Waar wilt u heen?
085 06 08 419
085 06 08 419
info@zcur.nl
Advies  Bewustwording  E-learning

Mag je dit dossier openen? 12 veelvoorkomende situaties uitgelegd.

Mag een medewerker dit dossier eigenlijk openen? 12 praktijksituaties uitgelegd

Binnen organisaties ontstaan regelmatig vragen over het bekijken van dossiers, persoonsgegevens en andere vertrouwelijke informatie. Vaak gebeurt dit niet met verkeerde bedoelingen. Toch kan onbevoegde inzage grote gevolgen hebben voor de privacy van betrokkenen én voor de organisatie.

In de praktijk merken wij dat medewerkers het soms lastig vinden om te bepalen wanneer gegevens wel of niet mogen worden geraadpleegd. Daarom zetten we 12 herkenbare situaties op een rij.

1. Een medewerker kijkt het dossier van een familielid in

Nee, dit mag niet.

Ook wanneer een medewerker goede bedoelingen heeft of wordt gevraagd door een familielid, mag een dossier niet zomaar worden geopend. Alleen wanneer dit onderdeel is van de eigen werkzaamheden én daarvoor een geldige reden bestaat, is inzage toegestaan. Als alternatief kun je inkijken via MijnOrganisatie of via Caren als je ONS gebruikt.

2. Een collega vraagt even mee te kijken

Dat hangt af van de situatie.

Heeft de collega hulp nodig bij een behandeling, aanvraag of proces waar jij officieel bij betrokken bent? Dan kan inzage noodzakelijk zijn. Is er geen werkgerelateerde noodzaak? Dan mag het niet.

3. Een bekende staat ineens in het systeem

Nee.

Nieuwsgierigheid is geen geldige reden om een dossier te openen. Toch gebeurt dit in de praktijk regelmatig. Juist daarom besteden organisaties veel aandacht aan bewustwording rondom dossierinzage.

4. Een leidinggevende vraagt om gegevens op te zoeken

Niet automatisch.

Ook leidinggevenden moeten een geldige reden hebben om gegevens in te zien. Vraag jezelf altijd af of de inzage noodzakelijk is voor de uitvoering van werkzaamheden.

5. Een medewerker opent een dossier uit interesse

Nee.

Interesse, betrokkenheid of nieuwsgierigheid vormen nooit een geldige grondslag voor inzage.

6. Je hebt vroeger aan een dossier gewerkt

Dat betekent niet dat je onbeperkt toegang mag houden.

Toegang tot informatie moet aansluiten op actuele werkzaamheden. Zodra betrokkenheid bij een dossier vervalt, vervalt vaak ook de noodzaak voor inzage.

7. Gegevens controleren voor kwaliteitsdoeleinden

Dit kan wel toegestaan zijn.

Veel organisaties voeren controles uit op kwaliteit, rechtmatigheid of veiligheid. Hiervoor gelden vaak specifieke procedures en autorisaties. Veel organisatie bieden hier de mogelijkheid om dossiers uit te laten sluiten voor mensen die bezwaar hebben.

8. Een medewerker wil controleren of gegevens juist zijn verwerkt

Dat kan onder voorwaarden.

Wanneer dit onderdeel is van de functie en noodzakelijk is voor de uitvoering van werkzaamheden, kan inzage gerechtvaardigd zijn.

9. Een dossier openen tijdens een noodsituatie

Soms wel.

Bij een acute noodsituatie kan het noodzakelijk zijn om gegevens te raadplegen om schade of risico’s te voorkomen. Organisaties leggen hiervoor vaak aparte procedures vast. Denk aan noodprocedures en escalaties. Let op! Dit noodgebruik van dossiers moet je als organisatie loggen en controleren.

10. Inloggen met het account van een collega

Nee.

Accounts zijn persoonlijk. Het gebruik van accounts van collega’s maakt achteraf niet meer inzichtelijk wie welke handelingen heeft uitgevoerd. Daarmee vervalt ook een belangrijk onderdeel van de verantwoording en controle. Er zijn situaties bekend in het medisch tuchtrecht waarbij de uitlenende collega verantwoordelijk wordt gehouden voor de werkzaamheden van de ander. Soms met schorsing tot gevolg.

11. Een dossier openen omdat iemand mondeling toestemming geeft

Niet altijd.

Toestemming alleen is vaak onvoldoende. Er moet ook een werkgerelateerde noodzaak zijn en de organisatie moet hiervoor passende procedures hebben ingericht. Daarnaast is het slim om de toestemming te registreren, bijvoorbeeld met een toestemmingsprocedure of in ieder geval door in het dossier te registreren dat je dit hebt overlegd en mondeling toestemming hebt gekregen.

12. “Maar ik bedoelde het goed”

Dat horen privacy- en securityteams regelmatig.

De meeste overtredingen ontstaan niet vanuit kwade opzet. Medewerkers willen meestal het juiste doen, willen leren van praktijksituaties, maar weten niet altijd wat wel en niet is toegestaan.

Juist daarom zijn duidelijke afspraken, bewustwording en training zo belangrijk.

Hoe controleer je of dossiers rechtmatig worden ingezien?

Het hebben van regels alleen is niet voldoende. Organisaties moeten ook kunnen vaststellen of medewerkers zich aan die regels houden.

Daarom worden binnen veel organisaties periodiek controles uitgevoerd op dossierinzages. Hierbij wordt steekproefsgewijs gekeken of medewerkers een geldige reden hadden om een dossier te openen.

Belangrijke vragen daarbij zijn:

  • Welke dossiers worden gecontroleerd? En hoeveel?
  • Hoe wordt vastgesteld of een inzage rechtmatig was?
  • Wie beoordeelt de uitkomsten?
  • Welke vervolgstappen worden genomen wanneer een inzage niet rechtmatig blijkt?
  • Hoe worden bevindingen vastgelegd?

Het uitvoeren van dergelijke controles vraagt om een zorgvuldige aanpak. Niet alleen vanwege de privacy van betrokkenen, maar ook omdat medewerkers erop moeten kunnen vertrouwen dat controles objectief en volgens duidelijke afspraken plaatsvinden.

Een goed protocol beschrijft daarom niet alleen hoe steekproeven worden uitgevoerd, maar ook hoe bevindingen worden beoordeeld en welke maatregelen passend zijn wanneer onrechtmatige inzage wordt vastgesteld. Meer weten? Lees dan onze eerdere blog.

Van regels naar gedrag

In de praktijk blijkt dat medewerkers dezelfde situatie vaak verschillend beoordelen.

De één denkt dat inzage is toegestaan omdat hij betrokken is geweest bij een dossier. De ander gaat ervan uit dat toestemming voldoende is. En weer een ander opent een dossier uit behulpzaamheid, zonder zich bewust te zijn van de privacyrisico’s.

Dat is begrijpelijk. Privacywetgeving, interne procedures en toegangsrechten zijn niet altijd eenvoudig.

Daarom kiezen steeds meer organisaties voor gerichte bewustwording rondom privacy en informatiebeveiliging. Niet door medewerkers alleen beleidsdocumenten te laten lezen, maar door herkenbare praktijksituaties te gebruiken. En ze hiermee te laten oefenen!

Met een op maat gemaakte e-learning kunnen voorbeelden uit de eigen organisatie worden verwerkt. Medewerkers leren daardoor niet alleen welke regels gelden, maar vooral hoe zij die regels in de dagelijkse praktijk moeten toepassen.

Voorkomen is beter dan herstellen

Wanneer een (vermoedelijke) onrechtmatige inzage wordt vastgesteld, moet een organisatie snel en zorgvuldig kunnen handelen. Dat vraagt om duidelijke procedures, goede vastlegging en een consistente beoordeling van situaties.

Onze privacy officers ondersteunen organisaties onder andere bij:

  • het opstellen van protocollen voor dossiercontroles en steekproeven;
  • het beoordelen van mogelijke privacy-incidenten;
  • het vastleggen van passende vervolgacties;
  • het verbeteren van bewustwording binnen de organisatie;
  • het versterken van privacy- en informatiebeveiligingsprocessen.

Zo ontstaat niet alleen meer duidelijkheid voor medewerkers, maar ook een aantoonbaar proces waarmee privacyrisico’s beter beheerst kunnen worden.

Conclusie

Onrechtmatige dossierinzage ontstaat meestal niet door kwade opzet. Veel vaker is sprake van onduidelijkheid, verkeerde aannames of onvoldoende kennis van de regels.

Door duidelijke procedures op te stellen, periodiek controles uit te voeren en medewerkers bewust te maken van hun verantwoordelijkheden, kunnen organisaties veel incidenten voorkomen.

Twijfel je als medewerker of een dossier mag worden geopend? Dan is één vraag vaak voldoende:

Heb ik dit dossier echt nodig om mijn werk uit te voeren?

Is het antwoord nee, dan is inzage meestal ook niet toegestaan.

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *