Veelvuldige (85x) onrechtmatige inzage dossier Barbie noodt tot notificatieplicht
Begin april 2018 bleek dat bij de opname van de “reality tv-ster”Samantha de Jong alias Barbie in het Haga-Ziekenhuis in Den Haag begin dit jaar meerdere personen onrechtmatig het elektronische medische dossier inkeken. Vijfentachtig bleken het te zijn. Die komen er allemaal met een waarschuwing van af. Het gaat om mensen, die geen medische behandelrelatie hadden met deze patiënt. Er is dan naast het onfatsoenlijk handelen sprake van het overtreden van gedragsregels, het privacyreglement van het ziekenhuis en de beroepsnormen die voor diverse soorten werkers gelden. Ik doel in dat kader op artsen en verpleegkundigen. De overtredingen in het Haga-Ziekenhuis kwamen naar buiten na het opvragen van logging-gegevens van het ZiekenhuisInformatieSysteem(ZIS). Ondanks eerdere incidenten en waarschuwingen van de Autoriteit Persoonsgegevens heeft dit zeer grootschalige incident kunnen plaatsvinden. Het is mijns inziend derhalve noodzakelijk om naast passende maatregelen voor de toegang tot de dossiers ook een notificatieplicht in te voeren richting patiënt en wel direct bij elke inzage in het dossier.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens(AP) heeft in 2016 klip en klaar aan Raden van Bestuur van alle zorginstellingen een waarschuwing doen uitgaan om dit soort incidenten door passende maatregelen in de elektronische dossiervoering de wereld uit te helpen. Als de zorginstellingen waarvoor de bestuurders verantwoordelijk zijn voornoemde zaken niet goed geregeld hebben, is er sprake van een overtreding van artikel 13 van de Wet bescherming persoonsgegevens. Blijkbaar heeft het Haga-Ziekenhuis niet afdoende maatregelen genomen om de onrechtmatige inzage te voorkomen en is daardoor mede verantwoordelijk voor het gebeuren..
Maatregelen
De maatregelen om inzage te voorkomen zijn soms boterzacht. In sommige ziekenhuizen kan men een zogenaamde VIP-status krijgen. In het dagblad Trouw staat dat sommige ziekenhuizen in zo’n geval een extra scherm doen zien bij poging tot inzage van het medisch dossier met een waarschuwing dat er wel een behandelrelatie moet zijn. Ik mag hopen dat ze daarnaast de patiënt in zo’n geval ook met een fictieve naam inschrijven.
Notificatieplicht
Het aanvragen van een VIP-status moet niet nodig zijn, want bij elke patiënt kan er wel iets zijn waar iemand om wat voor reden in geïnteresseerd kan zijn. Jurisprudentie daarover laat dat ook zien. Veel duidelijker en afschrikwekkender is het als er een momentane notificatieplicht komt voor zorginstellingen. Daarbij doel ik op het melden van iedere inzage in het dossier aan de patiënt op het moment dat die inzage plaatsvindt, gekoppeld aan de logging in het ZIS. Dat is op velerlei wijze te realiseren. Het kan uitgevoerd worden middels berichtgeving via het ziekenhuisportaal, waarmee de patiënt nu al vaak met het ziekenhuis elektronisch kan communiceren(afspraken, medicatie, inzage dossier) bijv. op de smartphone of op de PC. Daarbij kan het zo ingesteld worden dat voor de patiënt herkenbaar bij de behandeling betrokkenen na goedkeuring uitgesloten kunnen worden. Het is bijv. door een simpele vraag aan de patiënt daarover en vastlegging in het ZIS te realiseren. De hoeveelheid notificaties kan zo beperkt worden. Eventueel kan bij opname gevraagd worden aan de patiënt en zijn naasten of men wel prijs stelt op deze dienstverlening.
Afschrikwekkend
Naar mijn oordeel is een notificatieplicht meer afschrikwekkend dan allerlei gedragsregels, pop-up-schermen enzovoort. Iedere potentiële overtreder kan na invoering van een notificatieplicht weten dat real-time de patiënt in kennis wordt gesteld van die inzage. Het voorkomt ook een ander probleem. Dat is de onwil van sommige zorginstellingen om op aanvraag rap en zonder tegenstribbelend commentaar log-gegevens beschikbaar te stellen. Ook het tegenstribbelen ten aanzien van het aangeven bij de AP van een datalek indien onbevoegde inzage plaatsvond, is dan meteen uit de wereld.
Opportunistisch
Aannemende dat werknemers van het Haga-Ziekenhuis hadden kunnen weten dat onbevoegd inzien van medische gegevens norm overschrijdend is, is het geven van een waarschuwing aan de 85 overtreders nogal opportunistisch. Jurisprudentie laat zien dat ontslag zeer wel mogelijk is in dergelijke gevallen. Het ziekenhuis zou dan wel een probleem hebben met de personeelsbezetting!
Tuchtraad
Wel is het mogelijk dat verpleegkundigen en artsen op persoonlijke titel voor de tuchtrechter kunnen worden gebracht, hetzij door het bestuur van het ziekenhuis hetzij door de patiënt. Ook de Inspectie Gezondheidszorg en Jeugd(IGJ) zou dit kunnen doen om het maatschappelijk belang van het schenden van beroepsnormen in dezen voor de twee beroepsgroepen te onderstrepen.
W.J. Jongejan, 27 april 2018
Ik zou beredeneerd wat nuances willen aanbrengen.
Elk registrerend IT-systeem in de zorg zou moeten voldoen aan een aantal basale vereisten:
– de auteur is verantwoordelijk en aansprakelijk voor hetgeen hij opslaat in het IT-systeem;
– het is de auteur die de vertrouwelijkheid bewaakt namens en samen met de patiënt;
– het is de verantwoordelijkheid van de auteur gebruik te maken van IT-systemen die hem in staat stellen de vertrouwelijkheid te bewaken
Huidige ziekenhuis IT-systemen en het Landelijke Schakel Punt voldoen niet aan deze vereisten en zijn daarmee in strijd met de privacy wetgeving en het medisch beroepsgeheim, naar mijn idee.
Omdat de zorgverleners/auteurs, die de gegevens toevertrouwd hebben aan het ziekenhuis IT-systeem, de medische data klaarblijkelijk niet goed beschermd hebben, moeten deze primair verantwoordelijk gehouden worden.
Natuurlijk hebben, secundair, de gluurders ook een aansprakelijkheid, want ze hadden kunnen weten dat ze dat niet mogen doen.