"Patiëntgegevens open voor nieuwsgierig personeel"
Patiëntengegevens zijn onvoldoende afgeschermd tegen ‘nieuwsgierig’ zorgpersoneel, zo blijkt uit onderzoek onder de bezoekers van beurs Zorg&ICT 2011 in de Jaarbeurs Utrecht. Bijna alle ondervraagden geven aan dat personeel bij hun organisatie met een persoonlijk wachtwoord moet inloggen, voordat men patiëntengegevens kan bekijken of bewerken. Slechts 4% zegt dat hun zorginstelling gebruik maakt van één algemeen wachtwoord voor iedereen die toegang heeft tot de patiëntengegevens.
Volgens de geënquêteerden heeft 72% van het geautoriseerde zorgpersoneel toegang tot de gegevens van alle patiënten. Bij 20% kan het zorgpersoneel uitsluitend bij de gegevens van de patiënten die zij op dat moment behandelen. Bij slechts 8% van de zorginstellingen waar de ondervraagden werkzaam zijn, hebben alle medewerkers toegang tot alle patiëntgegevens.
Dat geldt dus ook voor bijvoorbeeld het administratief personeel. Uit deze antwoorden blijkt dat vier op de vijf zorginstellingen het zorgpersoneel inzage geeft in dossiers van alle patiënten, ook als deze niet onder hun zorg vallen.
Vrij spel
"Het is logisch dat medisch personeel snel bij de gegevens van de patiënt kan, vooral in crisissituaties. Toch moet ook de privacy van de patiënt beschermd worden. Nieuwsgierig personeel dat - zonder toestemming van een cliënt- een snelle blik werpt op het dossier van behandelde familieleden, vrienden of bekende Nederlanders hebben nu nog vrij spel", zegt Bastiaan Bakker van ICT-aanbieder Motiv.
Reacties (14)
"Bijna alle ondervraagden geven aan dat personeel bij hun organisatie met een persoonlijk wachtwoord moet inloggen, voordat men patiëntengegevens kan bekijken of bewerken."
Erg leuk, maar vind er dan ook een audit plaatst om te controleren of er ongeoorloofde inzage is ? Bij de politie heeft men ook een persoonlijk wachtwoord, en er worden ook logbestanden bijgehouden. Toch kan men over het algemeen doen wat men wil, vanwege de simpele reden dat er geen controle plaats vindt. Pas achteraf, wanneer er klachten zijn, wordt er eventueel gekeken of er ongeoorloofde inzage is geweest (denk aan de affaire Robin van Persie).
In de meeste gevallen weet de persoon wiens gegevens zijn bekeken niet dat dit is gebeurd, waardoor er geen sprake is van een klacht. Binnen de politie organisatie is het inzien van gegevens die men helemaal niet nodig heeft voor lopende onderzoeken de normaalste gang van zaken, waarbij men de regels negeert, en de privacy van de persoon in kwestie niet respecteert.
Erg leuk, maar vind er dan ook een audit plaatst om te controleren of er ongeoorloofde inzage is ? Bij de politie heeft men ook een persoonlijk wachtwoord, en er worden ook logbestanden bijgehouden. Toch kan men over het algemeen doen wat men wil, vanwege de simpele reden dat er geen controle plaats vindt. Pas achteraf, wanneer er klachten zijn, wordt er eventueel gekeken of er ongeoorloofde inzage is geweest (denk aan de affaire Robin van Persie).
In de meeste gevallen weet de persoon wiens gegevens zijn bekeken niet dat dit is gebeurd, waardoor er geen sprake is van een klacht. Binnen de politie organisatie is het inzien van gegevens die men helemaal niet nodig heeft voor lopende onderzoeken de normaalste gang van zaken, waarbij men de regels negeert, en de privacy van de persoon in kwestie niet respecteert.
Het is logisch dat IK bepaal wie er bij MIJN gegevens kan.
Helaas denkt de overheid daar anders over...
Helaas denkt de overheid daar anders over...
"Het is logisch dat IK bepaal wie er bij MIJN gegevens kan."
Zou ik ook denken, maar nu onderhandelt Europa al over een wereldwijd EPD.. Geen idee wanneer er besloten is om onze gegevens met Brussel te delen ?
Zou ik ook denken, maar nu onderhandelt Europa al over een wereldwijd EPD.. Geen idee wanneer er besloten is om onze gegevens met Brussel te delen ?
01-04-2011, 08:23 door
Syzygy
Wie hier nog van op kijkt is wel erg naïef.
Dat hele gedoe met patiënten gegevens en straks het EPD ligt binnen een mum op straat.
Loop nou eens een willekeurig ziekenhuis binnen (beetje groot) en kijk eens hoeveel terminals er onbemand zijn waar je gewoon even achter kan gaan zitten.
Trek een trui aan met een IBM/KPN/Getronics Logo of weet ik wat voor BEKEND ICT bedrijf en neem wat los gereedschap mee en een papieren lijstje met onzin en er is geen hond die je lastig valt.
Dat hele gedoe met patiënten gegevens en straks het EPD ligt binnen een mum op straat.
Loop nou eens een willekeurig ziekenhuis binnen (beetje groot) en kijk eens hoeveel terminals er onbemand zijn waar je gewoon even achter kan gaan zitten.
Trek een trui aan met een IBM/KPN/Getronics Logo of weet ik wat voor BEKEND ICT bedrijf en neem wat los gereedschap mee en een papieren lijstje met onzin en er is geen hond die je lastig valt.
01-04-2011, 09:24 door
Ed Dekker
Door Anoniem: Het is logisch dat IK bepaal wie er bij MIJN gegevens kan.
Weet je het zeker? Ook wanneer je met gillende sirenes door de ambulance wordt afgeleverd?Flauw voorbeeld, maar dat is wel de reikwijdte van een (lokaal) EPD.
Dit speelt niet alleen binnen ziekenhuizen en ander zorginstellingen, maar ook in al bestaande regionale EPDs. Soms zijn die niet beter dan veredelde Excel-sheets die rond gemaild worden.
Door Anoniem: Helaas denkt de overheid daar anders over...
Ziekenhuis <> overheid, zorginstelling <> overheid.Dit gaat niet over de overheid. Het gaat over naleving van regelgeving binnen de zorg.
01-04-2011, 09:43 door
Preddie
Volgens de geënquêteerden heeft 72% van het geautoriseerde zorgpersoneel toegang tot de gegevens van alle patiënten.
WTF ????
We weten dus ook nog dat er dus 28% geen toegang hoort te hebben maar dit wel heeft ... ? Echt waar informatiebeveiliging is ver te zoeken in de zorg ....
@ Ed :
"Weet je het zeker? Ook wanneer je met gillende sirenes door de ambulance wordt afgeleverd?"
Ook dan ben je nog steeds de eigenaar van je eigen gegevens. Uiteindelijk moet het aan jou zijn, en niet aan politici, om te bepalen wie er bij jouw gegevens kunnen. Vind je bijvoorbeeld dat Brussel, zoals nu gebeurt, moet onderhandelen over een wereldwijd patientendossier, zodat men overal toegang heeft tot je gegevens - ongeacht of je bijvoorbeeld ooit de grens over gaat.
Natuurlijk wil ik dat wanneer ik hier in het ziekenhuis kom men bij mijn gegevens kan, en misschien dat ik daar dus ook -zelf- toestemming voor wil geven. Maar dat wil nog niet zeggen dat ik diezelfde gegevens wil delen met zorg instanties in landen waar ik nooit kom - laat staan dat ik wil dat politici in Brussel dit namens mij gaan bepalen.
Dus ja ik weet het zeker, en dat wil niet zeggen dat ik ziekenhuizen hier geen toestemming geef om mijn gegevens in te zien. Wel zou ik een goede audit trail waarderen welke er voor zorgt dat ongeoorloofde inzage gedetecteerd wordt, en dat er sancties volgen wanneer medisch personeel ongeoorloofd in je gegevens rondsnuffelen.
"Weet je het zeker? Ook wanneer je met gillende sirenes door de ambulance wordt afgeleverd?"
Ook dan ben je nog steeds de eigenaar van je eigen gegevens. Uiteindelijk moet het aan jou zijn, en niet aan politici, om te bepalen wie er bij jouw gegevens kunnen. Vind je bijvoorbeeld dat Brussel, zoals nu gebeurt, moet onderhandelen over een wereldwijd patientendossier, zodat men overal toegang heeft tot je gegevens - ongeacht of je bijvoorbeeld ooit de grens over gaat.
Natuurlijk wil ik dat wanneer ik hier in het ziekenhuis kom men bij mijn gegevens kan, en misschien dat ik daar dus ook -zelf- toestemming voor wil geven. Maar dat wil nog niet zeggen dat ik diezelfde gegevens wil delen met zorg instanties in landen waar ik nooit kom - laat staan dat ik wil dat politici in Brussel dit namens mij gaan bepalen.
Dus ja ik weet het zeker, en dat wil niet zeggen dat ik ziekenhuizen hier geen toestemming geef om mijn gegevens in te zien. Wel zou ik een goede audit trail waarderen welke er voor zorgt dat ongeoorloofde inzage gedetecteerd wordt, en dat er sancties volgen wanneer medisch personeel ongeoorloofd in je gegevens rondsnuffelen.
01-04-2011, 11:47 door
Loserenzo
Door Ed Dekker:
Ziekenhuis <> overheid, zorginstelling <> overheid.
Dit gaat niet over de overheid. Het gaat over naleving van regelgeving binnen de zorg.
Regelgeving opgelegd door de overheid, maar goed..Ziekenhuis <> overheid, zorginstelling <> overheid.
Dit gaat niet over de overheid. Het gaat over naleving van regelgeving binnen de zorg.
En volgens mij geven de cijfers aan dat elke zorginstelling zelf mag beslissen hoe ze regelgeving invulling geven, zorgwekkend. (no pun intended)
In jouw voorbeeld is zorginstelling <> Ziekenhuis. En daar zit nou precies de kneep.
Dat een ambulance-broeder snel kan lezen dat hij mij geen medicijn-A moet geven vanwege allergische reactie ofzo, prima.
Maar wie garandeert mij dat over 2, 3 of 5 jaar mijn ziektekostenverzekeraar mij niet gaat vertellen dat zij mijn premie moeten verdrievoudigen omdat ze hebben 'geconstateerd' dat ik een of andere genetische afwijking heb die onvermijdelijk gaat lijden tot het moeten gebruiken van dure medicijnen nog weer 5 jaar later? Of dat zij de premie van mijn kinderen ook maar vast verhogen omdat zij en hun kinderen die afwijking ook krijgen?
Flauw voorbeeld, maar het geeft wel de mogelijke consequenties aan van al deze centrale opslag-drift.
Ik zou zeggen, ga eens kijken op de leeromgevingen en verbaas je over wat ze als leeromgeving gebruiken!
01-04-2011, 13:38 door
Ed Dekker
@Anoniem + @Loserenzo
Jullie slaan de spijker op z'n kop: in geval van nood moet elke mogelijke zorgverlener (ambulance, OK, you name it) over alle noodzakelijke gegevens kunnen beschikken.
Daarvoor moet je natuurlijk vooraf van alles regelen. Geen idee of dat beslist centrale opslag moet zijn. Wat ik wel weet is dat je op zo'n moment wilt dat het er is en nog up-to-date ook.
En ik kan me voorstellen dat je dat binnen heel Europa zou willen.
Het echte probleem is dan: hoe zorg je ervoor dat buiten de noodgevallen om de boel pot-en-potdicht zit?
Want inderdaad, zorgverzekeraars en andere boeven moeten er met hun tengels afblijven.
En tegelijk is de vraag: wat is erger, de huidige praktijk of een nog lang niet perfect landelijk systeem?
Dit artikel vertelt ons dat de huidige praktijk - in weerwil van alle bestaande regelgeving! - minstens zo fout is als waar wij bang voor zijn met een landelijk (of Europees) EPD.
Jullie slaan de spijker op z'n kop: in geval van nood moet elke mogelijke zorgverlener (ambulance, OK, you name it) over alle noodzakelijke gegevens kunnen beschikken.
Daarvoor moet je natuurlijk vooraf van alles regelen. Geen idee of dat beslist centrale opslag moet zijn. Wat ik wel weet is dat je op zo'n moment wilt dat het er is en nog up-to-date ook.
En ik kan me voorstellen dat je dat binnen heel Europa zou willen.
Het echte probleem is dan: hoe zorg je ervoor dat buiten de noodgevallen om de boel pot-en-potdicht zit?
Want inderdaad, zorgverzekeraars en andere boeven moeten er met hun tengels afblijven.
En tegelijk is de vraag: wat is erger, de huidige praktijk of een nog lang niet perfect landelijk systeem?
Dit artikel vertelt ons dat de huidige praktijk - in weerwil van alle bestaande regelgeving! - minstens zo fout is als waar wij bang voor zijn met een landelijk (of Europees) EPD.
Cruciale medische informatie kun je beter bij je dragen op een klein kaartje bij je ID of zo. Je weet nooit of er niet net een storing is, of dat er inderhaast niet op de verkeerde persoon wordt gezocht. Artsen zijn net mensen en computers in ziekenhuizen ook hun nukken. Ook hier is de simpelste oplossing meestal de beste.
De uitzonderingen daargelaten: het was nooit een probleem dat men niet alles van je wist.
De echte EHBO (als afkorting, niet als afdeling) kan altijd plaatsvinden.
Daarna is er tijd genoeg om familie te raadplegen, portemonees te doorzoeken, SOS-hangertje/-armbandjes te doorzoeken. Die personen die een allergie hebben droegen vaak toch al een pasje of wilsverklaring.
Zij, en met name zij, kunnen toch vrijwillig aan een EPD meedoen.
Maar waarom moet IK meedoen tegen MIJN zin.
Als ik geen enkele allergie heb of, ook als ik deze wel heb, mag toch zeker ZELF bepalen hoeveel privacy ik prijsgeef?
Ik heb destijds mijn tegenstem opgegeven over het EPD plan.
Totdat iedereen beseft wat er met DNA in de toekomst mogelijk is en men beseft dat je dat nooit moet prijsgeven aan instanties en vooral niet aan commerciële ziekenhuizen. Zoals gezegd: straks ziet men in je DNA dat je tot een risicogroep behoort en dure medicatie benodigd en daar gaat je premie. De commerciëlen nemen je BSN-nummer over in een zwartelijst-bestand (om elkaar wederzijds te beschermen, zoals autoverzekeraars en telecombedrijven nu ook al doen) en je bent voor het leven gebrandmerkt.
De echte EHBO (als afkorting, niet als afdeling) kan altijd plaatsvinden.
Daarna is er tijd genoeg om familie te raadplegen, portemonees te doorzoeken, SOS-hangertje/-armbandjes te doorzoeken. Die personen die een allergie hebben droegen vaak toch al een pasje of wilsverklaring.
Zij, en met name zij, kunnen toch vrijwillig aan een EPD meedoen.
Maar waarom moet IK meedoen tegen MIJN zin.
Als ik geen enkele allergie heb of, ook als ik deze wel heb, mag toch zeker ZELF bepalen hoeveel privacy ik prijsgeef?
Ik heb destijds mijn tegenstem opgegeven over het EPD plan.
Totdat iedereen beseft wat er met DNA in de toekomst mogelijk is en men beseft dat je dat nooit moet prijsgeven aan instanties en vooral niet aan commerciële ziekenhuizen. Zoals gezegd: straks ziet men in je DNA dat je tot een risicogroep behoort en dure medicatie benodigd en daar gaat je premie. De commerciëlen nemen je BSN-nummer over in een zwartelijst-bestand (om elkaar wederzijds te beschermen, zoals autoverzekeraars en telecombedrijven nu ook al doen) en je bent voor het leven gebrandmerkt.
02-04-2011, 17:09 door
Marius
Beetje aanvullend op het uitstekende verhaal van Ed
Er is een hele keten van mensen met jouw en je gegevens bezig op het moment dat je het ziekenhuis (of periferie) in gaat en dat is veel meer dan het direct verplegend personeel + artsen. Waar de meeste geen weet van hebben is dat de patient dossiers vaker openstaan zodat ook bijvoorbeeld de pathologie en fakturatie inzicht in de gegevens hebben. Er zijn vast nog wel een paar afdelingen die ik vergeet. Dit is zeer waarschijnlijk niet 100% af te dichten (hoe kun je bv als patholoog zonder inzicht in dossiers een moeilijke case diagnosticeren?).
Laat staan dat heel nederland in 1 transparant systeem genaamd EPD zou zitten. Wat houd (bv zich vervelende ambulance) personeel tegen om de gegevens van bekende personen of vrienden en kennissen op te vragen? Zekers, het wordt vast wel gelogged, maar wie doet een audit op die log, en hoe nauwkeurig wordt dat gedaan? Ik zou al tevreden zijn met een steekproef want 100% dekking is niet mogelijk.
Vergeet tevens niet dat de meeste mensen in die sector een bsnnr of patient nr handmatig intikken die verkeerd ingevoerd kan worden waardoor de eerste missers reeds ontstaan zonder dat de persoon in kwestie daar veel aan kan doen (patient pasjes zijn echt niet overal beschikbaar in deze keten en het handschrift van artsen is net zo onleesbaar als die van mij)
Er is een hele keten van mensen met jouw en je gegevens bezig op het moment dat je het ziekenhuis (of periferie) in gaat en dat is veel meer dan het direct verplegend personeel + artsen. Waar de meeste geen weet van hebben is dat de patient dossiers vaker openstaan zodat ook bijvoorbeeld de pathologie en fakturatie inzicht in de gegevens hebben. Er zijn vast nog wel een paar afdelingen die ik vergeet. Dit is zeer waarschijnlijk niet 100% af te dichten (hoe kun je bv als patholoog zonder inzicht in dossiers een moeilijke case diagnosticeren?).
Laat staan dat heel nederland in 1 transparant systeem genaamd EPD zou zitten. Wat houd (bv zich vervelende ambulance) personeel tegen om de gegevens van bekende personen of vrienden en kennissen op te vragen? Zekers, het wordt vast wel gelogged, maar wie doet een audit op die log, en hoe nauwkeurig wordt dat gedaan? Ik zou al tevreden zijn met een steekproef want 100% dekking is niet mogelijk.
Vergeet tevens niet dat de meeste mensen in die sector een bsnnr of patient nr handmatig intikken die verkeerd ingevoerd kan worden waardoor de eerste missers reeds ontstaan zonder dat de persoon in kwestie daar veel aan kan doen (patient pasjes zijn echt niet overal beschikbaar in deze keten en het handschrift van artsen is net zo onleesbaar als die van mij)
Dat allerlie mensen toegang moeten hebben tot mijn epd gegevens in geval van nood kan ik wel mee leven.
Dat ze door dat probleem het epd niet goed kunnen afdichten ben ik mischien niet happy mee maar ok.
Het enige wat ik dan wel wil hebben is inzicht in het log waarin staat wie mijn gegevens heeft bekeken en dat die persoon heeft gedaan. Zodat ik weet wat er gebeurt is en de mogelijkheid heb daarop te kunnen reageren.
Als ik zie dat een vage dokter in een stad waar mn ziekenkosten verzekering is gevestigd mn hele dossier uit leest ben ik toch wel geinteresseerd en wil ik wel weten waarom hij dat gedaan heeft.
Maar als mn eigen huisarts tijdens mijn bezoek mijn gegevens bekijk of doktoren en dergelijke terwijl ik in het ziekenhuis lig heb ik daar geen moeite mee.
Op deze manier kan ik altijd achteraf wel actie ondernemen als ik wil. Mensen die het totaal niet interesseren hoeven er nooit naar te kijken maar mensen die hun privacy waarderen en daar actief aan werken kunnen actie ondernemen.
Alleen denk ik dat de overheid dit niet zou willen want dan zouden de mensen de overheid kunnen controleren ... iets wat ze absoluut niet lijken te willen .....
Dat ze door dat probleem het epd niet goed kunnen afdichten ben ik mischien niet happy mee maar ok.
Het enige wat ik dan wel wil hebben is inzicht in het log waarin staat wie mijn gegevens heeft bekeken en dat die persoon heeft gedaan. Zodat ik weet wat er gebeurt is en de mogelijkheid heb daarop te kunnen reageren.
Als ik zie dat een vage dokter in een stad waar mn ziekenkosten verzekering is gevestigd mn hele dossier uit leest ben ik toch wel geinteresseerd en wil ik wel weten waarom hij dat gedaan heeft.
Maar als mn eigen huisarts tijdens mijn bezoek mijn gegevens bekijk of doktoren en dergelijke terwijl ik in het ziekenhuis lig heb ik daar geen moeite mee.
Op deze manier kan ik altijd achteraf wel actie ondernemen als ik wil. Mensen die het totaal niet interesseren hoeven er nooit naar te kijken maar mensen die hun privacy waarderen en daar actief aan werken kunnen actie ondernemen.
Alleen denk ik dat de overheid dit niet zou willen want dan zouden de mensen de overheid kunnen controleren ... iets wat ze absoluut niet lijken te willen .....
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
