image

AP ontdekt misstanden bij bescherming patiëntgegevens

maandag 15 februari 2016, 10:28 door Redactie, 13 reacties

De Autoriteit Persoonsgegevens (AP) heeft Nederlandse zorginstellingen om extra aandacht gevraagd voor de bescherming van patiëntgegevens, nadat er bij verschillende instellingen misstanden waren ontdekt. "Een zorginstelling moet bij de verwerking van persoonsgegevens voldoen aan de vereisten van de Wet bescherming persoonsgegevens (Wbp) en kan patiënten niet aan het risico blootstellen dat onbevoegden medische gegevens inzien", aldus de AP.

De toezichthouder voerde bij verschillende zorginstellingen onderzoek uit en ontdekte dat getroffen maatregelen onvoldoende waren om ervoor te zorgen dat uitsluitend bevoegde medewerkers van ziekenhuizen, GGZ-instellingen of huisartsenposten toegang hadden tot digitale patiëntendossiers en andere medewerkers dus niet. Er bleken intensieve verbetertrajecten nodig om de overtredingen te beëindigen.

"Medische gegevens zijn per definitie privacygevoelig", zo stelt de AP. "De beveiliging van deze gegevens moet dan ook aan de hoogste normen voldoen. Om het vertrouwen van patiënten in een zorgvuldige omgang met hun medische gegevens te behouden, is het van belang dat zorginstellingen regelmatig een analyse maken van de situatie en beoordelen of de maatregelen up-to-date en in overeenstemming met de wettelijke vereisten zijn."

Reacties (13)
15-02-2016, 11:18 door Anoniem
Een van die misstanden (die ook bij banken voorkomt) is het klakkeloos op ieder papier afdrukken van het BSN. Zo levert de zorg regelmatig in één oogopslag alle gegevens die nodig zijn voor identiteitsfraude.
15-02-2016, 11:54 door Anoniem
De AP zou niet alleen naar de systemen moeten kijken. Vorige week was ik in een ziekenhuis voor een bezoek aan een specialist. Tijdens het wachten in de wachtruimte kon je prima meeluisteren met de dame die telefonische afspraken maakt. Naam, adres, woonplaats en zelfs geboortedatum waren uitstekend te horen.
15-02-2016, 13:25 door Anoniem
Door Anoniem: Een van die misstanden (die ook bij banken voorkomt) is het klakkeloos op ieder papier afdrukken van het BSN. Zo levert de zorg regelmatig in één oogopslag alle gegevens die nodig zijn voor identiteitsfraude.

Misschien moet je je bank even een mailtje geven op hun responsible-disclosure als dit voorkomt, krijg je ook nog betaald voor je oplettendheid.
15-02-2016, 14:08 door EntrD
Belangrijk hierbij is dat je als zorginstelling goed nadenkt over welke gegevens je waar nodig hebt: is het voor een analyse bijvoorbeeld nodig dat je individueel herleidbare gegevens gebruikt of kun je daar werken met geanonimiseerde gegevens waarbij het 'patiëntprofiel' intact blijft? Dit geldt ook voor testomgevingen, welke gegevens heb je nodig om een nieuwe versie van bijvoorbeeld een EPD te accepteren?

Wat ons nu vaak opvalt is dat veel organisaties hier nog niet over nagedacht hebben en vaak overal de patiëntgegevens uit productie gebruiken. Dat vergroot de kans op een datalek natuurlijk enorm.
15-02-2016, 16:38 door Anoniem
Door Anoniem: De AP zou niet alleen naar de systemen moeten kijken. Vorige week was ik in een ziekenhuis voor een bezoek aan een specialist. Tijdens het wachten in de wachtruimte kon je prima meeluisteren met de dame die telefonische afspraken maakt. Naam, adres, woonplaats en zelfs geboortedatum waren uitstekend te horen.

Dat heb je toch wel even gemeld bij dat ziekenhuis zodat ze maatregelen kunnen nemen om het te verbeteren!
15-02-2016, 17:04 door Anoniem
Door Anoniem: Een van die misstanden (die ook bij banken voorkomt) is het klakkeloos op ieder papier afdrukken van het BSN. Zo levert de zorg regelmatig in één oogopslag alle gegevens die nodig zijn voor identiteitsfraude.
Ik vraag me af of ze kunnen frauderen met alleen het BSN nummer?
Normaal zouden ze denk ik een copy van je ID kaart of rijbewijs moeten hebben.
Degenen die je belasting in vult heeft ook je BSN nummer, je tandarts, bankmedewerkers enz.
15-02-2016, 19:02 door Anoniem
Ziekenhuis bezoek?

Data pseudoanoniem opgeslagen in landelijke database waar bijvoorbeeld het centraal bureau voor statistiek standaard in kan.
Anoniem opgeslagen?
Nee, pseudoanoniem, het CPB kan het eenvoudig combineren met eigen gegevens op basis van postcode geboortedatum om jouw naam direct bij al jou ziekenhuisbezoek data te krijgen.
Het CPB belooft dat niet te doen omdat het niet mag.

Wat is vertrouwen waard?

a) vertelt het ziekenhuis dat zij alle data van jouw onderzoeken in een landelijke database zet?
Nee, he?

b) zou alleen het CPB toegang hebben tot die data?
Wat denk je?

Conclusie : je kan je druk maken over het patiëntendossier maar ondertussen zijn al jouw data gewoon beschikbaar voor een onbekende groep mensen.

Bezoek psychiater / psycholoog?

Naar de psycholoog dan en anoniem over je problemen vertellen?
Nee, hoor, de verzekeraar weet exact jouw diagnose dus welk probleem jij bespreekt met je psycholoog.

Hoe weet de verzekeraar dat?
Omdat bij declaratie een unieke code moet worden opgegeven.
Omdat (niet toevallig) elk tarief uniek is en zelf bij een ingevulde privacyverklaring de verzekeraar exact weet voor welke exacte diagnose.

Je hebt dus alleen privacy bij de psycholoog als je niets declareert bij de verzekeraar.
Oh nee, nog niet want je moet vooraf een gedetailleerde vragenlijst invullen die in een pseudoanonieme database van verzekeraars gaat.

Wordt je ook niet verteld he?
Al jaren aan de hand en er wordt nauwelijks iets aan gedaan, slechts halve maatregelen waardoor men nog steeds met de data wegkomt.

Veel kijk en huiver plezier

"De jacht op uw medische gegevens"
http://zembla.vara.nl/seizoenen/2014/afleveringen/17-04-2014

Een psycholoog kun je misschien nog wel overslaan, een noodzakelijk ziekenhuisbezoek niet.
Je wordt continue genaaid waar je bij staat en je doet er helemaal niets tegen!

AP onderneemt halve actie en effectief dus niets, data half beschermen heeft namelijk geen zin.
15-02-2016, 22:32 door Anoniem
Door Anoniem: De AP zou niet alleen naar de systemen moeten kijken. Vorige week was ik in een ziekenhuis voor een bezoek aan een specialist. Tijdens het wachten in de wachtruimte kon je prima meeluisteren met de dame die telefonische afspraken maakt. Naam, adres, woonplaats en zelfs geboortedatum waren uitstekend te horen.
Toen er nog geen internet was gebeurde dit ook en had niemand hier moeite mee. Zou het zo kunnen zijn dat de gedachtengang dat hier misbruik van gemaakt zou kunnen worden hier het meest schadelijke is.
Ik hoor dit ook vaak bij ziekenhuizen, huisartsen en tandartsen en andere afspraakbureau's en denk daar nooit wat bij.
Waarom zou ik?
16-02-2016, 10:32 door Anoniem
Door Anoniem:
Door Anoniem: De AP zou niet alleen naar de systemen moeten kijken. Vorige week was ik in een ziekenhuis voor een bezoek aan een specialist. Tijdens het wachten in de wachtruimte kon je prima meeluisteren met de dame die telefonische afspraken maakt. Naam, adres, woonplaats en zelfs geboortedatum waren uitstekend te horen.
Toen er nog geen internet was gebeurde dit ook en had niemand hier moeite mee. Zou het zo kunnen zijn dat de gedachtengang dat hier misbruik van gemaakt zou kunnen worden hier het meest schadelijke is.
Ik hoor dit ook vaak bij ziekenhuizen, huisartsen en tandartsen en andere afspraakbureau's en denk daar nooit wat bij.
Waarom zou ik?

Dat lijkt me een redenering in de trant van: als niemand zijn fiets op slot zet omdat we allemaal niet eens denken aan het stelen van fietsen, dan wordt er nooit een fiets gestolen.

Het stelen van fietsen wordt dus veroorzaakt door het op slot zetten.
17-02-2016, 07:21 door karma4
Er bleken intensieve verbetertrajecten nodig om de overtredingen te beëindigen.
De werkelijke oorzaak is de aanwezige cultuur en houding van mensen. Er zouden intensieve verbeterprojecten geweest zijn. Dan moet ik het nodige in het nieuws gemist hebben. Het moet met de nodige onrust gepaard zijn gegaan.

Of er is een andere weg ingeslagen om overtreding van tafel te krijgen. Ik krijg geen goed gevoel hierbij ove de AP.
Het meeste waarschijnlijke scenario is dat men op de oude voet verder gaat en wat window-dressing gedaan heeft.
17-02-2016, 07:31 door karma4
Door Anoniem: Dat lijkt me een redenering in de trant van: als niemand zijn fiets op slot zet omdat we allemaal niet eens denken aan het stelen van fietsen, dan wordt er nooit een fiets gestolen.
Het stelen van fietsen wordt dus veroorzaakt door het op slot zetten.
Die redenering van jouw slaat evenmin ergens op.
Op die fiets: fietsen kunnen gestolen worden het bestaan van fietsen is het probleem. Vernietig ze allemaal geen diefstal.

Gar je over straat dan je zichtbaar, ga je naar een ziekenhuis arts dan ben je zichtbaar. Zit je bij een specialisme in een siekenhuis dan is dat voor de nalie/aanwezigen zichtbaar. Zoiets kan je alleen voorkomen door je geheel te isoleren zonder enige sociale contacten.

uitsluitend bevoegde medewerkers van ziekenhuizen, GGZ-instellingen of huisartsenposten toegang hadden tot digitale patiëntendossiers en andere medewerkers dus niet.

Dat gaat om IAM en SIEM dat niet op orde is NEN7510 NEN7513 met de verwijizingen naar ISO27k. Dit dient als top-down beleid in het bloed te zitten met peroosnlijke aansprakeljikheid naar bestuurders.
17-02-2016, 11:33 door Anoniem
@karma4:

Je suggereert nu (in mijn ogen althans) dat wie naar het ziekenhuis gaat, niet moet piepen dat er slordig met de gegevens omgegaan wordt. Ik zie dat anders. Wie omgaat met persoonsgegevens mag best de moeite nemen om er zorgvuldig mee om te gaan.

Als ik in een spreekkamertje gezet wordt om op de arts te wachten, en ik kan daar ik alle gesprekken volgen die de assistentes telefonisch doen en met elkaar, en ze doen pas de deur goed dicht als het over iets gaat dat henzelf aan gaat (roddeltje over het werk), dan hebben ze dus wel een idee van privacy alleen gunnen ze dat de patienten niet.

In de zorg zie ik wel vaker een schrijnend gebrek aan gevoel voor privacy van de patiënten en het personeel gaat met de eigen privacy toch echt anders om (zelf doen ze het toilet wel op slot, bv.). Dus het ontbreekt niet aan gevoel voor privacy maar aan besef dat patienten ook mensen zijn net als zijzelf. De beste oplossing daarvoor is natuurlijk om het personeel, zeker ook het administratief personeel, een dagje in operatiehemdje door het ziekenhuis te rijden en te behandelen zoals patienten behandeld worden. Het gaat vaak maar om kleine dingen, telefoon in de wacht zetten en niet gewoon laten liggen op meeluisterstand, deur dicht ipv op een kier, niet zomaar binnenwandelen, dossiers niet open en bloot laten liggen, scherm locken, fatsoenlijke wachtwoorden gebruiken. Gewoon, een ander behandelen zoals je zelf behandeld zou willen worden.
17-02-2016, 21:45 door karma4
Door Anoniem: @karma4:
Je suggereert nu (in mijn ogen althans) dat wie naar het ziekenhuis gaat, niet moet piepen dat er slordig met de gegevens omgegaan wordt. Ik zie dat anders. Wie omgaat met persoonsgegevens mag best de moeite nemen om er zorgvuldig mee om te gaan.
Daar zit je volledig fout. lees mijn reacties maar eens terug. Ik vind dat er op een correcte manier met de beveiliging (ICT) conform richtlijnen en dat nog wat beter om gegaan moet worden. De bestuurders kunnen zich nu te gemakkelijk verbergen achter dat alles te moeiijk en te complex is om goed te doen. Dus doen maar niets.

Wat ze (die bestuurders) met dat wegkijken helpt is alle ongein op forums zoals hier:
- blijven steken in OS-flamings
- moeilijk blijven doen om op zich eenvoudigere modellering van verantwoordelijken en taken. (IAM Siem etc)
- doorschieten in aluhoedjes gedoe waarvan je kan verwachten dat gezien wordt dat het onrealistisch is.

Denk je nu echt dat de persoonljke aanwezigheid in een spreekkamer het grootste issue is? http://www.hcpro.com/SAF-45485-858/Use-discretion-in-the-waiting-room.html De toegang tot alle data ligt op een andere wijze geheel bloot. Daar moet wat aan gebeuren. De medische behandelingen zijn over het algemeen een inbreuk op je privacy dus jij stelt voor om met zorg / medische zaken te stoppen? Met zo'n vraag zie je hopelijk het onrealistische / niet werkbare in.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.