ORDINA BLOGT

Waarom nog geen Chinese Walls in EPD

Een recent rapport van het College Bescherming Persoonsgegevens (CBP) stelt dat het nog steeds niet goed gaat met de (interne) beveiliging van medische dossiers bij zorginstellingen. En weer is daar de discussie over de bescherming van privacy van patiënten.

  • Leon van der Valk
  • 28 juni 2013

Het rapport van het CPB toont aan dat bij een deel van de zorginstellingen in Nederland er binnen het elektronisch patiëntensysteem geen of in ieder geval onvoldoende belemmeringen zijn om andere dossiers in te zien dan waarvoor de medewerker geauthoriseerd is. Tevens stelt het CBP dat zij signalen hebben ontvangen dat er veel meer zorginstellingen hun dossiers niet goed hebben afgeschermd.

Vastleggen handelingen in medisch dossier moet

De Wet op de geneeskundige behandelingsovereenkomst (Wgbo) stelt dat elke zorgverlener zijn of haar medische handelingen vastlegt in een dossier. En natuurlijk is het handig en vaak noodzakelijk dat andere medewerkers in het zorgproces toegang hebben tot dit dossier. Al was het alleen maar om te weten welke medicatie een patiënt dient te krijgen en wanneer de ligpositie in bed moet worden veranderd. Er is hier dan duidelijk sprake van een behandelrelatie. En dat is het magische woord in de wetgeving. En ook hier in deze casus.

Beveiligingsvoorschriften zijn er, zie NEN7510

Maar beveilig de applicatie. Applicatiebeveiliging is goed omschreven in het beveiligingskader NEN7510 en biedt voldoende handvatten om de afscherming van patiëntgegevens te regelen. Zo dienen rollen en verantwoordelijkheden duidelijk te zijn afgebakend en de authorisaties in de applicatie. Zo kan niet iedereen meer bij alle dossiers, alleen bij die dossiers waartoe men bevoegd is. En achteraf moet aan de hand van de logging een controle te kunnen plaatsvinden op het systeemgebruik. Het is heel duidelijk vastgelegd, maar is in praktijk dus nog niet goed ingeregeld. Dat heeft dit rapport van het CBP duidelijk aangetoond.

Wat te doen?

Niet iedereen mag overal bij kunnen, privacybescherming is een groot goed binnen de zorg. Dit dient serieus genomen te worden en goed te worden geregeld. Er moeten dus spreekwoordelijke ‘schotten’ geplaatst worden tussen de dossiers. En wel zó hoog dat er overheen kijken niet mogelijk is. Wanneer dit niet gebeurt, is het risico op datalekken levensgroot aanwezig. Dit zal onder nieuwe Nederlandse en Europese wetgeving streng worden geboet en voor zorginstellingen die dit niet goed hebben ingeregeld, kan het veel geld kunnen gaan kosten.

Motto!

Dus managers, plaats Chinese Walls in uw elektronisch patiëntendossier onder het motto: 'meekijken mag, gluren niet!'

Over de auteur:

Leon van der Valk

Healthcare Security is helemaal mijn ding, gespecialiseerd in toepassen van de NEN7510 en Veilige Uitwisseling van Patientgegevens.