Dataveiligheid vormt een belangrijke voorwaarde voor tevreden patiënten. Hoe zorg je er als ziekenhuis voor dat gevoelige data toegankelijk is, veilig gebruikt kan worden en niet op straat belandt? Wat doe je als ziekenhuis met de informatie uit zelfzorgapps of andere informatiebronnen voor- en nadat een patiënt bij een ziekenhuis is geweest? Wie heeft toegang tot de data en hoe lang? Ook bij dataveiligheid staat de patiënt centraal.
De crux is niet alleen dataveiligheid, maar de zekerheid die een patiënt krijgt dat zijn data in veilige handen is. Per slot van rekening gaat het niet om data van het ziekenhuis, maar om die van de patiënt.
Inmiddels is iedere bestuurder zich bewust van de meldplicht datalekken. In februari van dit jaar heeft de Autoriteit Persoonsgegevens in een open brief aan raden van bestuur van zorginstellingen in Nederland aandacht gevraagd voor de bescherming van patiëntgegevens. Dat deze extra aandacht nodig is, is verwonderlijk aangezien veiligheid van patiëntgegevens in principe vanzelfsprekend topprioriteit moet hebben. Dataveiligheid en datalekpreventie gaan verder dan het hebben van goede anti-virus/malwaresoftware, identity & access management of mobile device management. Met enerzijds de toegankelijkheid van data op verschillende gegevensdragers zoals portals en mobile devices en anderzijds de discussie over eigenaarschap van patiëntendata, moet een ziekenhuis zich verplicht voelen om de data zoals die accumuleert tijdens alle stappen van een Patient Journey op een veilige manier te beheren.
Relevante data
In de Patient Journey heb je grofweg de fase voor, tijdens en na het bezoek aan een ziekenhuis. In alle fases verzamelen patiënten data die in meer of mindere mate relevant zijn voor een ziekenhuis. Wanneer een patiënt met klachten thuis via internet op zoek gaat naar informatie wordt al data verzameld. Dat geldt ook voor allerlei zelfhulp-apps of gezondheidsdevices. Wil je die data als ziekenhuis gebruiken? Hoe ontsluit je die? En hoe stel je ze weer beschikbaar nadat je ze gebruikt of bewerkt hebt? De informatie-uitwisseling tussen verschillende zorginstellingen en professionals vindt nu al op grote schaal plaats.
Niet elke zorginstelling heeft zijn dataveiligheid goed georganiseerd. Neem je als ziekenhuis ook de verantwoordelijkheid voor de ‘onveilige’ datasystemen van andere zorgverleners? Hoe stel je je daarin op? Zodra een patiënt in behandeling is bij een ziekenhuis krijgt hij de mogelijkheid om inzage te hebben in zijn gegevens, die te verwijderen of te laten actualiseren. Interessant is om na te gaan in hoeverre dataveiligheid in contracten, service level agreements of bewerkersovereenkomsten met leveranciers is georganiseerd.
Wanneer je als ziekenhuis alle bedrijfsvoerings- en dataprocessen op orde hebt, is de grootste uitdaging nog het omgaan met het gedrag van alle medewerkers. Iedereen kent het verleidelijke gemak van even iets op een usb-stick zetten, of iets via je privé-mail versturen. Naast training, bewustwording et cetera moet je als ziekenhuis kunnen monitoren wat er gebeurt met je data en waar een mogelijk lek is. Het is ook daarom dat zorgbestuurders regelmatig een analyse moeten (laten) maken van de beveiliging van patiëntgevoelige data om er in te voorzien dat deze veiligheid aan de hoogste normen voldoet, actueel is en in overeenstemming is met vigerende wet- en regelgeving. Om datalekken te voorkomen is het voor zorginstellingen belangrijk om voor alle patient journey-stappen antwoord te krijgen op vragen als:
– Wat is privacygevoelige informatie
– Waar staat deze informatie?
– Waar gaat deze vertrouwelijke informatie naar toe?
– Waar zijn de afzender en de ontvanger van deze informatie toe geautoriseerd?
De veiligheid van zorg begint en eindigt niet bij de grenzen van het ziekenhuis. Dat geldt ook voor de veiligheid van patiënten-data. Als ziekenhuis doe je er goed aan de journey van de patientdata in kaart te brengen en te monitoren. Alleen dan kun je als ziekenhuis de patiënt zekerheid bieden dat zijn data veilig is.
Dit artikel is geschreven in samenwerking met mijn Atos Consulting Healthcare-collega’s André de Meulder en Sebastiaan ten Hove.
