Ziekenhuizen en zorgpersoneel weten dat ze patiëntgegevens goed moeten beveiligen, maar in de praktijk staan de vertrouwelijkheid en de beschikbaarheid van gegevens soms op gespannen voet met elkaar. Dat blijkt uit onderzoek van PBLQ naar de beveiliging van patiëntgegevens in Nederland (pdf).
Vanwege een aantal incidenten met patiëntgegevens in zorginstellingen liet minister Schippers van Volksgezondheid de Tweede Kamer eerder dit jaar weten dat er een onafhankelijk onderzoek zou worden uitgevoerd. Het onderzoek zou kijken naar de manier waarop zorginstellingen in de dagelijkse praktijk omgaan met de beveiliging van hun patiëntgegevens en hoe hierin verbetering kan worden aangebracht.
Volgens de onderzoekers wordt de externe omgeving van zorginstellingen door de vergevorderde digitalisering van patiëntendossiers, de vlucht van eHealth, gezondheidsapps, big data en de toename van cyberdreigingen steeds complexer, alsook door wijzigingen in het zorgdomein zelf, zoals de decentralisaties. "Steeds meer (digitale) patiëntgegevens worden verwerkt en steeds meer daarvan worden c.q. moeten worden verwerkt buiten de kring van rechtstreeks bij de behandeling betrokkenen, als gevolg waarvan de risico’s op incidenten met patiëntgegevens toenemen."
De onderzoekers melden dat de wil en het besef dat patiëntgegevens moeten worden beschermd bij zorginstellingen aanwezig is. Bovendien wordt de aandacht voor de beveiliging van patiëntgegevens extra gestimuleerd door onder andere de meldplicht datalekken en de toename van cyberdreigingen zoals ransomware. In de praktijk staan de vertrouwelijkheid en de beschikbaarheid van gegevens soms op gespannen voet met elkaar, merken de onderzoekers op.
Ze stellen dat het in meer situaties technisch en organisatorisch mogelijk is dan nu het geval is om privacymaatregelen te treffen die ook een positief effect op de zorgverlening hebben. In veel gevallen zijn de kosten daarvan echter relatief hoog. Een voorbeeld is het gebruik van authenticatie met behulp van een toegangspas die tevens uitlogt als de werkplek wordt verlaten en automatisch inlogt in iedere volgende werkplek.
Het onderzoek pleit dan ook voor eenduidige en goed hanteerbare handvatten voor informatiebeveiliging en privacybescherming in de dagelijkse praktijk, "Incidenten zijn niet te voorkomen omdat waterdichte beveiliging feitelijk niet mogelijk is, maar het gaat erom dat er wordt geleerd en dat de informatiebeveiliging en privacybescherming continu worden verbeterd."
Verder laat het onderzoek zien dat er over het algemeen genomen voldoende wet- en regelgeving ten aanzien van het werken met patiëntgegevens is, maar die wetgeving vooral complex is en daardoor soms onduidelijk in de zorgpraktijk. Er is dan ook vooral behoefte aan het begrijpelijker maken van wet- en regelgeving en het vertalen ervan naar basisprincipes en concrete handvatten voor de praktijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.