Tijdens het Publieke sector congres van BDO stond de veranderende maatschappelijke omgeving centraal. In eigenlijk alle subsectoren van de publieke sector ziet de wereld er compleet anders uit dan pakweg tien jaar geleden en worden bestuurders geconfronteerd met nieuwe, praktische én fundamentele vragen.
Om met die laatste te beginnen: Key note speaker Barbara Baarsma, directeur van SEO Economisch Onderzoek en hoogleraar Marktwerking en mededingingseconomie aan de UvA, sprak in dit kader van ‘de verwarde organisatie’. Want wanneer doet een organisatie in de publieke sector het vandaag de dag goed? Heeft een woningbouwcorporatie zijn taak goed vervuld als er aan het eind van het jaar een bescheiden winst is gemaakt omdat de huren bewust laag gehouden zijn? Is een ziekenhuis goed bezig wanneer het op de kosten let en er daardoor eind december veel geld over is?
Omgaan met vage doelen
Wanneer doe je het goed? Baarsma: ‘Wie het weet mag het zeggen. Het is niet eenduidig. De overheid heeft bij het op afstand zetten van de taken van zorginstellingen, woningbouwcorporaties en onderwijsinstellingen verzuimd de publieke belangen van dergelijke organisaties in te vullen en daaruit de taken af te leiden. Wat het extra lastig maakt is dat publieke belangen kunnen botsen. In de zorg, bijvoorbeeld, gaan kwaliteit en betaalbaarheid niet altijd samen.’ Daarbij: publieke belangen zijn niet eenvoudig te meten. Neem kwaliteit. Wat is dat precies?
Deze en andere factoren maken dat de doelen van de publieke sector per definitie vaag zijn. Diffuus. Wat doe je daaraan? Of misschien een betere vraag: wat doe je daarmee? Want Baarsma ziet de oplossing niet in nog meer regulering of nog meer transparantie-eisen. ‘Dat gaat ‘m niet worden, leert de ervaring tot nu toe.’
Haar oplossing: ‘Een betere governance. Juist omdat die doelen vaag en moeilijk meetbaar te maken zijn, vraagt de publieke sector om bestuurders die om kunnen gaan met die vaagheid. Die meer doen dan afvinken. Die de gevolgen van hun keuzes kunnen meewegen, juist wanneer het lastig is om dat zonder exacte regels te doen. Die zich toetsbaar opstellen, fouten durven maken en daarvan leren.’
Nieuwe privacy wetgeving
Robert van Vianen en Juliën Spronck, partner respectievelijk consultant bij BDO, behandelden enkele actuele vraagstukken rond privacy wetgeving waar ook de zorgsector mee te maken heeft. Van Vianen: ‘Met ingang van 1 januari aanstaande wordt de Wet Meldplicht Datalekken ingevoerd. Daarnaast komt er een Europese Privacy Verordening, waarschijnlijk halverwege 2016. Die vervangt de huidige Wet Bescherming Persoonsgegevens. Daaraan voorafgaand wordt de WBP tijdelijk aangescherpt.’
‘De Europese Privacy Verordening is drie keer scherper dan de WBP,’ waarschuwde Spronck. Dat gaat grote impact hebben. Je mag bijvoorbeeld niet bovenmatig persoonsgegevens verzamelen. Je moet registreren welke medewerker welke persoonsgegevens heeft ingezien. En de wet regelt het registreren van verstrekkingen aan derden, ook buiten Nederland.’
Eisen
De Verordening verplicht tot het aanstellen van een data protection officer en het uitvoeren van een risicoanalyse. En voor doorgifte van Europese persoonsgegevens aan buitenlandse overheden is volgens deze wet toestemming van de toezichthouder en van de patiënt zelf vereist. ‘Verder moet je in je algemene voorwaarden beschrijven hoe je de persoonsgegevens gebruikt.’
De Wet Meldplicht Datalekken schrijft voor dat een datalek binnen 72 uur moet worden gemeld bij het College Bescherming Persoonsgegevens. Althans, die lekken die leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.
Proces inrichten
Nog lang niet alle zorgaanbieders blijken op de hoogte van de implicaties van de nieuwe wetten, zo bleek uit onderzoek van BDO. Van Vianen: ‘Neem kennis van de eisen en zorg dat je met elkaar voorbereid bent. Het is niet alleen een it-feestje. Stel informatiebeveiligingsbeleid op. Dat hoeft niet heel zwaar te zijn. Maar richt het proces alvast in.’
De boetes op het niet naleven van de wetten zijn fors. Voor het niet nakomen van de Wet Meldplicht Datalekken alleen al tot 810.000 euro, of, als dat niet passend is, 10 procent van de jaaromzet van de rechtspersoon. ‘Overigens verwachten we nog wel discussie, bijvoorbeeld over de vraag wat een datalek precies is,’ aldus Spronck. ‘We zien de rechtszaken al komen.’