robust and compliant, both within
an organization and also throughout key parts of its
supply chain.
• People behaviour
Resilient organizations seek alignment between customer
expectations and employee engagement. Contemporary
organizations are inclusive and consultative, not
simply dictating rules to be followed, but encouraging
employees’ behaviour to become an integral part of their
job and their organization’s culture. The challenge for the
organization is to understand, articulate and demonstrate
their values clearly, so that everyone ‘lives’ them, not
because they’ve been told to, but because ‘it’s the way we
do things around here’.
BSI’s model is deliberately drawn as a positive feedback
loop, with process excellence driving up product reliability,
indivisibly linked to the people behaviour of an organization.
Long-term resilience requires looking at your organizational
capabilities holistically, enabling you to hold on to new
ground, and to strive for continual improvement.
The model further summarizes the defining qualities of
resilient organizations – the benefits that show them to be a
breed apart:
• Strategic adaptability – giving them the ability to handle
changing circumstances successfully, even if this means
moving away from their core business.
• Agile leadership – allowing them to take measured risks
with confidence and to respond quickly and appropriately
to both opportunity and threat.
• Robust governance – demonstrating accountability
across organizational structures, based upon a culture of
trust, transparency and innovation, ensuring they remain
true to their vision and values.
PRODUCT
Organizational
Resilience
PROCESS
PEOPLE
CONTINUAL IMPROVEMENT
ROBUST
OPERATIONAL RESILIENCE
AGILE
SUPPLY
CHAINRESILIENCE
ADAPTIVE
INFORMATION
RE
SILIENCE

1 Organizational Resilience: Harnessing experience, embracing opportunity
Stand out and win
To stand out and win, every
organization, regardless of its size,
sector or location, must develop an
approach to resilience that is right
for it – underpinned by its values and
defining its brand.
BSI’s model for Organizational
Resilience is built upon over a
century of our own history and tens
of thousands of client interactions
annually around the world. We have
learnt Organizational Resilience from
our own experience – and from that of
others. Now we can share that insight
through our own Organizational
Resilience model, through the British
Standard for Organizational Resilience
BS 65000, and through our broad
range of other relevant standards
and business services. At BSI, we are
wholly focused on ‘making excellence
a habit’ – we can guide you through
Organizational Resilience at a top level,
or stimulate best practice thinking for
its component parts.
Whatever the future holds for
your company, BSI’s approach to
Organizational Resilience will help you
harness your experience, embrace your
opportunities – and pass the test of
time.
The legacy of a true leader will be
determined not so much by what
is achieved today but by what the
organization achieves in the future.
bsigroup.com
Where resilience is key
While there are many business functions that would benefit from a focus on resilience, BSI identifies three domains today
that are critically important in achieving Organizational Resilience in both large and small companies:
Operational resilience
A resilient organization has a full
understanding of how it is run and
the environment in which it operates.
This includes identifying operational
improvements across its products/
services and processes in order to
meet the needs of its customers over
time, through to how an organization
values its people and governs itself. It
requires demonstrable evidence that
the organization is not complacent and
is always challenging itself to improve
performance and grow sustainably.
Supply chain resilience
As supply chain networks increasingly
span continents and become more
complex, the ability to quantify and
mitigate supply chain risks throughout
the procurement, manufacturing,
transportation and sales lifecycle is
paramount. Organizations need to
identify the critical risks to minimize
disruption and help protect global
operational, financial and reputational
exposures.
Information resilience
In today’s world, organizations must
be trusted to safeguard sensitive
information. A resilient organization
must manage its information
– physical, digital and intellectual
property – throughout its lifecycle,
from source to destruction. This
requires the adoption of information
security-minded practices that allow
stakeholders to gather, store, access
and use information securely
and effectively.
©BSIGroupBSI/UK/735/GRP/1115/en/BLD
To find out more
visit: bsigroup.com

Aanpak Coronacrisis
Denkkader voor zorginstellingen
UPDATE SEPTEMBER 2020
Dit hulpmiddel is ontwikkeld door crisisexperts van Aon’s COT
Instituut voor Veiligheids- en Crisismanagement.
www.aon.nl/coronavirus
Volg altijd het advies van RIVM/GGD en andere experts.
Tips
� Borg tijdig opgedane ervaringen en leerpunten
� Ken de (nieuwe of geupdate) branchespecifieke plannen en procedures
� Ken de lokale/regionale mogelijke maatregelen en aanpak (op hoofdlijnen)
van de overheid
� Houd rekening met (grote) verschillen in beleving bij collega’s van risico’s en
van nut/ noodzaak maatregelen
� Houd crisisorganisatie paraat herijk scenario’s
� Betrek zorgafdelingen bij voorbereiding uitbraken en op- en afschalen reguliere zorg
Voorbeelden van doelen
� Realiseren veilige / verantwoorde werksituaties: balans werken op afstand en op locatie
� Passende zorg kunnen bieden: balans van corona en niet-corona gerelateerde zorg
� Realiseren preventieve maatregelen: bijdragen aan voorkomen besmettingen
� Bieden van tijdige en passende mentale / psychosociale ondersteuning aan collega’s
Voorbeelden van
uitgangspunten
� Ons vertrekpunt is het advies van het RIVM
� We hebben en houden oog voor praktische
(on)mogelijkheden van preventieve maatregelen
� We bereiden ons voor op mogelijke nieuwe
besmettingen: buiten en binnen onze instelling
� We bereiden ons voor op mogelijke nieuwe
landelijke en/of regionale maatregelen
Aangepaste
dagelijkse
sturing
Crisis
management
paraat gerichte
preparatie
?
IT digitale
veiligheid
Overkoepelend
plan van aanpak:
wat als..?
Preventie
Reisbeleid
Financiële
gevolgen
Juridische
aspecten
(doorstart)
ketenafstemming
en preparatie
Bezoekbeleid
Speciale
Corona
voorzieningen
Actuele
brede
communicatie
Rouw
herdenken
Testbeleid Zorg voor
medewerkersBeschermings-
middelen
Tussentijds
leren:
brede dialoog
Verantwoording:
intern en extern
Mogelijke
thema’s
integrale
aanpak
Dit denkkader is een hulpmiddel voor organisaties om na te gaan wat de interne stand van
zaken is van de aanpak van de coronacrisis. Welke onderwerpen hebben extra aandacht nodig?
Gelet op de dynamiek van deze crisis hebben wij eerdere overzichten geactualiseerd en aangepast
op de uitdagingen die wij voorzien voor de komende maanden.
20.036-01-Corona-Crisism-Zorginst-aug2020

AVG als grootste zorg-def

Recommended

Recommended

More Related Content

Similar to AVG als grootste zorg-def

Similar to AVG als grootste zorg-def (20)

AVG als grootste zorg-def