6.2.2 Privacy

Lees ons jaarverslag online

Het vertrouwen van patiënten is van het grootste belang voor Erasmus MC, als het gaat om zorg, onderzoek en onderwijs. Zonder vertrouwen van patiënten en van de maatschappij als geheel kunnen wij onze kerntaken niet adequaat vervullen.

6.2.2 Privacy

Het vertrouwen van patiënten is van het grootste belang voor Erasmus MC, als het gaat om zorg, onderzoek en onderwijs. Zonder vertrouwen van patiënten en van de maatschappij als geheel kunnen wij onze kerntaken niet adequaat vervullen. Privacy - ofwel zorgvuldige omgang met gegevens van onze medewerkers, studenten en de gezondheidsgegevens van patiënten in zorg, onderzoek, onderwijs en bedrijfsvoering - is daarmee randvoorwaardelijk voor de uitvoering van de kerntaken van Erasmus MC.

Zorgvuldige omgang met persoonsgegevens is essentieel voor het vertrouwen dat patiënten, medewerkers, studenten en samenwerkingspartners in ons stellen. De wijze waarop we deze zorgvuldige omgang waarborgen, hebben we vastgelegd in een organisatiebreed gegevensbeschermingsbeleid en bijbehorende protocollen, gebaseerd op de uitgangspunten van de Algemene Verordening Gegevensbescherming (AVG), zoals rechtmatigheid, doelbinding, dataminimalisatie, vertrouwelijkheid en integriteit.

De uitvoering van ons beleid is ingericht volgens het drielijnenmodel. In de eerste lijn zijn thema’s en directies verantwoordelijk voor zorgvuldige gegevensverwerking, ondersteund door privacycontactpersonen (PCP’ers) die signalen en vragen oppakken. De tweede lijn wordt gevormd door het Privacy Knowledge Office (PKO), dat beleid ontwikkelt, de eerste lijn adviseert en privacyrisico’s monitort. De derde lijn bestaat uit de Functionaris Gegevensbescherming (FG), die als onafhankelijk toezichthouder toeziet op naleving van zowel de AVG als het interne beleid. De samenwerking tussen deze drie lijnen is versterkt door korte overleglijnen en structurele kennisdeling, waardoor privacybescherming niet alleen op papier is geborgd, maar ook zichtbaar is in de dagelijkse praktijk.

Ontwikkelingen in 2025

In 2025 heeft Erasmus MC belangrijke stappen gezet om de privacybescherming verder te versterken. Het in 2024 ingevoerde risicogebaseerde monitoringsysteem voor inzage in patiëntendossiers is volledig in gebruik genomen en ingezet voor gerichte controles, onder meer bij dossiers met een verhoogd risicoprofiel, zoals die van VIP‑patiënten of medewerkers die zelf onder behandeling zijn. Maandelijkse analyses maakten het mogelijk om ongeoorloofde inzagen tijdig te signaleren. Eind 2025 leidde een verdiepend onderzoek tot de constatering dat vijf medewerkers in totaal 34 dossiers onbevoegd hadden geraadpleegd. Hierop zijn passende disciplinaire maatregelen genomen. Deze uitkomsten onderstrepen het belang dat we hechten aan het zorgvuldig en rechtmatig omgaan met patiëntgegevens.

Verder hebben we in 2025 geïnvesteerd in het vergroten van bewustwording onder medewerkers. De verplichte e‑learning privacy en informatiebeveiliging voor nieuwe en bestaande medewerkers is gecontinueerd, aangevuld met trainingen en sessies over privacy in de dagelijkse praktijk. Tijdens de Week van de Veiligheid kregen medewerkers extra aandachtspunten mee over het juist raadplegen van dossiers, onder andere via een interactieve quiz en acties vanuit Informatiebeveiliging. Hiermee blijven we nadrukkelijk inzetten op een organisatiebrede cultuur waarin veilig en verantwoord gegevensgebruik de norm is. Bij nieuwe digitale toepassingen en andere ontwikkelingen wordt privacy vanaf het begin meegenomen. Indien nodig worden Data Protection Impact Assessments (DPIA’s) uitgevoerd om risico’s te beoordelen en passende maatregelen te treffen.

Vooruitblik 2026 en verder

In 2026 en de jaren daarna richten wij ons op het verder versterken van een zorgvuldige, transparante en toekomstbestendige omgang met persoonsgegevens. Een belangrijk aandachtspunt daarbij is het secundair gebruik van zorgdata. Wij vinden het essentieel dat patiënten goed worden geïnformeerd en duidelijk zeggenschap houden over hun gegevens. Daarom werken wij aan onder meer het project Brede Toestemming, beleid voor hergebruik van data voor onderzoek en innovatie, en verdere professionalisering van de n‑WMO‑toetsing.

Daarnaast bereiden wij ons voor op nieuwe en veranderende wet- en regelgeving, zoals de European Health Data Space (EHDS), de Wet elektronische gegevensuitwisseling in de zorg (WEGIZ) en ontwikkelingen binnen de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). De toenemende privacybewustheid van patiënten en anderen leidt bovendien tot meer inzage‑ en loggingverzoeken, wat vraagt om verdere professionalisering van onze processen en governance.

Tot slot brengen wij ons privacy‑risicomanagement naar een hoger volwassenheidsniveau. Wij herzien het DPIA‑proces en werken aan een samenhangend systeem voor het registreren, monitoren en opvolgen van privacyrisico’s. Daarmee verankeren wij privacy nog steviger in onze besluitvorming, innovatie en dagelijkse bedrijfsvoering.