Nieuws

Minister: ziekenhuizen moeten inzage in patiëntendossiers op misbruik controleren

vrijdag 22 januari 2021, 10:30 door Redactie, 13 reacties

Ziekenhuizen moeten periodiek controleren of de inzage in de dossiers van patiënten door personeel wel terecht is. Ook moet elke inzage worden gelogd, aldus minister Van Ark voor Medische Zorg. De minister reageerde op een datalek bij het Brabantse ziekenhuis Bravis. Daar kon een secretaresse jarenlang onopgemerkt in de dossiers van patiënten grasduinen. Normaliter mogen dossiers alleen worden bekeken door ziekenhuismedewerkers die hier toegangsrechten voor hebben.

Het ziekenhuissysteem van Bravis is voorzien van een noodprocedure zodat personeel zonder autorisatie in spoedgevallen toch de medische dossiers kan openen. Het systeem laat aan onbevoegde gebruikers wel een waarschuwing zien, maar die is gewoon weg te klikken. Het datalek werd niet door het ziekenhuis ontdekt, maar door de vrouw van wie het medisch dossier 347 keer door de secretaresse werd ingezien.

"De beveiliging van medische dossiers, waaronder de noodprocedures om dossiers in te kunnen zien, is de verantwoordelijkheid van de zorgaanbieders en de regels zijn streng en duidelijk. Een zorgaanbieder dient van iedere inzage logging te bewaren en deze periodiek te controleren op eventueel misbruik", reageert Van Ark op een vraag van VVD-Kamerlid Veldman.

Het ziekenhuis bevestigde het datalek tegenover de minister en liet weten dat het bezig was om de beveiliging te verbeteren, onder andere door inzet van nieuwe systemen die hiervoor meer mogelijkheden bieden. Daarnaast laat het ziekenhuis haar informatiebeveiliging en privacybescherming dit jaar door deskundigen testen. Ook neemt het Bravis ziekenhuis deel aan een landelijk programma waarbij alle Nederlandse ziekenhuizen zich dit jaar laten auditen op de toegangsbeveiliging van digitale patiëntendossiers.

"Onrechtmatige inzage in een medisch dossier vind ik onaanvaardbaar. Alleen personen die direct betrokken zijn bij de behandelovereenkomst mogen het patiëntendossier inzien", voegt Van Ark toe. De minister zegt het belangrijk te vinden dat mensen de regie hebben over hun gegevens. Door middel van elektronische gegevensuitwisseling tussen zorgverleners wil ze dat burgers toestemming kunnen geven om hun eigen patiëntgegevens beschikbaar te maken.

Google indexeert bij phishingaanval gestolen inloggegevens

Nieuwsuur: privédata van duizenden op corona geteste personen slecht beveiligd

Reacties (13)

22-01-2021, 10:41 door Anoniem

Dit zijn dure datalekken, overigens is een "breaking the glass" procedure voor toegang in noodgevallen prima en ook technisch te regelen, en ja die moet je kunnen wegklikken en dan moet er ergens een alert afgaan zodat dat dit achteraf gecontroleerd kan worden. Als iemand 347 keer een dossier heeft ingezien zou je kunnen concluderen dat de logging wel gewerkt heeft. Maar ja, als je logt moet je die ook periodiek controleren en daar ook beleid over hebben gemaakt. Als managers van ziekenhuizen het Hage ziekenhuis rapport van de AP niet gelezen hebben (waar dit ook gebeurde) en ook geen actie ondernemen dan blijft dit problematisch.

die secretaresse moet bijna wel geweten hebben dat ze de regels overtrad, als dat zo is, dan moet ze ontslagen worden

22-01-2021, 10:46 door Anoniem

Het is al een aantal jaar geleden dat ik in de polikliniek moest zijn voor een kleine behandeling. Wat mij echter opviel is dat alle machines gewoon op het netwerk waren ingelogd. Degenen (meervoud) die mij behandelden hoefden dus niet apart in te loggen. Ook werd ik enige tijd alleen gelaten in de behandelkamer. Ik hoef hier niet te vertellen wat ik allemaal had kunnen doen op het netwerk. Het bewustzijn was niet laag te noemen, het was gewoon totaal afwezig.

Als er iemand toen een stukje malware op het netwerk had gezet, dan was de R beduidend hoger dan de R van de Britse Covid19 variant. Ik hoop dat de situatie inmiddels veranderd is.

22-01-2021, 10:47 door Anoniem

Leuk, mevrouw van Ark.

Dan heb je achteraf in de gaten dat het misbruikt is.
En dan? Het blijft informatie. Informatie kun je niet terug halen. Dat is inherent aan informatie.
De dossiers zijn veel en veel te toegankelijk. ALS het dan zo nodig digitaal moet, DAN zou het zo moeten zijn dat de patiënt een drager heeft, noem het een USB stick (jammer dat die alleen te onbetrouwbaar zijn) waar het spulletje op staat. Alleen dan is de data bij de eigenaar en niet ergens in een ziekenhuis (of bij een arts...) waarvan je maar moet hopen dat er alleen maar naar gekeken wordt als je er toestemming voor geeft.

22-01-2021, 10:55 door Anoniem

Leuk dat dit nu zo gebracht wordt, maar dit is al gewoon onderdeel van de huidige wet- en regelgevingen.

Voor de zorgprocessen is dit noodzakelijk, vantevoren vaststellen of er een behandelrelatie is, is in erg veel gevallen simpelweg niet mogelijk. Wel moet er gedegen controle zijn op dit soort "breaking the glass": er moet worden nagezocht of de reden die opgegeven was al dan niet valide was, en zo niet dan horen daar consequenties aan te hangen.

Ook neemt het Bravis ziekenhuis deel aan een landelijk programma waarbij alle Nederlandse ziekenhuizen zich dit jaar laten auditen op de toegangsbeveiliging van digitale patiëntendossiers.

Ik gok dat het hier gaat om de "Gedragslijn Toegangsbeveiliging digitale patiëntdossiers", wat een afgeleide is van de "NEN7510 - Informatiebeveiliging in de zorg".

En water is nat. Voor centraal vastgelegde toestemmingsregistratie bestaat een separaat programma: [url=https://www.programma-otv.nl/]Mitz[/url]. Hier kan worden vastgelegd of gegevens wel of niet uitgewisseld mogen worden. Een zorgverlener kan in dit register kijken om te zien of zij al dan niet gegevens naar een andere partij mag sturen. Bij een negatief of missende toestemming (het resultaat van de aanvraag is in beide gevallen gelijk), moet dit per geval met de patient besproken worden.

22-01-2021, 11:34 door Anoniem

Als het kalf verdronken is ....

Nog snel voor de verkiezingen een wit voetje bij de kiezers proberen te halen.
De afgelopen 4 jaar is er niets aan gedaan door dit kabinet. Waar waren ze toen?

22-01-2021, 11:37 door Anoniem

Het medisch dossier is eigendom van de patient. Niet van een ziekenhuis.
Dus eigenlijk zou de patient (of iemand of een instantie die de patient daartoe heeft gemachtigd) moeten bepalen
wie er wanneer toegang heeft.

22-01-2021, 11:57 door Anoniem

Door Anoniem: Leuk, mevrouw van Ark.

Dan heb je achteraf in de gaten dat het misbruikt is.
En dan? Het blijft informatie. Informatie kun je niet terug halen. Dat is inherent aan informatie.
De dossiers zijn veel en veel te toegankelijk. ALS het dan zo nodig digitaal moet, DAN zou het zo moeten zijn dat de patiënt een drager heeft, noem het een USB stick (jammer dat die alleen te onbetrouwbaar zijn) waar het spulletje op staat. Alleen dan is de data bij de eigenaar en niet ergens in een ziekenhuis (of bij een arts...) waarvan je maar moet hopen dat er alleen maar naar gekeken wordt als je er toestemming voor geeft.

Leuk, meneer/mevrouw de anonieme internet reageerder. Echter, dit is ab-so-luut onmogelijk. De patient de verantwoordelijkheid geven over al zijn/haar medische gegevens is niet te doen, daar zijn mensen simpelweg niet secuur genoeg voor. Ga voor de gein eens na hoeveel mensen op jaarbasis hun DigiD logins vergeten (omdat ze maar 1 keer per jaar gebruikt worden voor hun aangifte inkomstenbelasting), en denk dan eens verder hoe mensen voor langere tijd hun medische geschiedenis bij zich moeten houden. Verder hebben zorgverleners in het kader van de WGBO de verplichting om gegevens omtrend de behandeling 20 jaar te bewaren.

22-01-2021, 13:22 door [Account Verwijderd] - Bijgewerkt: 22-01-2021, 13:25

@ Anoniem,

In aanvulling op de post hierboven van 11:57 uur:

Het is dan wel arbitrair noodzakelijk die USB stick altijd bij je- of bij de hand te hebben. Het is je enige levensverzekering dat niets over het hoofd gezien wordt bij medische (spoed) behandeling.

Bijvoorbeeld:
Als jij je huisarts nog net weet te bellen over een kwaal die je plotseling hebt: een verscheurende pijn op de borst (iedereen weet waar dat in 95 % van de gevallen om draait: hartfalen) Heb jij dan nog genoeg puf om de huisarts de gelegenheid te geven middels jouw USB stick, de ambulance die wordt opgeroepen en met gillende sirene en blauwe flistlichten naar jouw locatie komt aanrazen te voorzien van jouw medisch noodzakelijke dossier?

NEEN.

