Autoriteit Persoonsgegevens maant besturen zorginstellingen om onterechte dossier-inzagen

policeman-23796_640

Op 15 februari 2016 vraagt de Autoriteit Persoonsgegevens(AP) in een open brief aan De Raden van Bestuur van zorginstellingen(ziekenhuizen, huisartsenposten, GGz) in Nederland om aandacht voor de bescherming van persoonsgegevens. De AP schrijft op haar website dat zij regelmatig vragen en signalen krijgt over patiëntendossiers, die onder ogen zouden zijn gekomen van medewerkers van zorginstellingen, die daar niets mee te maken hadden. Een zorginstelling moet bij de verwerking van persoonsgegevens voldoen aan de vereisten van de Wet bescherming persoonsgegevens(Wbp) en kan patiënten niet aan het risico blootstellen dat onbevoegden medische gegevens inzien(woorden AP, WJJ)

Onvoldoende inspanning

Eerder onderzoek(2013)had laten zien dat zorginstellingen zich onvoldoende inspannen om te voorkomen dat mensen die niet bij de behandeling betrokken zijn inzage hebben in digitale medische dossiers. Vanwege de privacy-gevoeligheid en het overtreden van artikel 13 van de Wbp maant de AP de Raden van Bestuur van zorginstellingen erop toe te zien dat er voldoende aandacht is voor deze materie en dat men maatregelen neemt om zaken op orde te brengen. De AP verwacht een leidende rol van de Raden van Bestuur hierin. Daarbij wijst de AP enerzijds op reputatieschade voor de instellingen bij overtredingen, maar ook op de kans dat bij voortdurende onzorgvuldigheid de patiënt het vertrouwen in de zorgaanbieders verliest. Dat kan dan patiënten afschrikken om tijdig zorg te vragen.

Gebreken

De gebreken die in 2013 zijn vastgesteld gingen om:

  • Te ruime autorisaties aan medewerkers voor de toegang tot de digitale medische dossiers
  • Het ontbrak vaak aan controle van die toegangsrechten, waardoor ondanks het soms aanwezig zijn van een sanctiebeleid toch in de praktijk geen sancties ingesteld werden bij overtredingen

Maatregelen

De AP wil dat er sprake is van:

  • Correcte afbakening van de autorisaties van het personeel.
  • Een beperking in de tijd voor toegang tot het elektronische dossier, voorafgaand en na beëindiging van het contact met de patiënt.
  • Logging van het inzien van een dossier
  • Stelselmatige daadwerkelijke controle van de logging
  • Optreden door sancties bij overtredingen.

Tanden

Met de genoemde publicaties van de AP laat deze nu een keer een klein beetje zien dat men tanden heeft. Hoewel het nergens zo genoemd staat, zou het onbevoegd inzien van digitale medische dossiers als een door een instelling toegelaten intern mini-datalek beschouwd kunnen worden. Datalekken dienen sinds 1 januari 2016 aan de AP gemeld te worden en kunnen eventueel bij onvoldoende beveiliging bestraft worden. Met een beetje goede wil is een intern datalek ook zo door de AP te bestraffen.

W.J. Jongejan