Over Vivium/Torendael
Als klantgroepmanager is Siebe Janse verantwoordelijk voor locatie Torendael, midden in Amsterdam-Zuid. Hier wonen 146 mensen met dementie. Voornamelijk Amsterdammers. “We wensen voor iedereen een mooie oude dag”, zegt Siebe. “Met goede zorg, maar ook met veel leefruimte. Op de grote appartementen is menig student jaloers! Ons gebouw, dat meer lijkt op een kantoorpand dan op een zorginstelling, telt verspreid over zeven etages knusse groepswoningen. Daar wordt elke dag voor en vaak ook met bewoners vers gekookt.”
Toepassing van gezichtsherkenning voor vrijheid en veiligheid
Onder Siebes verantwoordelijkheid valt naast de kwaliteit van zorg, het borgen van de veiligheid van de bewoners. “Je wilt natuurlijk niet dat iemand zomaar de ring van Amsterdam op wandelt. Vanaf 2020 is het echter wettelijk verplicht dat de deuren van een instelling open zijn. Voor sommige bewoners is dat geen punt; zij kunnen veilig zelfstandig naar buiten. Wij zochten een oplossing voor bewoners die de neiging hebben om zelf naar buiten te lopen, terwijl dat voor hun veiligheid niet verantwoord is. Het moest een oplossing zijn, zónder tussenkomst van een medewerker. Na het zien van een tv-uitzending over de toepassing van gezichtsherkenning, wist ik dat dat een geschikte oplossing zou kunnen zijn. Ik betrok er onze functionaris gegevensbescherming bij, Frank Westerhof, Samen zijn we vervolgens hierover beleid gaan schrijven. ”
AVG als hulmiddel bij zorgvuldig omgaan met elkaar
Frank: “Als functionaris gegevensbescherming adviseer ik de organisatie bij het zorgvuldig omgaan met de rechten van mensen op het gebied van privacy. We hebben daarvoor binnen de zorg onder andere te maken met de Wet geneeskundige behandelingsovereenkomst (WGBO) maar ook met de AVG (Algemene verordening gegevensbescherming, red.). Velen zien die wetgeving als ballast waarin van alles moet. Ik sta daar anders in. Die wet is er namelijk om de rechten van mensen te respecteren en daar zorgvuldig mee om te gaan. Zorgvuldigheid in de zorg is enorm belangrijk. Een wet als de AVG en de DPIA zie ik daarbij als hulpmiddelen.”
DPIA is wettelijk verplicht
Frank: “Als het gaat om gevoelige of medische gegevens, heb je snel de verplichting om een DPIA uit te voeren. Je onderzoekt via zo’n assessment of bij de gegevensverwerking de rechten van betrokkenen goed kunnen worden nageleefd, de veiligheid van de gegevens is gegarandeerd en of de gegevensverwerking rechtmatig is, ofwel dat er een grondslag is dat je die gegevens verwerkt. Het gaat om het respecteren en garanderen van de privacy maar ook de veiligheid van de betrokkenen. Je kunt als organisatie zelf een DPIA uitvoeren. Als functionaris gegevensbescherming kan ik vervolgens toetsen of deze voldoet aan de wettelijke vereisten en of deze diepgaand genoeg is. Wij kozen ervoor om de DPIA te laten uitvoeren door een externe partij, namelijk door Van Oers. Maar daar ging eerst een intern traject aan vooraf.”
Motivering van de noodzaak
Siebe: “Al vrij snel nadat het idee ontstond om met gezichtsherkenning te gaan werken op deze locatie, hebben we medewerkers, de OR en de cliëntenraad erbij betrokken. Je moet mensen open en goed gemotiveerd laten weten waarom dit nodig is voor de veiligheid van bewoners en wat dit betekent voor medewerkers. We organiseerden diverse personeelsbijeenkomsten over dit onderwerp. Belangrijk is om goed te luisteren naar welke vragen bij medewerkers leven en wat wij als organisatie kunnen doen om hun zorgen weg te nemen. Zo hebben we in ons beleid duidelijk vastgelegd dat de organisatie verantwoordelijk is bij het invoeren van het opendeurenbeleid. Medewerkers waren namelijk bang dat zij erop aangesproken zouden kunnen worden als een bewoner toch naar buiten zou gaan als het systeem niet zou werken. De aanloop naar de invoering van de gezichtsherkenning was lang maar daardoor is de DPIA zelf soepel verlopen.”
