Autoriteit Persoonsgegevens vraagt aandacht voor beveiligen van patiëntgegevens

De Autoriteit Persoonsgegevens vraagt in een open brief aan zorginstellingen aandacht voor de bescherming van patiëntgegevens. De toezichthouder benadrukt in haar brief dat het zorgvuldig omgaan met patiëntgegevens integraal deel uitmaakt van goede patiëntenzorg.

Autoriteit Persoonsgegevens“Een leidende rol van de Raad van Bestuur is hierbij onmisbaar”, zegt Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens. “Vertrouwelijke omgang met patiëntgegevens is in de gezondheidszorg essentieel. Mensen hebben recht op bescherming van hun persoonsgegevens. Onzorgvuldigheid hierbij zou mensen bovendien kunnen afschrikken om tijdig hulp te vragen”.

Veel meldingen van ongeoorloofde toegang tot dossiers

De Autoriteit Persoonsgegevens zegt regelmatig vragen en signalen te ontvangen over patiëntdossiers die onder ogen komen van medewerkers van zorginstellingen, terwijl zij niets met deze dossiers te maken hebben. Bij de verwerking van persoonsgegevens moet worden voldoen aan de vereisten van de Wet bescherming persoonsgegevens (Wbp). Patiënten mogen niet het risico lopen dat onbevoegden hun medische gegevens inzien. Deze gegevens moeten tegelijkertijd echter toegankelijk zijn voor medewerkers die betrokken zijn bij de behandeling of zorg voor een specifieke patient. Maatregelen op het gebied van autorisaties (wie kan er bij de gegevens), logging (bijhouden van raadplegingen gegevens) en controle van logging zijn daarvoor volgens de toezichthouder onontbeerlijk.

Naar aanleiding van deze meldingen heeft de Autoriteit Persoonsgegevens een diepgaand onderzoek uitgevoerd bij negen instellingen. Hieruit blijkt dat het voorkomen van incidenten en daadwerkelijk goed regelen van gecontroleerde toegang tot patiëntgegevens een complexe, maar niet onmogelijke opgave te zijn. Wel merkt de toezichthouder op dat de onderzochte instellingen maatregelen hebben getroffen die voldoen aan de wettelijke vereisten.

email

One Response to Autoriteit Persoonsgegevens vraagt aandacht voor beveiligen van patiëntgegevens

  1. Bert Kabbes schreef:

    De brief bevat mijns inziens een aantal belangrijke omissies en hiaten :
    – Brief spreekt over “Instellings-EPD” : dat moet zijn “alle zorggrelateerde toepassingen” want het gaat ook om de zeer vele deelsystemen van afdelingen en disciplines !
    – De term “EPD” is een typische ziekenhuisterm : die had vermeden moeten worden door te spreken van zorginformatiesysteem. Ook ECD’s, HIS’sen, EVD’s etc. vallen er dan onder.
    – De verhoudingen en de rollen van de Autoriteit Persoonsgegevens versus de Inspectie Gezondheidszorg worden niet vermeld noch benoemd : de Inspectie is het wettelijke toezichtorgaan met doorzettingsmacht, de Autoriteit is toezichthouder. De Autoriteit doet kennelijk zelf onderzoek en dwingt maatregelen af : en wat is de (dubbel?)rol van de Inspectie dan rond dit onderwerp ?
    – Brief is gericht aan Raden van Bestuur, maar had ook expliciet gericht moeten worden aan de Besturen van de Verenigingen Medische Staven en Maatschappen : de zorgverleners zijn bij wet verantwoordelijk voor de eigen specifieke zorggerelateerde gegevens, niet de besturen (zie ook : archiefwet). Besturen hebben alleen de plicht om de zorgverleners op de wet- en regelgeving te wijzen maar kunnen (bij wet) geen inhoudelijke controle op naleving uitvoeren omdat zij wettelijk geen inzage mogen hebben in zorginhoudelijke gegevens
    – Dit onderwerp behoort een standaard onderdel te zijn van de overeenkomst tussen instelling en zorgverleners : daarin moeten de rollen en verantwoordelijkheden rond dit onderwerp expliciet te zijn geregeld. Er moet een landelijk geledende standaardovereenkomst komen tussen instellingen en zorgverleners waarin dit onderwerp uniform en conform wet- en regelgeving is geformuleerd, in plaats van dit over te laten aan de lokale inzichten.
    – Niet ingegaan wordt op online gekoppelde (deel)gegevensverzamelingen bij derden en de regeling van verantwoordelijkheden tussen zorginstellingen en zorgverleners die instellingsoverstijgend werken in ketenzorg. Daar ligt nog wel een uitdaginkje als het gaat om te voldoen aan wet en regelgeving en daar de juiste maatregelen voor te treffen !

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *