Het Haga Ziekenhuis scherpt zijn privacybeleid aan. Zorgverleners die onrechtmatig informatie bekijken van iemand waarmee ze geen behandelrelatie hebben, worden voortaan op staande voet ontslagen. Ook komt er meer controle op naleving van regels en personeel moet op cursus. De actie volgt nadat bleek dat 85 medewerkers onrechtmatig de medische gegevens van Samantha de Jong, beter bekend als Barbie, bekeken.
In totaal zijn negen maatregelen aangekondigd. Zo wordt patiënten de mogelijkheid geboden om gegevens af te schermen. Hoe dat precies in zijn werk gaat, is niet verder toegelicht. Andere maatregelen die worden genoemd: een extra waarschuwing aan personeel dat een dossier opent en meer steekproeven op de naleving van wet- en regelgeving.
Verdere maatregelen liggen meer op het vlak van beleid, bewustwording en begeleiding. Zo komt er een verplichte cursus (e-learning) over privacy voor elke medewerker die beroepsmatig toegang heeft tot het elektronisch patiëntendossier. Alle medewerkers krijgen een persoonlijke brief thuisgestuurd waarin zij opnieuw gewezen worden op het beroepsgeheim, vertrouwelijkheid van patiëntgegevens en het belang van privacy en in arbeidsovereenkomsten wordt de passage over privacy scherper geformuleerd. Bij introductiebijeenkomsten wordt meer aandacht besteed aan privacy, somt het ziekenhuis op.
Verder stelt het dat tijdens werkoverleggen het onderwerp privacy een terugkerend agendapunt wordt en het met grotere regelmaat aandacht krijgt binnen de interne communicatie zoals intranet en nieuwsbrieven.
Epd Barbie 85 keer geraadpleegd
In maart 2018 kwam aan het licht dat het elektronisch patiëntendossier (epd) van patiënte Samantha de Jong – beter bekend als Barbie (bekend van onder meer reality-soap Oh, Oh Gherso) – werd bekeken door medewerkers die geen zorg- of behandelrelatie met haar hadden. Na onderzoek van de loggegevens blijkt het om 85 medewerkers te gaan die onrechtmatig haar dossier inzagen. ‘Die medewerkers hebben een officiële waarschuwing gekregen. Bij een volgende overtreding volgt ontslag op staande voet’, schrijft het ziekenhuis. Het zou in alle gevallen gaan om medewerkers die voor het eerst in de fout gingen.
Over de autorisatie-procedure schrijft het ziekenhuis: Voor de toegang tot het elektronisch patiëntendossier geldt een autorisatiebeleid. Niet alle medewerkers van het ziekenhuis hebben toegang. Elke geautoriseerde medewerker die in het elektronisch patiëntendossier informatie opvraagt over een patiënt waarmee hij of zij (nog) geen behandelrelatie heeft, krijgt standaard de vraag vanuit welke relatie dit gebeurt. De medewerker maakt dan bewust de keuze of hij terecht het dossier opent. Alle loggegevens worden standaard geregistreerd.’ Haga Ziekenhuis maakt sinds 2016 gebruik van het HiX-epd van Chipsoft.
Het EPD project blijkt nog steeds een mislukking. De huisartsenvereniging heeft onlangs een rechtszaak verloren over de EPD. Vrijwillige deelname is nu de standaard.
Over beveiliging zijn al vele meldingen gepubliceerd. Ook deze publicatie is weer een voorbeeld van uitermate gebrekkige beveiliging. De eigenaar van de data zou de patiënt moeten zijn, maar hij/zij heeft geen mogelijkheden om de gegevens af te schermen of te kunnen controleren wie op welk moment en met welke reden er in zijn/haar dossier is gekeken.
Je moet er dus van uit gaan dat de gegevens die je hebt toevertrouwd aan het EPD gewoon openbaar zijn voor geautoriseerde instanties.
De beste beveiliging voor de patiënt is om de regie weer in eigen hand te nemen en deelname aan het EPD op te zeggen.
Hieruit blijkt ook, dat te veel mensen toegang tot de gegevens hebben, dat is (mogelijk) een grote ontwerp, of beheer fout.
Verder is er nog steed te weinig geregeld v.w.b. de verantwoordelijkheid bij een lek, een goede reden om niet aan het EPD deel te nemen.
Ik wil hier graag iets rechtzetten: de term EPD in het artikel slaat op het elektronische dossier dat ziekenhuismedewerkers in het ziekenhuis informatiesysteem hebben vastgelegd. NIET op de landelijke infrastructuur die beveiligd gegevens
uitwisseld. Het raadplegen, zoals genoemd in het
artikel, is in het ziekenhuis systeem gebeurd, zonder dat de landelijke infrastructuur gebruikt is.
De reacties over het landelijke EPD gebruiken dit artikel dus onterecht als argument dat het landelijke EPD onveilig zou zijn. Ze geven dan ook meer het sentiment van de schrijvers weer dan een objectieve observatie.
@Helma,
objektief gezien is afzien van deelname aan het EPD een goed idee. Het parlament heeft het al een keer afgezegd en niet zonder redenen.
Het is niet sentimenteel als je wilt dat zorgvuldig met je gegevens omgegaan wordt.