Zorginstellingen: bescherm de toegang tot uw EPD

Om snel en betrouwbaar actuele gegevens in te zien en te bewaren, maakt het gros van de zorginstellingen gebruik van een elektronisch patiëntendossier (EPD). Via het EPD kunnen zorgverleners de medische gegevens van patiënten raadplegen. Hiermee verwerken de zorginstellingen (bijzondere) persoonsgegevens en is de Wet bescherming persoonsgegevens (Wbp) van toepassing.

Onderzoek van de Autoriteit Persoonsgegevens

Vanaf 2012 heeft de Autoriteit Persoonsgegevens (tot 1 januari 2016 het College bescherming persoonsgegevens) onderzoek verricht bij negen verschillende zorginstellingen. Hierbij is gekeken naar de aanwezigheid van maatregelen om aan medewerkers op gecontroleerde wijze toegang te verlenen tot de patiëntgegevens in het EPD op het gebied van autorisaties, logging en controle van logging. De privacy toezichthouder is hierbij tot de conclusie gekomen dat het beleid en de praktijk in de onderzochte zorginstellingen niet in overeenstemming waren met de geldende wet- en regelgeving. De Autoriteit Persoonsgegevens heeft geconstateerd dat sprake was van toekenning van te ruime autorisaties en onvoldoende controle. Als gevolg van de te ruime autorisaties konden de medewerkers bij meer gegevens dan noodzakelijk en - gezien het gebrek aan controle - ontbrak de mogelijkheid tot het opleggen van sancties. Volgens de toezichthouder speelt dit probleem niet alleen bij de onderzochte zorginstellingen.

Open brief

Naar aanleiding hiervan heeft de Autoriteit Persoonsgegevens maandag 15 februari 2016 een open brief gericht aan de zorginstellingen in Nederland. Hiermee vraagt de toezichthouder extra aandacht voor het zorgvuldig en correct omgaan met persoonsgegevens van patiënten bij het gebruik van ICT voorzieningen. Volgens artikel 13 Wet bescherming persoonsgegevens (Wbp) dient een zorginstelling namelijk passende technische en organisatorische maatregelen te nemen ter bescherming van de persoonsgegevens van patiënten. Dit betekent dat de zorginstelling er alles aan moet doen, gegeven de stand van de techniek en de kosten van tenuitvoerlegging, om de persoonsgegevens te beschermen.

Te nemen maatregelen

Concreet is het verzoek van de Autoriteit Persoonsgegevens aan de zorginstellingen het beleid en de praktijk in de zorginstelling nog eens na te lopen. Zaak dus voor de Raden van Bestuur om ervoor te zorgen dat:

1. autorisaties voor medewerkers voldoende beperkt zijn, bijvoorbeeld autorisatie per behandelplan of specialisme;
2. autorisaties gelogd worden, een chronologische registratie van medewerker en tijdstip van raadplegen van de gegevens (bijvoorbeeld aan de hand van de NEN 7513-norm); en
3. logging ook daadwerkelijk gecontroleerd wordt: indien er misbruik wordt gemaakt van de autorisatie dit gesanctioneerd wordt.

Volgens de toezichthouder is het onvoldoende om te vertrouwen op de mededeling van de ICT-leverancier dat de voorziening voldoet aan de privacywetgeving. Derhalve is het zaak dat de zorginstelling zélf in contracten met de leverancier waarborgt dat de wettelijke vereisten correct worden nageleefd. Indien u vragen hebt over uw (te sluiten) contract met de ICT-leverancier of andere vragen naar aanleiding van dit artikel, neem dan contact op met het IT-en privacy team van Ploum.  

Gerelateerde artikels

• Meldplicht datalekken: voorkomen is beter dan melden
• Boetebevoegdheid Autoriteit Persoonsgegevens
• De nieuwe Meldplicht Datalekken