Zorginstellingen treffen onvoldoende maatregelen om ervoor te zorgen dat uitsluitend bevoegde medewerkers van ziekenhuizen, GGZ-instellingen of huisartsenposten toegang hebben tot digitale patiëntendossiers. Dit concludeert het College bescherming persoonsgegevens (CBP) na onderzoek bij negen zorginstellingen. Het CBP gaat er op basis van het onderzoek, nieuwe signalen en gesprekken met koepelorganisaties van uit dat de aangetroffen situatie op grote schaal voorkomt in de zorgsector.
Het CBP-onderzoek strekte zich uit tot negen zorginstellingen, waaronder algemene ziekenhuizen, ggz-instellingen en huisartsenposten. Deze instellingen behandelen gezamenlijk ruim een miljoen patiënten per jaar. Uit het rapport `Toegang tot digitale patiëntendossiers binnen zorginstellingen’ blijkt dat de onderzochte instellingen onzorgvuldig omgaan met de medische gegevens van hun patiënten en overtreden zo de Wet bescherming persoonsgegevens (Wbp). Medewerkers van een zorginstelling mogen namelijk alleen toegang krijgen tot patiëntgegevens wanneer zij de betreffende patiënt behandelen of als de toegang noodzakelijk is voor de afwikkeling van een behandeling.
VIP’s wel goed beschermd
Op dit moment zijn zowel de technologische en organisatorische maatregelen als de logging en controle bij geen van de onderzochte instellingen zodanig dat uitsluitend bevoegde medewerkers toegang hebben tot patiëntgegevens en dat onbevoegde toegang kan worden achterhaald, stelt het CBP.
Saillant detail: bekende Nederlanders maar bijvoorbeeld ook bestuursleden van de instelling zelf hebben vaak wel een betere bescherming hebben tegen onrechtmatige toegang tot hun medische gegevens. Deze mate van bescherming komt volgens het college op grond van de wet aan iedere patiënt toe.
In het rapport staan diverse voorbeelden van tekortschietende zorginstellingen, zoals het gebruikmaken van een gedigitaliseerd patiëntendossier, instellings-EPD genoemd, dat niet voldoet aan de huidige stand van de (beveiligings)techniek. Of een elektronisch patiëntendossier dat modern genoeg is, maar waarbij de aanwezige technische mogelijkheden niet worden gebruikt om de Wbp te kunnen naleven. Het CBP concludeert verder dat de onderzochte zorginstellingen niet voorzien in een systematische, consequente controle van alle logging, zoals dat in de normen NEN 7510 en NEN 7513 is aangegeven.
Déjà vu
De lakse omgang met medische gegevens is niet nieuw. Al een paar keer eerder constateerde het CBP dat de informatiebeveiliging in ziekenhuizen onder de maat is. Zorginstellingen moeten volgens de wet technologische en organisatorische maatregelen treffen om onbevoegde toegang tot medische gegevens door medewerkers binnen een zorginstelling te voorkomen. Daarnaast moeten zij bijhouden (loggen) en controleren wie welke dossiers raadpleegt. Hiermee kan onbevoegde toegang worden opgespoord en kan een zorginstelling hier tegen in het geweer komen. In de praktijk blijken zorginstellingen hun autorisatiebeleid vaak niet in overeenstemming is met de Wbp.
Gebruikersmacht organiseren
De onderzochte zorginstellingen dienen maatregelen te nemen om de interne toegangsverlening voor medewerkers tot patiëntendossiers en de controle beter te regelen. Als het CBP constateert dat de instellingen de overtredingen niet beëindigen, zal het college handhavend optreden. De toegangsbeveiliging van medische gegevens binnen zorginstellingen blijft een belangrijk punt van aandacht van het CBP. Ook bij andere zorginstellingen is onderzoek mogelijk, zeker als over specifieke instellingen signalen zijn binnengekomen, waarschuwt de privacywaakhond.
Het CBP constateert dat bij de verantwoordelijken in de zorgsector een ‘gevoel van noodzaak’ ontbreekt. Pas naar aanleiding van dit onderzoek heeft een aantal van de onderzochte zorginstellingen stappen gezet om gezamenlijk op te trekken tegen de softwareleverancier – organisatie van gebruikersmacht – om zo de benodigde aanpassingen in het instellings-EPD van die leverancier af te dwingen. De ggz-sector vormt daarin een positieve uitzondering, mede door de koepelorganisatie georganiseerde gemeenschappelijke set van eisen voor instellings-EPD’s en toetsing van de producten van verschillende leveranciers aan die eisen.
