Nieuws

Overheid komt met bewaartermijn loggegevens medische dossiers

donderdag 3 januari 2019, 12:06 door Redactie, 13 reacties

Laatst bijgewerkt: 03-01-2019, 14:20

De overheid en de Autoriteit Persoonsgegevens komen in de eerste helft van dit jaar met een bewaartermijn voor de loggegevens van medische dossiers. Via de loggegevens kan worden gezien wanneer iemand een medisch dossier van een patiënt heeft opgevraagd.

De Autoriteit Persoonsgegevens stelt dat zorginstellingen de loggegevens moeten opslaan zolang dat nodig is in het belang van de patiënt. Ziekenhuizen blijken dit echter verschillend te interpreteren. Bij het HagaZiekenhuis in Den Haag kunnen patiënten de loggegevens tot maximaal twee jaar terug opvragen, terwijl het Maastricht UMC+ de data onbeperkt opslaat, zo meldt Trouw.

Het ministerie van Volksgezondheid wilde dat zorginstellingen uiterlijk afgelopen zomer met een richtlijn zouden komen, maar die is er nog altijd niet. Daarom hebben het ministerie en de Autoriteit Persoonsgegevens (AP) besloten om nu zelf regels op te stellen die in de eerste helft van dit jaar gereed zouden moeten zijn. De Autoriteit Persoonsgegevens noemt een bewaartermijn van minimaal vijftien jaar, net zoals voor medische dossiers geldt. Vanuit het ministerie werd eerder al gesteld dat dit vanwege de grote hoeveelheid data op praktische bezwaren kan stuiten.

"Omdat een bewaartermijn van 15 jaar voor loggegevens gelet op de bulk aan data die dat oplevert op praktische bezwaren kan stuiten wordt het onderling overeen komen van een redelijke bewaartermijn voor loggegevens hier aan de zorgaanbieders verplicht gesteld", zo liet minister Bruins voor Medische Zorg eind 2017 weten (pdf).

Loggegevens spelen een belangrijke rol om onterechte inzage in medische dossiers vast te stellen. Vorig jaar maakte het HagaZiekenhuis bekend dat het via loggegevens had achterhaald dat 85 medewerkers onrechtmatig het medische dossier van Samantha de Jong hadden ingezien, beter bekend als Barbie.

Hostingprovider Data Resolution getroffen door ransomware

Hacker speelt video af op publiek toegankelijke Chromecasts

Reacties (13)

03-01-2019, 13:15 door Anoniem

Vanuit het ministerie werd eerder al gesteld dat dit vanwege de grote hoeveelheid data op praktische bezwaren kan stuiten.

Wat, het zijn logregels. Dossier, datum+tijd, inziener. Hoezo is dit gemiddeld meer dan een handvol per dossier per jaar, over die vijftien jaar?

Veel vervelender vind ik dat als je eenmaal in een ziekenhuis geweest ben dat dan nog minstens vijftien jaar je dossier daar blijft hangen. Geeft mij mijn dossier (plus toegangslogs, natuurlijk) dan maar mee dan pas ik er zelf wel op.

03-01-2019, 14:12 door buttonius

Vanuit het ministerie werd eerder al gesteld dat dit vanwege de grote hoeveelheid data op praktische bezwaren kan stuiten.

Kunnen ze nu echt niet rekenen bij onze ministeries?
Voor het loggen van een inzage moet je vastleggen:
- Personeelsnummer (o.i.d.) van de persoon die inzage deed
- Time stamp
- Nummer van het dossier dat ingezien is
Plus (pak 'm beet 200%) database overhead moet dat toch wel in 50 bytes per inzage kunnen.

Bij modificaties zul je daarnaast ook moeten aangeven wat er gemodificeerd, toegevoegd, of verwijderd werd (maar dat was altijd al zo; dus dat is geen nieuwe overhead).

Nu heb ik geen erg nauwkeurig gevoel hoeveel medische dossiers op een gemiddelde dag worden ingezien, maar ik denk dat we met een gemiddelde van 1 dossier-inzage per Nederlander per dag wel de juiste orde van grootte hebben (de meeste medische dossiers worden op een willekeurige dag 0x ingezien).
Dan krijg je dus iets van 20 miljoen (17 miljoen Nederlanders en 3 miljoen buitenlanders) inzage records per kalenderdag voor heel Nederland. Als elke inzage inderdaad 50 bytes kost om te loggen; hebben we 1 GByte per dag nodig. Dat kost voor heel Nederland voor 15 jaar 5.5 TByte; past dus op een flinke hard disk en, voor alle dossiers van een heel groot ziekenhuis op een memory stick van een paar tientjes. (Al is dit natuurlijk iets wat je niet op removable media moet opslaan.)

03-01-2019, 14:13 door [Account Verwijderd]

Vanuit het ministerie werd eerder al gesteld dat dit vanwege de grote hoeveelheid data op praktische bezwaren kan stuiten.

Dat moeten wij geloven? Een overheid die niet weet waar ze de containers met HDD's vandaan moet halen voor big data, is niet geinteresseerd in een log van een paar k per persoon? Ik zie geen enkele rede om dat minstens net zo lang op te slaan als dat dosier bestaat.

Zoals gewoonlijk stinkt het weer. Maar dat hoort tegenwoordig bij bijna alles wat de overheid doet.

03-01-2019, 14:29 door Anoniem

Goed initatief

Ik vind zelf 15 jaar een beetje lang voor loggen toegang dossiers.

5-7 jaar zou ik ruim voldoende vinden.

15 jaar is te ver terug in de tijd

03-01-2019, 15:38 door Anoniem

Tja zo krijg je weer dat je verzekeraar na kan gaan wat je onder de leden hebt. de zorgverzekeraar gaat het niks aan vind ik wat je onder de leden hebt. Dat is tussen de behandelend artsen en jij. Jij betaalt je premie en daarvan wordt vergoed wat er gedeclareerd wordt tot op zekere hoogte. Tot het maximum van de vergoeding bereikt is. Meer over iemands toestand hoeft een verzekeraar niet te weten.

03-01-2019, 15:43 door Anoniem

Er is geen enkele valide reden om de bewaartijd van logs te beperken. Bij rechtszaken bijvoorbeeld kan het zo zijn dat door vertragingen al snel vele jaren later is. Ook na de dood van een patient kan het van belang zijn wie wat gedaan heeft.

03-01-2019, 16:21 door Anoniem

Door Anoniem: Er is geen enkele valide reden om de bewaartijd van logs te beperken.

Toch wel. De gegevens zijn uiteindelijk op personen terug te voeren, dus daar mag best een soort van rem op, op een gegeven moment wordt de kans dat je er nog iets aan hebt wel heel erg klein, en helemaal gratis is opslaan nooit dus je betaalt er wel iets voor.

Bij rechtszaken bijvoorbeeld kan het zo zijn dat door vertragingen al snel vele jaren later is.

Ten eerste is dat waarom je bewijs zekerstelt en daar gelden dan weer andere termijnen voor, en ten tweede is er het medische beroepsgeheim: Er mag niet zomaar in medische dossiers gegrasduint worden ook al zou justitie dat wel makkelijk vinden. Die dossiers bestaan primair ten behoeve van de behandeling van de patient, en erg veel rek zit daar niet in. Hoezeer andere partijen toch zo graag ook in zouden willen mogen kijken.

Ook na de dood van een patient kan het van belang zijn wie wat gedaan heeft.

Maar "mischien eventueel mogelijk" wordt wel een heel slappe reden om nog te willen bewaren.

03-01-2019, 17:20 door karma4

Door Rexodus:
Dat moeten wij geloven? Een overheid die niet weet waar ze de containers met HDD's vandaan moet halen voor big data, is niet geinteresseerd in een log van een paar k per persoon? Ik zie geen enkele rede om dat minstens net zo lang op te slaan als dat dosier bestaat.

Zoals gewoonlijk stinkt het weer. Maar dat hoort tegenwoordig bij bijna alles wat de overheid doet.

En waar heb jij dat soort informatie vandaan? Je duim waarschijnlijk. Je kunt die ook gebruiken om niets te hoeven zeggen.

03-01-2019, 17:30 door karma4 - Bijgewerkt: 03-01-2019, 17:31

Door Anoniem:
Toch wel. De gegevens zijn uiteindelijk op personen terug te voeren, dus daar mag best een soort van rem op, op een gegeven moment wordt de kans dat je er nog iets aan hebt wel heel erg klein, en helemaal gratis is opslaan nooit dus je betaalt er wel iets voor.
...

Jij begrijpt wat er in de GDPR staat en waar hij voor bedoeld is.
Het AP gaat weer eens faliekant de fout in.

Wat is het doel van die Logging?
Zijn er geen andere minder ingrijpende methodes.
Monitoring wat wie ingeven heeft zou na 3 of 6 maanden al buitenproportioneel zijn. De dienstrooster werkzaamheden en oorspronkelijke planningen horen er bij.
Een log vaat soort acties is gewoonlijk na een week groter in omvang dan de oorspronkelijke database. Dat is de ervaring opgedaan met Logging opties bij een database en de analyse er op.

Een bn-er als Barbie moet keuzes maken. Of buiten het nieuws blijven maar dan ook geheel, dan wel accepteren dat roddelbladen nieuwtjes exploiteren.

03-01-2019, 19:02 door Anoniem

"Omdat een bewaartermijn van 15 jaar voor loggegevens gelet op de bulk aan data die dat oplevert..."

Als ze in ziekenhuizen eerst eens zorgvuldig met patienten praten en verstandige vragen stellen (anamnese) voordat ze iets doen (geen onzinbehandelingen) kan dat dossier gemakkelijk 5x kleiner zijn.
Maar zieke patient levert geld op dus...
Toen ik apparatuur repareerde kwam de fout ook wel eens terug,
maar klant had recht op gratis rerepair als dezelfde klacht zich spontaan binnen een half jaar nog eens zou voordoen,
of een andere klacht die duidelijk gerelateerd is aan de vorige reparatie.
Zoiets lijkt me ook wel wat voor in de zorg.
Want man man man wat wordt daar met patienten gezeuld. (de betere zorgverleners buiten beschouwing gelaten)

03-01-2019, 20:04 door karma4

Door Anoniem: ....
Toen ik apparatuur repareerde kwam de fout ook wel eens terug,
maar klant had recht op gratis rerepair als dezelfde klacht zich spontaan binnen een half jaar nog eens zou voordoen,
of een andere klacht die duidelijk gerelateerd is aan de vorige reparatie.
...

Laten we dezelfde eisen stellen. Kassabon bewakjngscamerabeelden van de afrekening bestelgegevens serienummers en klant naw gegevens de telefoongesptekken opnamen ook verplicht 15 jaar bewaren. Je weet nooit of ds klant nog problemen zou kunnen ervaren. Elk bewijs bewaren voor de eeuwigheid want je weet het nooit.

04-01-2019, 11:21 door [Account Verwijderd]

Door karma4:

En waar heb jij dat soort informatie vandaan? Je duim waarschijnlijk. Je kunt die ook gebruiken om niets te hoeven zeggen.

Mhoooo, zegt de koe. Wedstrijdje "kop diep in het zand" aan het spelen?

Doe verder geen moeite te reageren.

07-01-2019, 11:26 door Anoniem

Door Anoniem: Tja zo krijg je weer dat je verzekeraar na kan gaan wat je onder de leden hebt. de zorgverzekeraar gaat het niks aan vind ik wat je onder de leden hebt. Dat is tussen de behandelend artsen en jij. Jij betaalt je premie en daarvan wordt vergoed wat er gedeclareerd wordt tot op zekere hoogte. Tot het maximum van de vergoeding bereikt is. Meer over iemands toestand hoeft een verzekeraar niet te weten.

Het gaat hier om de loggegevens. Dat is iets anders dan je dossier ... maar de verzekeraar heeft wel degelijk een reden om naar de inhoud van je behandeling te kijken want zij hebben ook de taak fraude tegen te gaan cq de kosten laag te houden. En er wordt wat gefraudeerd hoor, zeker ook bij de zorgverleners (ze zijn immers nu commercieel)! Moet u bij de wetgever / toezichthouder zijn als u het daar niet mee eens bent. ..

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer