Dataopslag achilleshiel bij gebruik digi-mens(digital human) als chat-avatar in de zorg

Dataopslag achilleshiel bij gebruik digi-mens(digital human) als chat-avatar in de zorg. Input cliënt bij chat-avatar genereert veel gevoelige data.

Zorgmedewerkers schenden zelf talloze malen het medisch beroepsgeheim

Zorgmedewerkers schenden zelf talloze malen het medisch beroepsgeheim

 zorgmedewerkersZorgmedewerkers, van specialisten tot administratief, zijn nogal eens nieuwsgierige aagjes. Ze blijken dan zonder een behandelrelatie met een patiënt te hebben ongeoorloofd medische dossiers in te zien. Op 26 oktober 2021 bracht de voorzitter van de Autoriteit Persoonsgegevens(AP), Aleid Wolfsen, dit zeer duidelijk onder de aandacht in een interview met het online magazine Zorgvisie. De titel was: “Ziekenhuispersoneel kijkt tientallen keren per jaar onbevoegd in medische dossiers BN’ers. Daarbij refereert Wolfsen aan de ongegeneerde interesse van zorgmedewerkers voor in hun instelling onder behandeling zijnde Bekende Nederlanders(BN-ers), waaronder opvallend veel topsporters. Het blijkt echter niet alleen om die categorieën te gaan. Ook bij een onder behandeling staand familielid, of van een collega in de instelling blijken zorgmedewerkers medische dossiers zonder functionele noodzaak in te zien. Dat staat bijvoorbeeld te lezen in een artikel dat het advocatenkantoor TenHolterNoordam op 2 november 2021 schreef naar aanleiding van bovengenoemd stuk in Zorgvisie.

Het kan, dus het gebeurt

Ter wille van de workflow en de snelheid van handelen is in de zorg toegangsbeveiliging en veiligheidsbewustzijn een ondergeschoven kind. Het gevolg is dat men werkterminals vaak alleen beveiligt met een inlognaam en wachtwoord. Waarbij het wachtwoord vaak ook nog circuleert onder te veel medewerkers of ergens op een geel papiertje op de monitor geplakt zit. Dit maakt het mogelijk dat medewerkers die geen functionele noodzaak hebben om een bepaald dossier in te zien zich makkelijk toegang kunnen verschaffen. Logging, het vastleggen, wie wat, wanneer, inzag in het systeem hoort plaats te vinden maar dient men ook te controleren. Het HAGA-ziekenhuis, waar 85 medewerkers het medisch dossier van BN-er “Barbie” inzagen, controleerde destijds steekproefsgewijs van slechts zes dossiers per kwartaal de loggingsdata!!!! Terecht kreeg het ziekenhuis van de AP in 2018 een boete van 460.000 euro vanwege haar tekortschietende veiligheidsbeleid.

Beleid voeren

Besturen van ziekenhuizen en andere zorginstellingen dienen een actief veiligheidsbeleid te voeren en veiligheidsbewustzijn te bevorderen. Personeel van hoog tot laag dient men bij indiensttreding en daarna met enige regelmaat duidelijk te maken hoe laakbaar dergelijk handelen is en wat de consequenties zijn van het zonder functionele noodzaak inzien van medische dossiers. Ook dient men medici waarbij patiënten aangegeven hebben daar niet meer door behandeld te willen worden duidelijk te maken dat na beëindigen van de behandelrelatie het inzien van het dossier niet meer geoorloofd is. Dit speelde recent in een tuchtzaak tegen een gynaecoloog in een groot ziekenhuis. Ook dient men ervoor de zorgen dat personeel bij inloggen in systemen gebruikt maakt van een twee-traps-verificatie. Dat betekent dat men inlogt met iets dat men weet (inlognaam en wachtwoord) plus iets wat men bezit. Dat kan een “token” zijn, een naar smartphone gestuurde verificatiecode of een speciale toegangspas.

45 personen zagen recent onrechtmatig dossier in

In de casus van bovengenoemde tuchtzaak vroeg de klagende patiënte de logging op van haar elektronische medische dossier in het ziekenhuisinformatiesysteem(ZIS). Maar liefst 45 personen bleken zonder functionele noodzaak haar dossier ingekeken te hebben. Het ziekenhuis denkt daar nogal makkelijk mee weg te komen. Een woordvoerster zei eerst dat het ziekenhuis zich niet in de geschetste situatie herkende. Maar zei in één adem er achteraan dat het niet meer te controleren was omdat het dossier vernietigd was op last van de patiënte. RTV Utrecht berichtte over deze materie op 24 september 2021.

Ontbrekend moreel kompas

Het inzien van medische dossiers zonder functionele noodzaak vormt een zeer ernstige schending van het medisch beroepsgeheim. Het wijst op een volstrekt ontbreken van een moreel kompas bij degenen die zoiets doen. De overtreders brengen grote schade toe aan het medisch beroepsgeheim. Het is des te erger omdat men van werkers in de zorg meer nog dan van willekeurige burgers mag verwachten dat zij beseffen wat de aard en de omvang van het medisch beroepsgeheim is.

Helaas blijkt men in de zorg zeer hardnekkig te zondigen. In 2020 kwamen 8000 meldingen van datalekken in de zorg bij de AP. Dat is dertig procent van het totaal aantal gemelde datalekken.

W.J. Jongejan, 10 november 2021

Afbeelding van Clker-Free-Vector-Images via Pixabay

 

Ongegeneerde pogingen CDA, VZVZ, VWS om toestemming vooraf bij zorgdata-communicatie af te schaffen

Ongegeneerde pogingen CDA, VZVZ, VWS om toestemming vooraf bij zorgdata-communicatie af te schaffen.

Client-journey bij creditcardmaatschappij ICS online identificatie geen feest

Client-journey bij creditcardmaatschappij ICS online identificatie geen feest. Onvoldoende robuust identificatieproces legt onterecht veel druk op de klant.