Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

CBP: Zorgsector blijft laks met medische data

19 juni 2013 - 12:113 minutes reading timeActueelOverheidAP NederlandNEN
Rik Sanders
Rik Sanders

Zorginstellingen treffen onvoldoende maatregelen om ervoor te zorgen dat uitsluitend bevoegde medewerkers van ziekenhuizen, GGZ-instellingen of huisartsenposten toegang hebben tot digitale patiëntendossiers. Dit concludeert het College bescherming persoonsgegevens (CBP) na onderzoek bij negen zorginstellingen. Het CBP gaat er op basis van het onderzoek, nieuwe signalen en gesprekken met koepelorganisaties van uit dat de aangetroffen situatie op grote schaal voorkomt in de zorgsector.

Het CBP-onderzoek strekte zich uit tot negen zorginstellingen, waaronder algemene ziekenhuizen, ggz-instellingen en huisartsenposten. Deze instellingen behandelen gezamenlijk ruim een miljoen patiënten per jaar. Uit het rapport `Toegang tot digitale patiëntendossiers binnen zorginstellingen’ blijkt dat de onderzochte instellingen onzorgvuldig omgaan met de medische gegevens van hun patiënten en overtreden zo de Wet bescherming persoonsgegevens (Wbp). Medewerkers van een zorginstelling mogen namelijk alleen toegang krijgen tot patiëntgegevens wanneer zij de betreffende patiënt behandelen of als de toegang noodzakelijk is voor de afwikkeling van een behandeling.

VIP’s wel goed beschermd

Op dit moment zijn zowel de technologische en organisatorische maatregelen als de logging en controle bij geen van de onderzochte instellingen zodanig dat uitsluitend bevoegde medewerkers toegang hebben tot patiëntgegevens en dat onbevoegde toegang kan worden achterhaald, stelt het CBP.

Saillant detail: bekende Nederlanders maar bijvoorbeeld ook bestuursleden van de instelling zelf hebben vaak wel een betere bescherming hebben tegen onrechtmatige toegang tot hun medische gegevens. Deze mate van bescherming komt volgens het college op grond van de wet aan iedere patiënt toe.

In het rapport staan diverse voorbeelden van tekortschietende zorginstellingen, zoals het gebruikmaken van een gedigitaliseerd patiëntendossier, instellings-EPD genoemd, dat niet voldoet aan de huidige stand van de (beveiligings)techniek. Of een elektronisch patiëntendossier dat modern genoeg is, maar waarbij de aanwezige technische mogelijkheden niet worden gebruikt om de Wbp te kunnen naleven. Het CBP concludeert verder dat de onderzochte zorginstellingen niet voorzien in een systematische, consequente controle van alle logging, zoals dat in de normen NEN 7510 en NEN 7513 is aangegeven.

Déjà vu

De lakse omgang met medische gegevens is niet nieuw. Al een paar keer eerder constateerde het CBP dat de informatiebeveiliging in ziekenhuizen onder de maat is. Zorginstellingen moeten volgens de wet technologische en organisatorische maatregelen treffen om onbevoegde toegang tot medische gegevens door medewerkers binnen een zorginstelling te voorkomen. Daarnaast moeten zij bijhouden (loggen) en controleren wie welke dossiers raadpleegt. Hiermee kan onbevoegde toegang worden opgespoord en kan een zorginstelling hier tegen in het geweer komen. In de praktijk blijken zorginstellingen hun autorisatiebeleid vaak niet in overeenstemming is met de Wbp.

Gebruikersmacht organiseren

De onderzochte zorginstellingen dienen maatregelen te nemen om de interne toegangsverlening voor medewerkers tot patiëntendossiers en de controle beter te regelen. Als het CBP constateert dat de instellingen de overtredingen niet beëindigen, zal het college handhavend optreden. De toegangsbeveiliging van medische gegevens binnen zorginstellingen blijft een belangrijk punt van aandacht van het CBP. Ook bij andere zorginstellingen is onderzoek mogelijk, zeker als over specifieke instellingen signalen zijn binnengekomen, waarschuwt de privacywaakhond.

