De AVG is ingegaan. We beveiligen onze computers met firewalls. We maken procedures. Maar toch gebeuren ze: privacy-incidenten. Dat is ook niet zo gek, want waar mensen werken worden fouten gemaakt. Dokter Ehealth weet er alles van. In dit artikel bespreekt ze veelvoorkomende fouten rondom privacy en het Minddistrict platform.
Als het gaat om privacy, dan mogen er toch gewoon geen fouten gemaakt worden?
Dat kan je wel zeggen, maar we zijn mensen. En mensen maken fouten. Je kan alleen proberen zo min mogelijk fouten te maken. Gelukkig kan je van fouten leren, ook van andermans fouten. Sterker nog, ik had vroeger een gymleraar die alles altijd fout voordeed. Voor de veiligheid.
Huh? Leg 'ns uit?
Nou, dan gingen we bijvoorbeeld hockeyen, en dan legde hij uit hoe je de stick moest gebruiken. Dat je die over de grond moet schuiven, weet je wel. En daarna deed hij ook voor hoe het níet moest: de hockeystick als een golfclub lekker hoog opzwaaien. Want dat is niet veilig. Nou, dan snapten wij het.
Dus: ook van foute voorbeelden kan je leren
Inderdaad! En dat gaan we vandaag doen. Ik doe het een paar keer fout voor, en dan kun jij daarvan afleiden wat je wél moeten doen. En je hoeft niet eens publiekelijk toe te geven dat je het eerst verkeerd deed, is dat niet fijn?
Verkeerd voorbeeld 1: informatie aan de servicedesk
"Hallo servicedesk, ik wil graag de module 'Problemen met Alcohol' klaarzetten voor mijn cliënt, mevrouw Clarissa Bidonni, geboren 15-3-1974, wonend te Zierikzee. Maar het lukt niet. Kunnen jullie me helpen? Hartelijke groet, Dokter Ehealth."
Volgens mij weet ik al wat hier misging..
Ik deed zelfs 2 dingen verkeerd. Ten eerste deel ik privacygevoelige informatie van mijn cliënt met iemand die helemaal niets met haar te maken heeft. En ten tweede stuur ik dat ook nog eens per e-mail, een vorm van communicatie die niet versleuteld is, en daarom niet veilig genoeg om dit soort informatie mee te delen.
Maar heeft de servicedesk dan geen informatie nodig om antwoord te kunnen geven?
Natuurlijk hebben de servicemedewerkers informatie nodig om technische problemen op te lossen of vragen te beantwoorden. Maar Minddistrict heeft nooit cliëntgegevens nodig om service te kunnen leveren.
Daarnaast wordt soms ten onrechte gedacht dat de Minddistrict servicedesk ook dossiers kan openen en muteren, en dus wordt daar dan assistentie bij gevraagd. Maar dat kan de servicedesk helemaal niet, en dat is maar goed ook.
Is dit voorbeeld trouwens niet een beetje overdreven?
Tsja, het ligt er hier wel heel dik bovenop. Maar dit kan ook onbedoeld misgaan, bijvoorbeeld als je een vraag hebt ontvangen van een cliënt, die je vervolgens doorstuurt naar Minddistrict omdat je er niet uitkomt. Dan kan je zomaar vergeten zijn dat de gegevens van de cliënt die in die e-mailwisseling staan privacygevoelige informatie is.
Deel geen cliëntgegevens met externe partijen, en al helemaal niet via e-mail.
Verkeerd voorbeeld 2: cliëntverwisseling
Even een bericht sturen aan Piet, die is deze week als het goed is weer voor het eerst een paar uur aan het werk na zijn burn-out. Ah, hier het dossier van Piet Jansen. Dokter typt bericht. Verstuurd! Hoppa, ook weer gedaan. Hey, is dat een nieuwe profielfoto? En waarom heeft Piet de diabetesmodule? OH! Ik heb het bericht gestuurd naar Piet Jonssen, en niet naar Piet Jansen!
Dit is gewoon dom..
Ja, ook een dokter maakt weleens fouten. Ik zat helemaal niet bij de juiste cliënt, maar ik zag het pas ná het versturen..
Verwijderen maar dan!
Kijk, hier gaat het dus mis. Als je in het platform iets klaarzet voor de ene persoon, terwijl je eigenlijk de andere persoon bedoelde, dan kun je dat niet zomaar weghalen. Het blijft in de contactgeschiedenis staan.
Dat is gek, kan dat niet anders?
Nee, want dat is verplicht: alles wat je doet, is onderdeel van het dossier. En dossiers moeten 15 jaar bewaard worden, tenzij de cliënt vraagt om het dossier eerder te verwijderen. Daarom is er niet een delete-knop of iets dergelijks.
Hmm.. ok. Maar het is wel meer slordig dan echt erg, toch?
Dat is maar net hoe je er naar kijkt. Want mensen kunnen hier wel een onveilig gevoel van krijgen bij het platform. 'Als ik informatie krijg die voor iemand anders bestemd was, wat gebeurt er dan met mijn informatie?' Dat onveilige gevoel willen we koste wat kost voorkomen, want dat draagt absoluut niet bij aan het herstel van mensen. Het platform moet een veilige plek zijn, net als de spreekkamer.
Wat moet ik dan doen als ik toch verkeerde gegevens naar de verkeerde cliënt heb gestuurd
Goede vraag! Ik adviseer altijd om het account tijdelijk te deactiveren en direct contact op te nemen met Minddistrict, zodat we samen op zoek kunnen naar een oplossing. Zo 'bevries' je de situatie even tot er een oplossing of plan de campagne is.
Als er iets misgaat, kun je de situatie het best 'bevriezen' zodat we samen naar een oplossing kunnen zoeken
Verkeerd voorbeeld 3: iets laten zien
"Kijk even mee op mijn scherm Emine, dan laat ik je het emotiedagboek gelijk zien. Oh, mijn e-mailinbox staat nog open.. zo, dat is weg. Nu het platform openen. Dit zijn mijn cliënten.. even zoeken, waar ben jij? Ah, daar. Nou, laten we kijken naar het dagboek.."
Wat deed je hier verkeerd?
Ik heb hier mijn cliënt Emine een heel aantal dingen laten zien die ze niet hoeft te zien. Mijn e-mail bijvoorbeeld, maar ook de namen van andere mensen die een account hebben in Minddistrict en die ik begeleid.
Ze kan toch niet in een oogopslag alles zien? Is dit niet een beetje overdreven?
Het is strikt, maar het is wel privacy. Wat als je in een klein dorp woont, of een opvallende naam hebt? Dan weet je gelijk dat de man van de notaris ook bij jouw hulpverlener komt. Als het om jou gaat, dan wil je misschien ook niet dat iedereen dat kan zien.
Ja zeg, maar als ik de man van de notaris tegenkom in de wachtkamer, dat kan toch ook?
Dat kan inderdaad. En misschien heeft hij daar wel zoveel moeite mee dat hij zo min mogelijk in de wachtkamer zit, en zoveel mogelijk online en met videobellen doet. Dit soort dingen kun je niet invullen voor andere mensen, daarom is het zaak om gewoon op privacy te letten.
Laat mensen niet méér zien dan ze strikt genomen hoeven te zien
Verkeerd voorbeeld 4:
"Wat ik doe aan privacy en veiligheid? Nou, ik heb voor een superveilig platform gekozen. Zelf weet ik er niet zoveel van, dus ik ben blij dat Minddistrict zoveel aandacht besteedt aan deze onderwerpen. Zo houden zij rekening met de privacy van mijn cliënten en hoef ik er niets aan te doen."
Dit is misschien een lastige: waar geef ik nu NIET het goede voorbeeld in?
Ik snap deze niet. Minddistrict let op privacy en heeft daar allerlei regels voor in het platform, toch?
Ja.
Dus? Wat is dan het verkeerde voorbeeld?
Het punt is dat je jezelf nooit kunt ontslaan van je eigen verantwoordelijkheid. Minddistrict doet zoveel mogelijk om je te helpen, maar kán gewoon niet alles voor je uit handen nemen. Minddistrict kan je helpen, en kan je bewust maken, maar je moet er zelf wel bij blijven.
Een product kan nooit alles van je overnemen; wees scherp op privacy.
Meer informatie
Heb je ook een vraag voor dokter ehealth? Stuur ons een berichtje, en wellicht gaat de volgende blog over jouw vraag.
Lees ook de andere artikelen van dokter ehealth: