NL EN
  • Home»
  • Weblog »
  • CBP: zorginstellingen beschermen patientgegevens onvoldoende
  • GEPLAATST OP: 18 juni 2013
  • GEPLAATST DOOR: Anke Verhoeven
  • GEPLAATST IN:
  • GOOGLE+: Anke Verhoeven

CBP: zorginstellingen beschermen patientgegevens onvoldoende

Het CBP publiceerde vandaag een rapport over de toegang tot digitale patientendossiers binnen zorginstellingen. De conclusies van dat rapport zijn schokkend te noemen.

 

Het CBP is een onderzoek begonnen naar de toegang tot digitale patientendossiers naar aanleiding van signalen van betrokkenen. Het onderzoek is specifiek gericht op de volgende aandachtspunten:

• De wijze van autoriseren: hoe bepaalt de verantwoordelijke wie wanneer toegang

tot welke patiëntendossiers krijgt?

• Logging en controle: houdt de verantwoordelijke bij wie wanneer een dossier

raadpleegt en wordt dit gecontroleerd?

 

Uit het onderzoek van het CBP is gebleken dat geen enkele onderzochte zorginstelling de toegang tot gedigitaliseerde patiëntendossiers zodanig heeft ingericht dat medewerkers in zorginstellingen alleen dán toegang kunnen krijgen tot patiëntgegevens indien zij een behandelrelatie met de betreffende patiënt hebben of als toegang voor de beheersmatige afwikkeling van de behandeling noodzakelijk is, terwijl dat wel wettelijk vereist is.

 

Medische gegevens zijn namelijk zogenaamde bijzondere persoonsgegevens. Daarvoor geldt dat ze in beginsel niet mogen worden verwerkt, tenzij sprake is van een uitzondering. Een van de uitzonderingen is dat medische gegevens wel mogen worden verwerkt door “hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is” (art. 21 lid 1 sub a Wbp).

 

Bovendien geldt op basis van art. 13 Wbp dat de verantwoordelijke (het bestuur van de zorginstelling) passende maatregelen moet nemen om de persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking. Deze algemene norm is voor de zorgsector nader uitgewerkt in een NEN norm (NEN 7510). Deze norm schrijft onder andere voor dat er een beleid is voor het verlenen van toegang tot informatie, dat activiteiten die gebruikers uitvoeren met persoonsgegevens worden vastgelegd in logbestanden en dat de logbestanden periodiek worden gecontroleerd op indicaties van onrechtmatige toegang of onrechtmatig gebruik van persoonsgegevens. Ook aan deze verplichting wordt door geen van de onderzochte zorginstellingen voldaan.

 

Het CBP geeft aan dat de zorginstellingen de tijd gegund wordt om hun beleid in lijn met de wet te brengen. Als er niet tijdig verbeteringen volgen, zal het CBP handhavend optreden. De bescherming van medische gegevens staat hoog op de agenda van het CBP.

 

Uit het rapport van het CBP blijkt overigens dat het feit dat de zorginstellingen niet voldoen aan de Wbp voor een deel veroorzaakt wordt door de beschikbare software voor het beheren van digitale patientendossiers. Deze software zou niet de vereiste functionaliteiten bevatten om het mogelijk te maken dat er een deugdelijk toegangsbeleid wordt gevoerd en de activiteiten van zorgverleners worden gelogd. Hier ligt dus nog een kans voor de aanbieders van patientendossier-software.

 

In de media is vooral geschokt gereageerd op de speciale behandeling die door sommige zorginstellingen wordt gegeven aan vips, zoals bekende Nederlanders, leden van de raad van bestuur en soms ook de medewerkers van de zorginstelling zelf. Deze patiëntdossiers zijn wél afgeschermd van de overige dossiers en slechts voor een beperkte groep zorgmedewerkers te raadplegen. Niet alleen is het onacceptabel dat bepaalde personen meer bescherming genieten dan anderen, ook illustreert dit dat het wel degelijk mogelijk is om nadere maatregelen te nemen ter bescherming van de persoonsgegevens van patiënten. Eerste stap voor de zorginstellingen met een dergelijk beleid zou in mijn ogen dan ook moeten zijn om het vip-beleid op al haar patiënten toe te passen.

 

 

BRON: cbpweb.nl


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.