Wat gebeurt er als je zorgprocessen moet verbeteren, maar tegelijkertijd te maken hebt met drie verschillende privacywetten, meerdere interne normenkaders én een werkomgeving waar standaardisatie per definitie niet vanzelf spreekt?
Dat was precies de uitdaging bij het Nederlands Instituut voor Forensische Psychiatrie en Psychologie (NIFP). Een organisatie die opereert op het grensvlak van geestelijke gezondheidszorg en justitie, waar de belangen van cliënten, behandelaren, informatiebeveiligers en ketenpartners als DJI en het Ministerie van Justitie allemaal samenkomen.
De vraag: hoe zorg je voor gestroomlijnde en veilige processen, die voldoen aan wet- en regelgeving, maar óók werkbaar zijn in de dagelijkse praktijk?
Complexiteit als vertrekpunt
Het NIFP had te maken met versnipperde processen. Vijf ambulante locaties werkten deels verschillend. De afstemming tussen zorgprofessionals en ketenpartners verliep moeizaam. En de vraag ‘wat mag gedeeld worden, met wie, en onder welke wet?’ bleek telkens opnieuw onderwerp van discussie.
Daarbij speelden meerdere normenkaders een rol:
- De AVG, als overkoepelende privacywet.
- De WGBO, die patiëntrechten in de zorg regelt.
- De Wjsg, specifiek gericht op justitiële gegevens.
- En de BIR/BIO, de kaders voor informatiebeveiliging binnen de overheid.
Op papier allemaal verdedigbaar. In de praktijk leidde het tot onzekerheid, remmende besluitvorming en uiteenlopende interpretaties. De roep om duidelijkheid en structuur was breed gedragen – maar er was ook angst voor nóg meer regels.
Scan: de werkelijkheid achter de verwarring
In de analysefase is niet ingezet op snelle oplossingen, maar op het scherp krijgen van de werkelijke knelpunten.
We brachten eerst de feitelijke processen in kaart. Wie doet wat, met welke informatie, wanneer, en op basis van welk wettelijk kader? Met behulp van BPMN-diagrammen, gesprekken met zorgprofessionals, ICT’ers en juristen en documentanalyses werd zichtbaar waar het mis ging: niet in de afzonderlijke processen, maar juist in de overgangen daartussen.
Vooral de afstemming tussen behandelaars en ketenpartners (zoals penitentiaire inrichtingen) zat vol juridische ruis. De ene keer gold de WGBO, de andere keer de Wjsg – maar dat was in het proces vaak niet herkenbaar gemaakt.
Ook bleek dat lokale vertalingen van het BIO-beleid tot verschillende interpretaties van risicobeheersing hadden geleid.
Kortom: er was geen gebrek aan regels. Er was een gebrek aan gezamenlijke duiding en praktische vertaalslagen.
Implementatie: vereenvoudigen zonder te versimpelen
Vanuit de scan is gewerkt aan drie sporen:
- Procesharmonisatie:
- Uniforme werkwijze opgezet voor gegevensdeling.
- Beslisregels uitgewerkt: wanneer geldt welk wettelijk kader?
- Rollen en verantwoordelijkheden opnieuw belegd en beschreven.
- Beleidsontwikkeling:
- Overkoepelend privacy- en IB-beleid opgesteld, met expliciete koppelingen naar AVG, WGBO en Wjsg.
- Werkvoorschriften geüpdatet en gestandaardiseerd conform BIR/BIO.
- Governanceprincipes vastgelegd: wie toetst, wie beoordeelt, wie bewaakt.
- Implementatie in de praktijk:
- Workshops met casuïstiek: wat doe je bij een verzoek om gegevensuitwisseling vanuit een PI?
- Ontwikkeling van een beslisboom voor gegevensdeling – eenvoudig visueel model voor in de werkpraktijk.
- Aansluiting gezocht bij reguliere werkoverleggen en kwaliteitsrondes, zodat het geen losstaande exercitie werd.
In al deze stappen is steeds bewust gekozen voor een benadering waarin werkbaarheid centraal stond. Geen juridische overcorrectie, maar werkbare zorgvuldigheid.
Nazorg: borging zonder verkokering
Om de verandering te laten beklijven, is de borging slim verweven met bestaande structuren:
- Periodieke zelfevaluaties gekoppeld aan de kwaliteitscyclus.
- Microlearnings over gegevensverwerking en wetgeving als onderdeel van onboarding.
- Jaarlijkse updates van beleid en werkvoorschriften, op basis van wetswijzigingen of interne signalen.
Daarnaast is een ‘vraagbaakstructuur’ ingericht: professionals kunnen laagdrempelig overleggen met privacy officers en IB-specialisten, zonder dat het proces stilvalt.
De belangrijkste winst zit dan ook niet in de papieren producten, maar in de dagelijkse praktijk. Mensen weten beter waar ze aan toe zijn, en handelen met meer vertrouwen en eenduidigheid.
Wat heeft het opgeleverd?
- Duidelijkheid over wat mag en wat moet, zonder te blokkeren.
- Efficiëntere processen, door minder interpretatieverschillen.
- Betere samenwerking tussen zorg en justitie, op basis van gedeelde kaders.
- Meer bewustwording bij medewerkers over hun rol in privacy en informatiebeveiliging.
- Structurele compliance met AVG, WGBO, Wjsg en BIO, zonder bureaucratie.
De crux zat niet in de wetten zelf, maar in de manier waarop ze doorwerkten in de organisatie. En juist op dat snijvlak – waar processen, mensen en technologie samenkomen – maakt een gestructureerde aanpak het verschil.
Procesoptimalisatie binnen een complex werkveld vraagt om inhoudelijke scherpte én veranderkundig gevoel. Bij het NIFP werkte dat omdat beide er mochten zijn: de nuance én de actie.