Zeer persoonlijke patiëntinformatie is jarenlang onterecht zichtbaar geweest voor werkstudenten van het Amsterdamse OLVG-ziekenhuis. Hun toegangsrechten in het epd-systeem waren verkeerd ingesteld. Daardoor konden ze patiënten van alle specialismen opzoeken, meldt de Volkskrant. Het gaat om honderdduizenden patiënten en gegevens variërend van soa-testuitslagen tot kankermedicatie.
Een van de werkstudenten meldde het datalek in augustus 2018. Volgens het ziekenhuis zijn de toegangsrechten direct daarna aangepast. Toch zeggen studenten tegen de Volkskrant dat ze ook na september dossiers konden raadplegen, terwijl zij daartoe geen rechten hadden. Uit een interne mail van februari 2019 blijkt dat er nog steeds ‘autorisatieproblemen van werkstudenten’ zijn.
Maatregelen
De organisatie meldde het lek in augustus bij de Autoriteit Persoonsgegevens (AP). Bovendien wees het ziekenhuis zijn medewerkers kort nadien op ‘het belang van een verantwoorde omgang met patiëntendossier’, aldus de krant. Het ziekenhuis onderzoekt momenteel óf en hoe vaak het datalek is misbruikt.
OLVG treft aanvullende maatregelen, meldt het ziekenhuis naar aanleiding van de berichtgeving. Deze hebben voornamelijk te maken met het opleiden van de werkstudenten op het vlak van privacy, de gedragscode en omgang met vertrouwelijke informatie. De organisatie scherpt de autorisatie van werkstudenten verder aan en gaat structureel controleren op de naleving van de gedragscode. Dit gebeurde voorheen steekproefsgewijs.
Epic
OLVG gebruikt sinds eind 2015 het elektronisch patiëntendossier van leverancier Epic. Het nieuwe systeem was nodig, doordat twee ziekenhuizen kort daarvoor fuseerden tot de huidige organisatie. Een van de locaties gebruikte al het epd van Epic. Een voorwaarde bij de fusie was dat overal hetzelfde systeem wordt gebruikt. Uiteindelijk is besloten om de andere vestiging te migreren naar Epic.
Bij OLVG werken ruim zesduizend mensen. Door functiewisselingen, invalkrachten en plotse verplaatsing van patiënten naar andere afdelingen, is het is niet eenvoudig om voor elk van de medewerkers de toegangsrechten tot het epd juist in te stellen, melden experts aan de krant.
In 2018 was de zorgsector goed voor 29 procent van de 20.881 bij de AP gemelde datalekken, schrijft de Volkskrant.
Zorg & ICT 2019
Wilt u alles weten over de laatste digitale ontwikkelingen voor de zorg? Breng dan een bezoek aan Zorg & ICT 2019! De beurs vindt plaats in Jaarbeurs Utrecht van 12 tot en met 14 maart. Registreren kan via de site.