'ICT kan elektronische patiëntendossiers niet volledig beschermen'
Het HagaZiekenhuis heeft vandaag de resultaten bekend gemaakt van het interne onderzoek naar de tekortgeschoten bescherming van privégegevens die zijn vervat in elektronische patiëntendossiers. Aanleiding voor dit onderzoek was de ontdekking dat tientallen medewerkers het medisch dossier hebben bekeken van Samantha de Jong, beter bekend als Barbie. Dit is gedaan zónder dat de inkijkers een behandel- of zorgrelatie hadden met De Jong, laat Haga nu weten.
Cultuur, beleid, bewustwording
Naar aanleiding van deze uitslag stelt Z-CERT, het kennis- en expertisecentrum voor cybersecurity in de zorg, dat ICT alleen niet voldoende bescherming kan bieden. "Ook de cultuur en het beleid in een zorginstelling zijn bepalende factoren. Bewustwording en gedrag, maar ook de aard van het werk moeten worden meegewogen om een duidelijk beleid te formuleren en te handhaven."
Het Haagse ziekenhuis heeft 85 werknemers een officiële waarschuwing gegeven voor de onrechtmatig toegang tot het dossier van Barbie. Als deze zorgmedewerkers nog eens de fout ingaan, volgt ontslag op staande voet, heeft het ziekenhuis bekendgemaakt. Aangezien dit voor alle betrokkenen de eerste waarschuwing is, volgen nu geen ontslagen.
Schermwaarschuwing, steekproeven en brief
Begin deze maand werd al bekend dat het waarschijnlijk om tientallen medewerkers ging. Ook de Autoriteit Persoonsgegevens begon een onderzoek. De Patiëntenfederatie sprak van een "cultuurprobleem". Om privacyschendingen in de toekomst te voorkomen, scherpt het ziekenhuis de procedures verder aan. Zo krijgen medewerkers een extra waarschuwing wanneer ze een dossier openen, gaat het ziekenhuis met extra steekproeven controleren of de regels worden gevolgd en moet iedere medewerker die toegang heeft tot de patiëntendossiers een online cursus volgen over privacy.
Verder krijgen alle medewerkers een brief waarin nog eens het belang van beroepsgeheim, vertrouwelijkheid en privacy wordt benadrukt. Tijdens werkoverleg en introductiebijeenkomsten komt er ook meer aandacht voor deze onderwerpen. Patiënten kunnen er daarnaast zelf voor kiezen hun persoonlijke gegevens extra af te schermen voor medewerkers.
Z-CERT benadrukt dat het uitgangspunt moet zijn dat alleen medewerkers toegang hebben tot een patiëntendossier als dat noodzakelijk is om medische zorg of andere hulp te bieden aan de patiënt. Zorginstellingen kunnen dit weliswaar bevorderen met technische maatregelen, zoals het loggen wie welke patiëntendossiers inziet. Dit kan een preventieve werking hebben: "Medewerkers weten dan dat geregistreerd wordt dat ze een patiëntendossier bekijken en daarop aangesproken kunnen worden", aldus Z-CERT. De nu door Haga aangekondigde maatregel van een extra melding bij openen van een dossier draagt ook bij. "Dit doet een beroep op de medewerker om hier bewust mee om te gaan."
Autorisaties versus de zorgpraktijk
De organisatie voor cybersecurity in de zorg merkt op dat het ook mogelijk is om autorisaties aan te scherpen, maar dat dit niet sluitend kan zijn. "Het is bij een behandeling niet altijd van tevoren vast te stellen welke medewerkers toegang moeten krijgen en welke niet. Er wordt gewerkt met diensten en als er spoed is, kan niet eerst nog de toegang tot een dossier geregeld worden." Striktere beperking van EPD-autorisaties sluiten dus niet altijd aan op de dagelijkse praktijk in de zorg.
"Er blijft dus een belangrijke verantwoordelijkheid liggen bij medewerkers zelf om hier op een verantwoorde manier mee om te gaan. In de praktijk zie je dat zorgmedewerkers heel patiëntgericht bezig zijn, hun focus is om de patiënt zo goed mogelijk te helpen. Privacy kan daar wel eens bij inschieten", constateert Z-CERT. De verantwoordelijkheid maar ook uitvoering worden door het cybersecurity-orgaan neergelegd bij beleidsmakers en de communicatie naar medewerkers. "Het gaat om bewustzijn bij medewerkers om zorgvuldig om te gaan met privacy van patiënten. Formuleer en communiceer duidelijk wat wel en niet is toegestaan en verbind ook consequenties aan het overtreden van de regels."
Inzicht vanaf juli 2020
Tot slot haalt Z-CERT nog aankomende wetgeving aan: de Wet cliëntenrechten bij elektronische verwerking van gegevens die op 1 juli 2020 van kracht wordt. Dit voorziet erin dat zorginstellingen verplicht zijn om inzichtelijk te maken voor patiënten welke medewerkers hun digitale dossier hebben ingezien. "Dat kan een preventief effect hebben: immers medewerkers zijn zich dan bewust dat de patiënt meekijkt", aldus Z-CERT.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee