Regionale patiëntendossiers in strijd met privacywet
De elektronische patiëntendossiers (EPD) die medici gebruiken voor het uitwisselen van medische gegevens zijn onveilig en in strijd met de privacywetgeving, zo concludeert het College bescherming persoonsgegevens (CBP). Het CBP onderzocht de verwerking bij de Centrale Huisartsenpost Gorinchem (CHP) en de Stichting Schakelpunt Informatie Transmurale Zorg Midden-Holland (SPITZ-MH). Zo worden patiënten niet persoonlijk geïnformeerd over opname van hun gegevens in het regionaal elektronisch patiëntendossier.
Zo is het mogelijk dat mensen die tegen het landelijk EPD bezwaar maakten, zonder het te weten reeds in een regionaal EPD zijn opgenomen. Verder schoot de beveiliging ernstig tekort. Er waren onvoldoende maatregelen genomen om te zorgen dat alleen artsen die een behandelrelatie met de patiënt hebben, toegang tot het dossier krijgen. Het grasduinen in de dossiers wordt wel ‘gelogd’, maar er is geen structurele controle om na te gaan of artsen zonder behandelrelatie onbevoegd toegang hadden gezocht tot een patiëntendossier. "Gezien de privacygevoeligheid van de gegevens is het van het grootste belang dat de geconstateerde onrechtmatigheden zo snel mogelijk worden weggenomen", aldus het CBP.
Zorgwekkend
De privacywaakhond vindt het zorgwekkend dat beide regionale EPD's mensen niet persoonlijk informeren als hun persoonsgegevens worden opgenomen. "Deze overtredingen zijn zorgwekkend aangezien mensen moeten weten wie welke gegevens met welk doel verwerkt. Als zij niet op de hoogte zijn gesteld dat hun persoonsgegevens in een regionaal EPD worden opgenomen, kunnen zij ook hun rechten niet uitoefenen, zoals het recht hiertegen bezwaar te maken."
Beveiliging
In het geval van SPITZ-MH zijn er op een waarschuwingsscherm na, geen maatregelen genomen om te voorkomen dat een zorgverlener gaat grasduinen in de persoonlijke gegevens van patiënten waar hij of zij geen enkele relatie mee heeft. De CHP ‘logt’ de raadplegingen wel, maar heeft hiernaast geen maatregelen genomen om te voorkomen dat een waarnemend huisarts gegevens inziet van een patiënt die op dat moment niet bij hem in behandeling is. Net als de CHP logt ook SPITZ-MH de raadplegingen, maar zijn die niet op verdachte situaties gericht, waardoor de logging niet effectief kan worden gebruikt, merkt het CBP op.
Verder maakt de CHP gebruik van een externe dienstverlener die de autorisaties van gebruikers van het systeem kan aanpassen. Hierdoor worden de mogelijkheden tot onbevoegde inzake onnodig verruimd. "Deze onderzoeksresultaten zijn zorgwekkend omdat de wet vereist dat degenen die persoonsgegevens verwerken, een passend beveiligingsniveau hanteren om persoonsgegevens te beveiligen tegen onrechtmatige verwerking."
Ongeveer een half jaar geleden kreeg ik een brief van mijn huisarts betreft het CHD (regionale patientendossier) Vervolgens maakt ik bezwaar en vroeg bij een aantal mensen in mijn omgeving of zij ook al bezwaar hadden gemaakt. deze wisten echter van niks terwijl zij in dezelfde regio wonen en dus ook opgenomen worden in dat systeem zonder dat er wat gevraagd of gedaan is.
het bezwaar hier van moet je niet landelijk doen maar bij je eigen, ik raad mensen aan ook direct contact op te nemen met hun arts voor meer informatie over, en/of bezwaar hier tegen.
Mijn arts geeft ook al te kennen zich steeds meer een administratiefmedewerker te worden die door de rompslomp en de gare plannen van de overheid overspoeld met werk dat niks met zijn vak te maken heeft ....
Maar de huisartsen hebben geen enkele moeite gedaan om hun patienten goed te informeren over deze regionale epd's. Onder het mom van " alleen de vervangende huisarts kijkt er in en dat zijn toch allemaal zulke betrouwbare dokters" tuigden zij hun eigen systeem op. Bedenk goed dat het hun eigen systeem is, want de patient krijgt standaard geen inzage , geen kopie van de elektronische verwijsbrief en geen kopie van het waarneemretourbericht. Ik weet wel dat de patient wel inzage/kopierecht heeft, maar het is erg moeilijk om hierom te vragen en om het dan ook echt te krijgen. Vaak zeggen ze toe (want natuurlijk wettelijk verplicht) en daarna "vergeten" ze het of verzinnen ze een andere smoes.
En dat geklaag van die artsen over die administratie moet ook echt eens afgelopen zijn. Voor 1 januari 2006 was 30% van hun patientenbestand particulier verzekerd en moesten ze zelf zien de rekeningen betaald te krijgen. Dat is van een heel andere orde dan gewoon een vinkje in de computer zetten.
Het medisch beroepsgeheim wordt volledig te grabbel gegooid: tegelijk met deze regionale epd's bestaat het medisch beroepsgeheim in feite niet meer. Immers alles wat de patient aan zijn huisarts toevertrouwt komt zonder meer in de vergaarbak van het regionale systeem terecht.
je gegevens zullen TOCH in het EPD worden opgenomen.
of je wilt of niet..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
