Beheer

Security
gezondheidszorg

'ICT kan elektronische patiëntendossiers niet volledig beschermen'

EPD-bewaking wordt na privacyschending Barbie gedaan met dossierwaarschuwing, online-cursus en steekproeven.

26 april 2018

EPD-bewaking wordt na privacyschending Barbie gedaan met dossierwaarschuwing, online-cursus en steekproeven.

Het HagaZiekenhuis in Den Haag scherpt procedures aan voor de bescherming van elektronische patiëntendossiers na het onrechtmatige toegang tot het dossier van Samantha de Jong, beter bekend als realityster Barbie. Dit inkijken heeft 85 medewerkers nu een officiële waarschuwing opgeleverd, plus extra maatregelen. Beter beveiligde EPD-toegang is niet volledig te regelen met technische maatregelen, stelt cybersecurity-zorgorgaan Z-CERT.

Het HagaZiekenhuis heeft vandaag de resultaten bekend gemaakt van het interne onderzoek naar de tekortgeschoten bescherming van privégegevens die zijn vervat in elektronische patiëntendossiers. Aanleiding voor dit onderzoek was de ontdekking dat tientallen medewerkers het medisch dossier hebben bekeken van Samantha de Jong, beter bekend als Barbie. Dit is gedaan zónder dat de inkijkers een behandel- of zorgrelatie hadden met De Jong, laat Haga nu weten.

Cultuur, beleid, bewustwording

Naar aanleiding van deze uitslag stelt Z-CERT, het kennis- en expertisecentrum voor cybersecurity in de zorg, dat ICT alleen niet voldoende bescherming kan bieden. "Ook de cultuur en het beleid in een zorginstelling zijn bepalende factoren.  Bewustwording en gedrag, maar ook de aard van het werk moeten worden meegewogen om een duidelijk beleid te formuleren en te handhaven."

Het Haagse ziekenhuis heeft 85 werknemers een officiële waarschuwing gegeven voor de onrechtmatig toegang tot het dossier van Barbie. Als deze zorgmedewerkers nog eens de fout ingaan, volgt ontslag op staande voet, heeft het ziekenhuis bekendgemaakt. Aangezien dit voor alle betrokkenen de eerste waarschuwing is, volgen nu geen ontslagen.

Schermwaarschuwing, steekproeven en brief

Begin deze maand werd al bekend dat het waarschijnlijk om tientallen medewerkers ging. Ook de Autoriteit Persoonsgegevens begon een onderzoek. De Patiëntenfederatie sprak van een "cultuurprobleem". Om privacyschendingen in de toekomst te voorkomen, scherpt het ziekenhuis de procedures verder aan. Zo krijgen medewerkers een extra waarschuwing wanneer ze een dossier openen, gaat het ziekenhuis met extra steekproeven controleren of de regels worden gevolgd en moet iedere medewerker die toegang heeft tot de patiëntendossiers een online cursus volgen over privacy.

Verder krijgen alle medewerkers een brief waarin nog eens het belang van beroepsgeheim, vertrouwelijkheid en privacy wordt benadrukt. Tijdens werkoverleg en introductiebijeenkomsten komt er ook meer aandacht voor deze onderwerpen. Patiënten kunnen er daarnaast zelf voor kiezen hun persoonlijke gegevens extra af te schermen voor medewerkers.

Z-CERT benadrukt dat het uitgangspunt moet zijn dat alleen medewerkers toegang hebben tot een patiëntendossier als dat noodzakelijk is om medische zorg of andere hulp te bieden aan de patiënt. Zorginstellingen kunnen dit weliswaar bevorderen met technische maatregelen, zoals het loggen wie welke patiëntendossiers inziet. Dit kan een preventieve werking hebben: "Medewerkers weten dan dat geregistreerd wordt dat ze een patiëntendossier bekijken en daarop aangesproken kunnen worden", aldus Z-CERT. De nu door Haga aangekondigde maatregel van een extra melding bij openen van een dossier draagt ook bij. "Dit doet een beroep op de medewerker om hier bewust mee om te gaan."

Autorisaties versus de zorgpraktijk

De organisatie voor cybersecurity in de zorg merkt op dat het ook mogelijk is om autorisaties aan te scherpen, maar dat dit niet sluitend kan zijn. "Het is bij een behandeling niet altijd van tevoren vast te stellen welke medewerkers toegang moeten krijgen en welke niet. Er wordt gewerkt met diensten en als er spoed is, kan niet eerst nog de toegang tot een dossier geregeld worden." Striktere beperking van EPD-autorisaties sluiten dus niet altijd aan op de dagelijkse praktijk in de zorg.

"Er blijft dus een belangrijke verantwoordelijkheid liggen bij medewerkers zelf om hier op een verantwoorde manier mee om te gaan. In de praktijk zie je dat zorgmedewerkers heel patiëntgericht bezig zijn, hun focus is om de patiënt zo goed mogelijk te helpen. Privacy kan daar wel eens bij inschieten", constateert Z-CERT. De verantwoordelijkheid maar ook uitvoering worden door het cybersecurity-orgaan neergelegd bij beleidsmakers en de communicatie naar medewerkers. "Het gaat om bewustzijn bij medewerkers om zorgvuldig om te gaan met privacy van patiënten. Formuleer en communiceer duidelijk wat wel en niet is toegestaan en verbind ook consequenties aan het overtreden van de regels."

Inzicht vanaf juli 2020

Tot slot haalt Z-CERT nog aankomende wetgeving aan: de Wet cliëntenrechten bij elektronische verwerking van gegevens die op 1 juli 2020 van kracht wordt. Dit voorziet erin dat zorginstellingen verplicht zijn om inzichtelijk te maken voor patiënten welke medewerkers hun digitale dossier hebben ingezien. "Dat kan een preventief effect hebben: immers medewerkers zijn zich dan bewust dat de patiënt meekijkt", aldus Z-CERT.

Lees meer over Beheer OP AG Intelligence
2
Reacties
Dorina Pospai 28 april 2018 22:45

Mee eens, "Deugdelijk ingericht Identity & Access Management met directe signalering bij ongeautoriseerde toegangspogingen" en consequenties aan overtreden van de regels is ook een must. Ook een fout in medicatie toediening moet af te lijden zijn naar een bepaalde medewerker en hem/haar een passende straf geven afhankelijk van de risico's.

P.J. Westerhof LL.D MIM 27 april 2018 12:13

Een "cultuurprobleem", me dunkt. De verantwoordelijkheid leggen bij medewerkers zelf werkt dus overduidelijk niet.
Bewustwording en gedrag zijn de eeuwigdurende dooddoeners. Maar weer een cursusje doen?

Deugdelijk ingericht Identity & Access Management met directe signalering bij ongeautoriseerde toegangspogingen zijn de eenvoudige oplossing.
Hamvraag is waarom Haga daarin tekortgeschoten is.
'Stout! Niet meer doen!' is de typisch agogische reactie, kenmerkend voor de quartaire sector.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.