In de jaren 80 van de vorige eeuw kwam het nog voor dat dossiers werden meegegeven met clienten/patienten. Daar is men vanaf gestapt omdat die vaak lijvige papieren dossiers, ook vaak voorzien van röntgenfoto's, nogaleens niet voorhanden waren als het erop aan kwam, door (deels) zoek raken tengevolge van het heen en weer gesleep van de ene zorglocatie naar de andere.

Nu spreek jij over een USB stick. een miniscuul klein ding i.t.t. grote dossiers op papier.
Ik houd mijn hart vast!

NEEN @ anoniem, wat jij voorstelt. A.U.B. nooit meer!
Voornoemde, letterlijk: ellende van zoekrakende onvolledige dossiers hebben wij sinds de jaren tachtig vorige eeuw achter ons. Tot groot wederzijds voordeel en geluk m.n. voor de client/patient.

22-01-2021, 14:34 door Anoniem

ach, nog steeds dat 'als er spoed is onzin argument'...

alsof een ambulance medewerker gaat achterhalen wie jij bent, jouw sofi nummer gaat achterhalen, dan gaat in loggen en ondertussen roept 'sorry mevrouw, 4g is hier wat traag en 5g mochten we niet hebben'... heeft u nog even voordat ik inlog??

onzin

22-01-2021, 16:56 door Anoniem

Door Anoniem: Het medisch dossier is eigendom van de patient. Niet van een ziekenhuis.
Dus eigenlijk zou de patient (of iemand of een instantie die de patient daartoe heeft gemachtigd) moeten bepalen
wie er wanneer toegang heeft.

In Finland werd mij door een arts gevraagd of hij mijn medische-data mocht inzien. Had gebroken pols en was verbaasd over die vraag. Het blijkt dus wel te bestaan.

22-01-2021, 18:04 door Erik van Straten

Door Anoniem: Het medisch dossier is eigendom van de patient.

Nee hoor, althans, niet volgens Ron Roozendaal (Directeur Informatiebeleid en CIO, Ministerie van VWS), zie https://www.ronroozendaal.nl/blog/2017/10/eigenaarschap-van-gegevens-bestaat-niet.

22-01-2021, 19:21 door Anoniem

Door Anoniem: Leuk, mevrouw van Ark.

DAN zou het zo moeten zijn dat de patiënt een drager heeft, noem het een USB stick (jammer dat die alleen te onbetrouwbaar zijn) waar het spulletje op staat. Alleen dan is de data bij de eigenaar en niet ergens in een ziekenhuis (of bij een arts...) waarvan je maar moet hopen dat er alleen maar naar gekeken wordt als je er toestemming voor geeft.

Dit wordt een Persoonlijk Gezondheidsomgeving genoemd, de PGO.

24-01-2021, 12:38 door [Account Verwijderd]

Door Anoniem: ach, nog steeds dat 'als er spoed is onzin argument'...

alsof een ambulance medewerker gaat achterhalen wie jij bent, jouw sofi nummer gaat achterhalen, dan gaat in loggen en ondertussen roept 'sorry mevrouw, 4g is hier wat traag en 5g mochten we niet hebben'... heeft u nog even voordat ik inlog??

onzin

Neem jij straks maar die USB-stick met verjaardagsfilmpjes of misschien - oei oei - pornofilmpjes mee naar de huisarts als je daar moet zijn voor een consult, maar kom niet met onzin argumenten tegen een dossierbeheer zoals dat door de basiszorg of gespecialiseerde zorg met 100% gegrond- en gerechtvaardigd gevoel voor jou welzijn, dus 100% ten voordele van een efficiënte en patiëntgerichte aanpak wordt gehanteerd.

Dat je weinig tot niets op de hoogte bent van hoe de gang van zaken is in bijvoorbeeld een huisartsenpraktijk bij een door je aangevraagd consult wordt optimaal getoond door jouw het al dertig jaar achterhaalde idee de patient gegevens bij een patiënt te willen laten.

Stof tot nadenken beste anoniem is voorbereidingstijd.
Iedereen in de zorg neemt voorbereidingstijd. Zij nemen gegevens van patiënten door vóór de afspraak (Net zoals iedereen anders waarmee jij een zakelijke afspraak maakt)

Denk je nu écht dat in het geval van - ander voorbeeld - een gerechtelijke procedure een advocaat die jou bijstaat het mogelijk acht doelgericht je zaak te behandelen als jij binnenkomt met een stapel papier, oh pardon: USB- stick met pornofilmpjes....... die hij/zij éérst moet gaan doorspitten alvorens deze ook maar één zinng woord kan uitbrengen m.b.t. jouw problematiek? Of denk je dat jij zijn of haar enige cliënt bent... Hm?

Hoe heb je dat toch allemaal niet zelf kunnen bedenken, is het niet?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer