image

Personeel ontslagen na snuffelen in patiëntendossiers

donderdag 23 augustus 2012, 14:13 door Redactie, 8 reacties

Het Spaarne Ziekenhuis in Hoofddorp heeft twee werknemers ontslagen omdat die meerdere malen in het dossier van een patiënt hadden gekeken. Dat laat het ziekenhuis in het jaarverslag van 2011 weten. In december 2011 startte het ziekenhuis een nadere risicoanalyse op de informatiebeveiliging.

De gevolgen van het niet beschikbaar, integer of vertrouwelijk zijn van gegevens in de informatiesystemen van het ziekenhuis voor de patiëntenzorg, de bedrijfsvoering en personeelszorg werd met een business impact analyse onderzocht. "Er werd bekeken welke maatregelen zijn genomen omdat te voorkomen", aldus het ziekenhuis.

Uit een onafhankelijke audit bleek dat het ziekenhuis vrijwel volledig voldeed aan de normelementen zoals opgenomen in het NVZ toetsingsreglement en de NEN7510 2011.

Reacties (8)
23-08-2012, 16:29 door Anoniem
Tja, het Spaarneziekenhuis.... als er ergens een sterfhuis constructie bestaat dan is dat het Spaarneziekenhuis wel.
Slechte artsen, slechte verpleging en vooral arrogant. Dat ze nog bestaan mag een wonder heten.
Nu hebben ze waarschijnlijk 2 personen opgeofferd om aan te tonen dat ze toch wel heel serieus bezig zijn. Nu nog een audit op de kennis van de gemiddelde arts daar.
23-08-2012, 17:55 door Rolfieo
Door Anoniem: Tja, het Spaarneziekenhuis.... als er ergens een sterfhuis constructie bestaat dan is dat het Spaarneziekenhuis wel.
Slechte artsen, slechte verpleging en vooral arrogant. Dat ze nog bestaan mag een wonder heten.
Nu hebben ze waarschijnlijk 2 personen opgeofferd om aan te tonen dat ze toch wel heel serieus bezig zijn. Nu nog een audit op de kennis van de gemiddelde arts daar.

Das apart, mijn ervaring is geheel anders.
24-08-2012, 07:43 door Anoniem
Merkwaardige conclusie dat het Spaarneziekenhuis bijna volledig voldoet aan de ISO 27001-norm.

Zelf heb ik recent een kleine behandeling ondergaan in het Spaarne ziekenhuis. Nagenoeg alle basale informatiebeveiligingsmaatregelen ontbraken toen. Zonder wachtwoord in te geven liet een verpleegkundige zien wat er in mijn digitale patientendossier stond, toen we even moesten wachten op de assistent arts. Vervolgens loopt de verpleegkundige weg en bleef ik alleen achter met de computer waarin ik toegang had tot de (alle?) patientendossiers. Uiteraard ben ik zo discreet geweest de computer niet verder te inspecteren of het systeem te hacken, maar de mogelijkheid was er.

Overigens deel ik de mening van de Rolfieo. Mijn ervaring voor de medische behandeling waren louter positief. Totaal gebrek aan bescherming van privacy was er wel.
24-08-2012, 09:52 door jefdom
dit lijkt toch wel een beetje vaste kost te worden op security.nl,het lijkt dat het personeel van die instellingen de boel maar op zijn beloop laat,of erger nog ze maken het voor hunzelf gemakkelijk.Overlaatst was ik in een kliniek in belgie waar de verpleegster even het paswoord van de arts vroeg,want ze was het hare vergeten,en die gaf dat zonder problemen en ook zij heeft zich verschillende keren verwijderd zodat ik,als ik wilde met de dossiers kon doen wat ik wou(niet gedaan naturaly)maar het probleem blijft,gewoon omdat mensen gemakzuchtig of gewoon lui zijn.groetjes dejef
24-08-2012, 13:55 door Anoniem
Door Anoniem: Merkwaardige conclusie dat het Spaarneziekenhuis bijna volledig voldoet aan de ISO 27001-norm.
Diginotar kwam ook door audits heen. Wat ik, toen ik ooit als ontwikkelaar voor een bank werkte, van audits merkte was dat ik soms door een accountant als KPMG of door DNB geïnterviewd werd. Maar controleerde men ook of wat beweerd werd ook echt zo geïmplementeerd was? Of mensen zich werkelijk aan de procedures hielden die keurig op papier stonden? Ik weet niet hoe ver het precies ging, maar beslist niet zo ver dat ze op de werkvloer rondliepen om te zien hoe dingen echt gaan. Een audit zegt niet alles.

Door jefdom: het lijkt dat het personeel van die instellingen de boel maar op zijn beloop laat,of erger nog ze maken het voor hunzelf gemakkelijk [...] gewoon omdat mensen gemakzuchtig of gewoon lui zijn.groetjes dejef

Ik kan me dat eigenlijk wel voorstellen. Van iemand die werkte bij het Anthonie van Leeuwenhoekziekenhuis (dat is gespecialiseerd in kanker) hoorde ik ooit dat de omgangsvormen daar, ook bij het personeel onderling, uitermate voorkomend en vriendelijk waren. Dat kwam omdat ze zo met patienten omgaan. Die hebben door hun ziekte de emotionele klap van hun leven te verwerken, en zijn behalve fysiek ook mentaal heel kwetsbaar. Dat straalt uit op alles wat daar gebeurt. De mentaliteit die je nodig hebt om beveiliging goed te doen is behoorlijk paranoïde, dat gaat niet om het opbouwen van een sfeer van veiligheid en onderling vertrouwen maar om uitgaan van de mogelijkheid van misbruik en je daartegen wapenen. Dat zijn tegengestelde manieren van met de werkelijkheid om je heen omgaan. Voortdurend heen en weer schakelen tussen wantrouwen en vertrouwen lijkt me slopend, petje af voor wie dat kan en volhoudt. Verslijt dat niet voor gemakzucht of luiheid, daar is iets heel anders aan de hand.

Dat bescherming van de privacy van patiënten voor artsen ook onderdeel van hun werk is is duidelijk, maar dat neemt niet weg dat de kloof tussen die twee mentaliteiten moeilijk te overbruggen is. Zijn er authenticatie- en autorisatiesystemen denkbaar die transparant genoeg werken om niet genegeerd te worden? Polsbandjes met een RFID-chip en een werkstation dat daarop reageert (en dus op de handen van de arts lijkt te reageren) en per opvraging of wijzinging van gegevens kijkt of er wel iemand zit te typen die die gegevens op mag vragen, ik roep maar iets wilds. Als de arts dan wegloopt kan de patient niets nieuws opvragen, en de arts hoeft er op het dragen van het polsbandje na niets voor te doen. Niet waterdicht, maar wellicht een stuk beter dan een systeem dat volledig genegeerd wordt.
25-08-2012, 19:06 door jefdom
Door Anoniem:
Door Anoniem: Merkwaardige conclusie dat het Spaarneziekenhuis bijna volledig voldoet aan de ISO 27001-norm.
Diginotar kwam ook door audits heen. Wat ik, toen ik ooit als ontwikkelaar voor een bank werkte, van audits merkte was dat ik soms door een accountant als KPMG of door DNB geïnterviewd werd. Maar controleerde men ook of wat beweerd werd ook echt zo geïmplementeerd was? Of mensen zich werkelijk aan de procedures hielden die keurig op papier stonden? Ik weet niet hoe ver het precies ging, maar beslist niet zo ver dat ze op de werkvloer rondliepen om te zien hoe dingen echt gaan. Een audit zegt niet alles.

Door jefdom: het lijkt dat het personeel van die instellingen de boel maar op zijn beloop laat,of erger nog ze maken het voor hunzelf gemakkelijk [...] gewoon omdat mensen gemakzuchtig of gewoon lui zijn.groetjes dejef

Ik kan me dat eigenlijk wel voorstellen. Van iemand die werkte bij het Anthonie van Leeuwenhoekziekenhuis (dat is gespecialiseerd in kanker) hoorde ik ooit dat de omgangsvormen daar, ook bij het personeel onderling, uitermate voorkomend en vriendelijk waren. Dat kwam omdat ze zo met patienten omgaan. Die hebben door hun ziekte de emotionele klap van hun leven te verwerken, en zijn behalve fysiek ook mentaal heel kwetsbaar. Dat straalt uit op alles wat daar gebeurt. De mentaliteit die je nodig hebt om beveiliging goed te doen is behoorlijk paranoïde, dat gaat niet om het opbouwen van een sfeer van veiligheid en onderling vertrouwen maar om uitgaan van de mogelijkheid van misbruik en je daartegen wapenen. Dat zijn tegengestelde manieren van met de werkelijkheid om je heen omgaan. Voortdurend heen en weer schakelen tussen wantrouwen en vertrouwen lijkt me slopend, petje af voor wie dat kan en volhoudt. Verslijt dat niet voor gemakzucht of luiheid, daar is iets heel anders aan de hand.

Dat bescherming van de privacy van patiënten voor artsen ook onderdeel van hun werk is is duidelijk, maar dat neemt niet weg dat de kloof tussen die twee mentaliteiten moeilijk te overbruggen is. Zijn er authenticatie- en autorisatiesystemen denkbaar die transparant genoeg werken om niet genegeerd te worden? Polsbandjes met een RFID-chip en een werkstation dat daarop reageert (en dus op de handen van de arts lijkt te reageren) en per opvraging of wijzinging van gegevens kijkt of er wel iemand zit te typen die die gegevens op mag vragen, ik roep maar iets wilds. Als de arts dan wegloopt kan de patient niets nieuws opvragen, en de arts hoeft er op het dragen van het polsbandje na niets voor te doen. Niet waterdicht, maar wellicht een stuk beter dan een systeem dat volledig genegeerd wordt.
Ik ben ooit door mijn baas naar een groot petrochemich bedrijf gestuurd als supervisor,toen ik mijn paswoord vroeg voor de lab pc,s die ik nodig had werd mij gezegd,vraag die maar van je collegas techneutjes zolang ,we regelen dat later wel ik heb ze nooit gekregen maar had wel ZEVEN paswords,zie je wat ik bedoel.groetjes jefdom
27-08-2012, 19:36 door Anoniem
Mede om dit soort redenen moeten we geen EPD hebben.

En uiteraard deze ex-medewerkers strafrechtelijk vervolgen, indien mogelijk.
Schenden van geheimen, etc.

Bij een EPD is het hek van de dam, absoluut GÉÉN EPD!
29-08-2012, 01:53 door Anoniem
Door Anoniem: Merkwaardige conclusie dat het Spaarneziekenhuis bijna volledig voldoet aan de ISO 27001-norm.

Zelf heb ik recent een kleine behandeling ondergaan in het Spaarne ziekenhuis. Nagenoeg alle basale informatiebeveiligingsmaatregelen ontbraken toen. Zonder wachtwoord in te geven liet een verpleegkundige zien wat er in mijn digitale patientendossier stond, toen we even moesten wachten op de assistent arts. Vervolgens loopt de verpleegkundige weg en bleef ik alleen achter met de computer waarin ik toegang had tot de (alle?) patientendossiers.
Dat is niet zo gek als je weet hoe er wordt getoetst: ziekenhuizen toetsen op hun eigen norm (het NVZ toetsingsreglement dat genoemd is in het artikel), wat een selectie is van de eisen uit NEN 7510 (welke weer afgeleid is van ISO 27001). En de eisen in het toetsingsreglement worden over het algemeen niet uitgebreid gecontroleerd door een auditor.

Overigens had je waarschijnlijk "slechts" toegang tot de patiëntendossiers van patiënten op de afdeling waar je je bevond, in de meeste ziekenhuizen hebben alleen artsen onbeperkt toegang. Maar dit verschilt per ziekenhuis en meestal is er een optie om in geval van nood toch een dossier van een andere afdeling te bekijken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.