Dit artikel verbaast mij nu net helemaal niets.
Ab Klink et cie
Weet u nog? Ten tijde van het debacle van Ab Klink die op volkomen oneigenlijke gronden de kamer onder druk probeerde te zetten zijn versie van het EPD te accepteren met een meerderheid, vlak voor hij naar huis kon? Op dat moment was er al ruwweg zo’n 500 miljoen gespendeert, maar, geheel in de competentie van de overheid, dan had je ook niets.
Communicatie naar Ab Klink
Wij hebben uit hoofde van onze kennis en ervaring met automatiseren vast gesteld dat:
A: Ab Klink et Cie weinig tot geen ervaring of affiniteit hebben met automatiseren
B: Toeleveranciers vaak heel erg veel boter op het hoofd hebben gehad en schreven met vorken waar kwalitatief veel te weinig tegenover stond.
In beide gevallen zeer ernstig voor het aanzien van de IT sector integraal.
Ging het hier overigens niet het bevorderen van beschikbaarheid van persoonlijke patient gegevens, in geval van medische urgentie, van instelling tot instelling?
Hoe dan wel?
Wij hebben Ab Klink en cie destijds gewezen op een zeer eenvoudig scenario waarmee er een paar vleigen in één klap zoude worden geslagen. Gaat het bij automatiseren nu eenmaal niet om automatiseren?
In een eenvoudige inventarisatie was al vast komen te staan dat er enkele standaarden te realiseren waren door de ziekenhuizen en instellingen zelf waar het de opslag van data betrof. Die waren .doc(x), .MP3/4, GIF/JPG/BMP.
U weet wel gewone standaarden waar je vrijwelk niets speciaals voor nodig hebt.
Het BIG
Het BIG is het register waar medisch personeel in staat geregistreerd. Het systeem bestaat al en er hoeft niets opnieuw te worden uitgevonden. Elk lid van de medische professie heeft een eigen BIG nummer. Een ieder die gebruik maakt van medische data transfers, van het ene ziekenhuis naar het ander, kan eenvoudig worden gecontroleerd en geregistreerd dus.
Uniform Protocol
Met een eenvoudig uniform protocol, en een secure verbinding van medische instelling naar medische instelling, is data bijzonder eenvoudig en gecontroleerd uit te wisselen. Koppel aan die beveiligde verbinding een dienstdoende data coordinator, en je bent feitelijk klaar.
Medische data onmiddelijk beschikbaar bij calamiteiten
Het doel, levens redden doordat data sneller en eenvoudig beschikbaar zou zijn, hadden wij al met de grond gelijk gemaakt. Immers, dat idee zou namelijk alleen maar kunnen werken wanneer mensen onmiddelijk geidentificeerd konden worden en dat is nu eenmaal in de praktijk niet altijd het geval. Niet idereen heeft nu eenmaal een ‘ICE’ nummer in mobiel staan.
Wat dan wel?
Een eenvoudige grote slag kon worden geslagen door de hulp van de verzekeringsmaatschappijen in te schakelen. Geef éénmalig een nieuw pasje uit aan de verzekerden met een chip. Laat die verzekerden naar het lokale bijkantoor van de verzekering komen, voer persoonlijke data (NAW), bloedgroep en eventueel medicijngebruik of allergie in in een veld, maak een foto, sla die encrypted op op een chip (max 100 Kb), en je bent klaar.
Stap 2
Geef elke ambulance een tablet met ingebouwde reader, alle ziekenhuizen krijgen cardreaders, en…… een klein eenvoudig stukje software en voila….
– Eigenaar van de data blijft eigenaar van de data
– Bij wijzigen van data is wijzigen een kwestie van minuten op chip
– Eigenaar bij calamiteiten is onmiddelijk identificeerbaar
– Eigenaar is niet identificeerbaar meteen wanneer die pasje niet bij zich draagt… ( was dat anders ook niet, nothing changes)
– Fraude word meteen uitgebannen doordat elke specialist/assistent/verpleegkundige meteen identificeren kan wie de patiënt is
Implementatiekosten?
Wij hadden Ab Klink geroepen dat dit wellicht hoogstens 250 miljoen zou bedragen, gedeeld over alle verzekerden en instellingen. Dat zou eenmalig een uitgave zijn die alle instellingen en overheid zeer eenvoudig konden dragen.
Implementatie tijd?
Hooguit enkele maanden met een zeer eenvoudig PvA.
Data beheersing?
Die bleef en blijft ongewijzigd omdat die gewoon in handen blijft van….
Stand van zaken?
Geen van de betreffende anmbtenaren of Ab Klink heeft zich ooit geroepen gevoeld ook maar één moment te reageren op contact verzoeken. Niet omdat wij nu zo graag er iets aan wilden verdienen, wij hebben deze informatie destijds gewoon vrij ter beschikking gesteld. Waarom nieuwe dingen verzinnen. U geeft miljarden inmiddels uit en bent feitelijk nog nergens.
Was automatiseren nou niet bezuinigen?
Gevaren anno 2013
U ziet, en daar hebben we ook in de fora van computable.nl op gewezen, dat wanneer senior IT staff ‘rucksichtlos’ word uitgefaseerd, en men het graag wil gaan doen met young upcoming professionals, u weet wel, die zeer weinig kostende starter in de IT die je vooral overlaad met medior en senior taken, voor drie maal niets.
Dit soort publicaties. Want u kunt, met alle respect voor de starters en mediors natuurlijk, van hen niet verlangen dat zij kennis en ervaring hebben in discipline overstijgend naar processen kunnen kijken en zien waar het fout kan gaan en anticiperend optreden.
Mijn beste IT professional, ik heb al een aantal malen vaker geroepen dat we alleen maar hoeven te wachten op toename van de gevallen van grootschalige schade. Dat kan namelijk niet anders. Als je namelijk onnadenkend met een voorspelbare materie als IT om gaat, dan kun je gewoon aanwijzen waar het fout gaat en er gewoon op wachten.
De inhoud van dit artikel is daar weer een mooi voorbeeld van. Het is niet zo zeer dat de instellingen daar debet aan zijn, maar zij die aan de knoppen zitten en vaak geen affiniteit hebben met de materie IT i.c.m. mensen die heel goed in hun stukje vakgebied blijken, maar niet de ‘awareness’ hebben dat je nog veel meer nodig hebt processen en procedures sluitend te maken en te implementeren.
Jammergenoeg.
@NumoQuest
Zou het toeval zijn dat zeer veel IT’ers hebben aangegeven niet met het EPD mee te willen doen? En waarom zou je uberhaupt een effectief EPD willen hebben waarbij de eigenaar van de gegevens de patient zelf is?
Laten we ons gewoon eens een keer niet voor de gek nemen. Er valt veel meer te verdienen aan een ineffectieve zorg. Niet alleen voor de IT leveranciers, maar ook de farmaceutische industrie, zorg verzekeraars en ook al die onafhankelijke artsen.
En kijk eens waar Ab nu terecht is gekomen. Als je niet beter zou weten dan lijkt het een goedkeuring door ’s werelds meest elite old-boys network.
@johan duinkerken: Waar kan ik het onderzoek vinden waaruit blijkt dat veel IT-ers nee zeiden?
@numoquest: Wie wordt er met Wij bedoeld? Het enige wat ik weet is dat het landelijk EPD is ontworpen door een kundige groep mensen en geen juniors.
Natuurlijk doet Ab Klink dit niet zelf daar heeft hij mensen voor. Heeft u ooit een staatssecretaris van VenW een weg zien aanleggen?
Voor de rest zie ik niet hoe ik een MRI scan op een chip kan opslaan. Om maar een dingetje te noemen…
Fraude komt voor, maar een patiënt moet sowieso geholpen worden.
Identificatie met een chip is leuk vooral als je voor iemand anders medicijnen gaat halen dan weet je nog niet of het bij de juiste persoon wordt opgeslagen. De wereld is nu eenmaal wat complexer dan hier wordt voorgesteld.
@corne
Je kan het ook omkeren. Als je als IT’er destijds niet het bezwaarschrift hebt ingevuld en opgestuurd mag je zeer sterk afvragen in hoeverre je inzicht hebt in je eigen vakgebied.
Wat nog los staat van de sterke argumentaties van een groot aantal rechtsgeleerden, artsen, andere specialisten en notabene de Eerste Kamer.