Keuze voor Van Oers
Frank: “Ik heb eerst in mijn eigen netwerk gekeken welke partijen geschikt zouden zijn om een DPIA uit te voeren, wat bij het werken met gezichtsherkenning absoluut noodzakelijk is. Je mag biometrische gegevens immers niet verwerken tenzij.. Belangrijke voorwaarde voor ons was om onafhankelijk te blijven; de partijen bij wie we verplicht software moesten aanschaffen voor de uitvoer van de DPIA vielen daardoor af. Toen dit geen geschikte partij opleverde, zochten we op internet naar andere aanbieders. Van Oers kwam in die zoektocht naar voren als een degelijke aanbieder met een reëel kostenplaatje. En we behielden onze onafhankelijkheid.”
Zorgvuldige aanpak Van Oers
Frank: “Van Oers heeft na een voorbereidende fase, waarin we allerlei informatie over bijvoorbeeld het systeem moesten aanleveren, een dag bij ons op locatie geïnterviewd. Het ging om gestructureerde interviews met allerlei betrokkenen, zoals de systeemleverancier, de – installateur maar bijvoorbeeld ook met onze adviseur kwaliteit. Zij gaan bij Van Oers zorgvuldig te werk. Je merkt dat ze zowel kennis van de wetgeving en DPIA’s hebben als van het systeem en de technologie. Stap voor stap gingen we op deze manier door het hele proces, wat een heldere analyse met toelichting opleverde. ”
Monitoren van de noodzaak
Siebe: “Het traject met Van Oers is reuze meegevallen, wellicht omdat we al gewend zijn om openheid van zaken te geven en iedereen erbij te betrekken. Er waren slechts een paar kleine verbeterpunten. Met dit stand alone systeem, zónder koppeling met internet, kunnen we 99,9% van de bewoners die de neiging heeft om naar buiten te gaan, maar voor wie dat niet veilig verantwoord zelfstandig kan, tegenhouden, zónder tussenkomst van een medewerker.
Wens om DPIA’s te delen
Frank: “Zo lang er niets verandert aan het systeem of het gebruik ervan, blijft deze DPIA voor deze locatie geldig. Bij voorgenomen veranderingen volgt een herijking. Als een van de andere locaties binnen Vivium op exact dezelfde wijze met gezichtsherkenning gaat werken (onder dezelfde omstandigheden en met dezelfde maatregelen), kunnen we de DPIA delen. Het lijkt me nog mooier als we de DPIA ook met andere zorginstellingen kunnen delen om samen kosten te dragen en te verminderen. Op dit moment worden naar mijn beleving DPIA’s niet of nauwelijks gedeeld. Het zou wenselijk zijn als bijvoorbeeld branchevereniging ActiZ hier een platform voor zou creëren waar DPIA’s (onder voorwaarden) kunnen worden gedeeld en gedownload.”
Van Oers over DPIA
Marjon van de Lindeloof, IT consultant: “DPIA (Data Protection Impact Assessment) is een wettelijke verplichting vanuit de AVG voor organisaties die bijvoorbeeld privacygevoelige informatie of op grote schaal persoonsgegevens verwerken. Dit speelt in alle sectoren. Je moet de DPIA zien als een risicoanalyse die helpt om de risico’s te mitigeren en te toetsen of wordt voldaan aan de wettelijke verplichtingen. Bij de inzet van nieuwe technologieën, zoals het systeem voor gezichtsherkenning bij Vivium, locatie Torendael, moet je een DPIA uitvoeren vóórdat je de nieuwe technologie in gebruik neemt.
Ik vond het een hele leuke opdracht om samen met Wesley Riool voor Vivium/Torendael uit te voeren. Ook omdat de opdrachtgever er serieus mee omging en de waarde ervan onderschreef. Om een dergelijke analyse goed te kunnen uitvoeren, moet je de technologie doorgronden en toetsen aan wat er in de wet staat. De focus ligt op het belang van de privacy van bewoners en medewerkers, tegelijkertijd weeg je af wat voor hen verantwoord en nog werkbaar is.”