Het CBP constateert dat bij de verantwoordelijken in de zorgsector een ‘gevoel van noodzaak’ ontbreekt. Pas naar aanleiding van dit onderzoek heeft een aantal van de onderzochte zorginstellingen stappen gezet om gezamenlijk op te trekken tegen de softwareleverancier – organisatie van gebruikersmacht – om zo de benodigde aanpassingen in het instellings-EPD van die leverancier af te dwingen. De ggz-sector vormt daarin een positieve uitzondering, mede door de koepelorganisatie georganiseerde gemeenschappelijke set van eisen voor instellings-EPD’s en toetsing van de producten van verschillende leveranciers aan die eisen.   

More about

EPDPrivacy

Share

Read more

Arts met stethoscoop
ActueelOverheid

Mogelijke doorstart LSP na garanties verzekeraars

Computable.nl
ActueelOverheid

CBP: OV-chipkaart GVB schaadt privacy reizigers

ActueelCloud & Infrastructuur

CBP onderzoekt privacyvoorwaarden Facebook

4 responses to “CBP: Zorgsector blijft laks met medische data”

  1. NumoQuest schreef:
    20 juni 2013 om 04:45

    Dit artikel verbaast mij nu net helemaal niets.

    Ab Klink et cie
    Weet u nog? Ten tijde van het debacle van Ab Klink die op volkomen oneigenlijke gronden de kamer onder druk probeerde te zetten zijn versie van het EPD te accepteren met een meerderheid, vlak voor hij naar huis kon? Op dat moment was er al ruwweg zo’n 500 miljoen gespendeert, maar, geheel in de competentie van de overheid, dan had je ook niets.

    Communicatie naar Ab Klink
    Wij hebben uit hoofde van onze kennis en ervaring met automatiseren vast gesteld dat:
    A: Ab Klink et Cie weinig tot geen ervaring of affiniteit hebben met automatiseren
    B: Toeleveranciers vaak heel erg veel boter op het hoofd hebben gehad en schreven met vorken waar kwalitatief veel te weinig tegenover stond.
    In beide gevallen zeer ernstig voor het aanzien van de IT sector integraal.

    Ging het hier overigens niet het bevorderen van beschikbaarheid van persoonlijke patient gegevens, in geval van medische urgentie, van instelling tot instelling?

    Hoe dan wel?
    Wij hebben Ab Klink en cie destijds gewezen op een zeer eenvoudig scenario waarmee er een paar vleigen in één klap zoude worden geslagen. Gaat het bij automatiseren nu eenmaal niet om automatiseren?

    In een eenvoudige inventarisatie was al vast komen te staan dat er enkele standaarden te realiseren waren door de ziekenhuizen en instellingen zelf waar het de opslag van data betrof. Die waren .doc(x), .MP3/4, GIF/JPG/BMP.

    U weet wel gewone standaarden waar je vrijwelk niets speciaals voor nodig hebt.

    Het BIG
    Het BIG is het register waar medisch personeel in staat geregistreerd. Het systeem bestaat al en er hoeft niets opnieuw te worden uitgevonden. Elk lid van de medische professie heeft een eigen BIG nummer. Een ieder die gebruik maakt van medische data transfers, van het ene ziekenhuis naar het ander, kan eenvoudig worden gecontroleerd en geregistreerd dus.

    Uniform Protocol
    Met een eenvoudig uniform protocol, en een secure verbinding van medische instelling naar medische instelling, is data bijzonder eenvoudig en gecontroleerd uit te wisselen. Koppel aan die beveiligde verbinding een dienstdoende data coordinator, en je bent feitelijk klaar.

    Medische data onmiddelijk beschikbaar bij calamiteiten
    Het doel, levens redden doordat data sneller en eenvoudig beschikbaar zou zijn, hadden wij al met de grond gelijk gemaakt. Immers, dat idee zou namelijk alleen maar kunnen werken wanneer mensen onmiddelijk geidentificeerd konden worden en dat is nu eenmaal in de praktijk niet altijd het geval. Niet idereen heeft nu eenmaal een ‘ICE’ nummer in mobiel staan.

    Wat dan wel?
    Een eenvoudige grote slag kon worden geslagen door de hulp van de verzekeringsmaatschappijen in te schakelen. Geef éénmalig een nieuw pasje uit aan de verzekerden met een chip. Laat die verzekerden naar het lokale bijkantoor van de verzekering komen, voer persoonlijke data (NAW), bloedgroep en eventueel medicijngebruik of allergie in in een veld, maak een foto, sla die encrypted op op een chip (max 100 Kb), en je bent klaar.

    Stap 2
    Geef elke ambulance een tablet met ingebouwde reader, alle ziekenhuizen krijgen cardreaders, en…… een klein eenvoudig stukje software en voila….

    – Eigenaar van de data blijft eigenaar van de data
    – Bij wijzigen van data is wijzigen een kwestie van minuten op chip
    – Eigenaar bij calamiteiten is onmiddelijk identificeerbaar
    – Eigenaar is niet identificeerbaar meteen wanneer die pasje niet bij zich draagt… ( was dat anders ook niet, nothing changes)
    – Fraude word meteen uitgebannen doordat elke specialist/assistent/verpleegkundige meteen identificeren kan wie de patiënt is

    Implementatiekosten?
    Wij hadden Ab Klink geroepen dat dit wellicht hoogstens 250 miljoen zou bedragen, gedeeld over alle verzekerden en instellingen. Dat zou eenmalig een uitgave zijn die alle instellingen en overheid zeer eenvoudig konden dragen.

    Implementatie tijd?
    Hooguit enkele maanden met een zeer eenvoudig PvA.

    Data beheersing?
    Die bleef en blijft ongewijzigd omdat die gewoon in handen blijft van….

    Stand van zaken?
    Geen van de betreffende anmbtenaren of Ab Klink heeft zich ooit geroepen gevoeld ook maar één moment te reageren op contact verzoeken. Niet omdat wij nu zo graag er iets aan wilden verdienen, wij hebben deze informatie destijds gewoon vrij ter beschikking gesteld. Waarom nieuwe dingen verzinnen. U geeft miljarden inmiddels uit en bent feitelijk nog nergens.

    Was automatiseren nou niet bezuinigen?

    Gevaren anno 2013
    U ziet, en daar hebben we ook in de fora van computable.nl op gewezen, dat wanneer senior IT staff ‘rucksichtlos’ word uitgefaseerd, en men het graag wil gaan doen met young upcoming professionals, u weet wel, die zeer weinig kostende starter in de IT die je vooral overlaad met medior en senior taken, voor drie maal niets.

    Dit soort publicaties. Want u kunt, met alle respect voor de starters en mediors natuurlijk, van hen niet verlangen dat zij kennis en ervaring hebben in discipline overstijgend naar processen kunnen kijken en zien waar het fout kan gaan en anticiperend optreden.

    Mijn beste IT professional, ik heb al een aantal malen vaker geroepen dat we alleen maar hoeven te wachten op toename van de gevallen van grootschalige schade. Dat kan namelijk niet anders. Als je namelijk onnadenkend met een voorspelbare materie als IT om gaat, dan kun je gewoon aanwijzen waar het fout gaat en er gewoon op wachten.

    De inhoud van dit artikel is daar weer een mooi voorbeeld van. Het is niet zo zeer dat de instellingen daar debet aan zijn, maar zij die aan de knoppen zitten en vaak geen affiniteit hebben met de materie IT i.c.m. mensen die heel goed in hun stukje vakgebied blijken, maar niet de ‘awareness’ hebben dat je nog veel meer nodig hebt processen en procedures sluitend te maken en te implementeren.

    Jammergenoeg.

    Log in om te reageren
  2. Johan Duinkerken schreef:
    20 juni 2013 om 06:34

    @NumoQuest
    Zou het toeval zijn dat zeer veel IT’ers hebben aangegeven niet met het EPD mee te willen doen? En waarom zou je uberhaupt een effectief EPD willen hebben waarbij de eigenaar van de gegevens de patient zelf is?

    Laten we ons gewoon eens een keer niet voor de gek nemen. Er valt veel meer te verdienen aan een ineffectieve zorg. Niet alleen voor de IT leveranciers, maar ook de farmaceutische industrie, zorg verzekeraars en ook al die onafhankelijke artsen.

    En kijk eens waar Ab nu terecht is gekomen. Als je niet beter zou weten dan lijkt het een goedkeuring door ’s werelds meest elite old-boys network.

    Log in om te reageren
  3. corne smiesing schreef:
    20 juni 2013 om 10:57

    @johan duinkerken: Waar kan ik het onderzoek vinden waaruit blijkt dat veel IT-ers nee zeiden?

    @numoquest: Wie wordt er met Wij bedoeld? Het enige wat ik weet is dat het landelijk EPD is ontworpen door een kundige groep mensen en geen juniors.
    Natuurlijk doet Ab Klink dit niet zelf daar heeft hij mensen voor. Heeft u ooit een staatssecretaris van VenW een weg zien aanleggen?
    Voor de rest zie ik niet hoe ik een MRI scan op een chip kan opslaan. Om maar een dingetje te noemen…
    Fraude komt voor, maar een patiënt moet sowieso geholpen worden.
    Identificatie met een chip is leuk vooral als je voor iemand anders medicijnen gaat halen dan weet je nog niet of het bij de juiste persoon wordt opgeslagen. De wereld is nu eenmaal wat complexer dan hier wordt voorgesteld.

    Log in om te reageren
  4. Johan Duinkerken schreef:
    20 juni 2013 om 11:37

    @corne
    Je kan het ook omkeren. Als je als IT’er destijds niet het bezwaarschrift hebt ingevuld en opgestuurd mag je zeer sterk afvragen in hoeverre je inzicht hebt in je eigen vakgebied.
    Wat nog los staat van de sterke argumentaties van een groot aantal rechtsgeleerden, artsen, andere specialisten en notabene de Eerste Kamer.

    Log in om te reageren

Geef een reactie Reactie annuleren

Je moet inloggen om een reactie te kunnen plaatsen.

Populaire berichten

  • Universiteiten starten Nextcloud-pilot als alternatief voor Big Tech
  • Swarm ai luidt tijdperk van kleine ai-modellen in
  • Rijzende ai-ster Anthropic na deal goud waard
  • Beursgang Odido stap dichterbij na selectie van banken
  • Microsoft treedt op tegen OneDrive-accounts zonder licentie
More articles

Uitgelicht

Marijn van Baar, M&A Director van Visma

Partnerartikel
AdvertorialWerkplek & Beheer

Overnamestrategie van Visma bouwt ecos...

Visma, leverancier van SaaS- en cloudoplossingen op het gebied van boekhouding en salarisverwerking, groeit in de Benelux door een uitgekiende...

More press releases

Footer

Direct naar

  • Carrière tests
  • Kennisbank
  • Planning
  • Computable Awards
  • Magazine
  • Abonneren Magazine
  • Cybersec e-Magazine

Producten

  • Adverteren en meer…
  • Jouw Producten en Bedrijfsprofiel
  • Whitepapers & Leads
  • Vacatures & Employer Branding
  • Persberichten

Contact

  • Colofon
  • Computable en de AVG
  • Service & contact
  • Inschrijven nieuwsbrief
  • Inlog

Social

  • Facebook
  • X
  • LinkedIn
  • YouTube
  • Instagram
© 2025 Jaarbeurs
  • Disclaimer
  • Gebruikersvoorwaarden
  • Privacy statement
Computable.nl is a product from Jaarbeurs
Jaarbeurs maakt gebruik van cookies

Jaarbeurs maakt gebruik van functionele, analytische, social media en advertentie-cookies. Op deze manier kunnen wij relevante informatie tonen.

Voor de meest relevante content vragen we je akkoord te gaan met advertentie- en social media-cookies. Liever niet? Dan gebruiken we alleen noodzakelijke, statistische en functionele cookies, wat kan resulteren in minder relevante content.

Voor meer info over het cookiegebruik en de verwerking van jouw persoonsgegevens kijk je in ons Privacy Statement.

Accepteren
Weigeren