En dan is het goed om te weten dat medische gegevens in de categorie Bijzondere Persoonsgegevens vallen.

Daar moet extra goed voor gezorgd (!) worden...

https://privacyzeker.nl/avg-privacy-kennisbank/wat-zijn-bijzondere-persoonsgegevens/

Dus ondanks de veronderstelde hoge werkdruk in de zorg hebben zorgmedewerkers nog wel tijd om ongeoorloofd in dossiers rond te snuffelen?

Misschien is de wetgeving en de privacy wel een beetje doorgeschoten...

Openstaande schermen, verkeerd bezorgde mail en personeel dat in data kijkt waar ze eigenlijk niets te zoeken hebben is een mentaliteitsprobleem, dat meestal op te lossen door juiste instructies.

Datalekken door chatbot dat is gewoon te debiel voor woorden, waarom heeft een chatbot toegang tot patient data?
Welke onkundige ontwikkelaar heeft dat in elkaar geknutseld?

Dan is een archiefkast in de dokterspraktijk voor de patiënt toch een stuk veiliger. Vooral als die per huisarts is. Tegen "nieuwsgierigheid" van de de directe assistenten van een behandelend arts valt natuurlijk heel weinig uit te richten, maar zelfs voor hun wordt het moeilijker als er sociale controle is in de fysieke ruimte zelf.

Ga naar chatgpt.com --> voer gevoelige informatie in --> chatbot, in dit geval ChatGPT, heeft patiëntendata.

Niet zo moeilijk, ook niet voor de 'meest debiele' in het werkveld. Oplossing: totale blokkade van alles qua AI, m.u.v. toegestane bots

Zorginstellingen nemen de bescherming serieus, medewerkers krijgen het te horen in hun training. Zo af en toe wordt er een te nieuwsgierige zorgmedewerker ontslagen.
(Ja, het verhaal van het verdronken kalf.)

Daarom is dataminimalisatie zo belangrijk. Wat er niet in staat kan ook niet gedeeld worden.
En wat niet met andere systemen is gekoppeld kan minder snel weglekken.

Laat de politiek eens naar de digitale verslavingszorg gaan... afkicken is echt nodig.
Ik zorg met liefde voor de verwerking van hun gegevens in een EPD.

Zorgmedewerkers die hun nieuwsgierigheid niet kunnen bedwingen en de dossiers inzien van bekende personen, familieleden, en ex'en zijn gewoon onrechtmatig in vertrouwelijke gegevens aan het kijken. Dat heeft niets te maken met doorgeschoten wetgeving en privacy, dat is gewoon onrechtmatig dossiers inzien. Dit was vroeger ook al not-done, alleen toen was het niet inzichtelijk. Als iemand in een papieren dossier kijkt kan je dat gewoon moeilijk controleren, maar het blijft even fout.

Gevoelige data in chatgpt plakken heeft ook niets te maken met wetgeving die is doorgeschoten, dat is gewoon stom; medewerkers moeten begrijpen dat dat niet de bedoeling is.

Email naar de verkeerde personen sturen is gewoon onzorgvuldig handelen, ook dat heeft niets te maken met doorgeschoten wetgeving. Als "vroeger" iemand medische post per abuis verkeerd adresseerde was dat ook al onzorgvuldig; dat de wetgeving omtrent privacy en de omgang met persoonsgegevens is aangecherpt doet daar niets aan af.

Als een zorgmedewerker zijn of haar scherm niet lockt, is dat ook gewoon onzorgvuldig. Iedereen weet, of behoort te weten, dat je je computer niet onbeheerd en unlocked achter laat. Dat is gewoon onzorgvuldig handelen en ook dit heeft niets te maken met doorgeschoten wetgeving.

Cybersecurity Dreigingsbeeld voor de zorg 2024

Incidenten en impact

De onderstaande tabel geeft de mate aan waarin een bepaald type dreiging plaatsvond:

https://z-cert.nl/actueel/nieuws/dreigingsbeeld2024

Nee dus. Vandaar dat het Z-CERT aan de bel trekt.

Gisteren bezig geweest met Leo AI welke in de Brave browser zit. Tijdens het stellen van vragen aan Leo werd mij heel duidelijk dat Leo mijn scherminhoud heeft ingezien omdat ik antwoord kreeg van Leo op de gestelde vraag die echter gerelateerd was aan wat op mijn scherm stond maar totaal niets met de vraagstelling te maken had.

Veel succes met AI en je privacy.

Iets met een put en een kalf. Kortom: mosterd na de maaltijd. Informatie haal je nou eenmaal niet terug.

Met een hedendaagse firewall kan je AI categorieen blokkeren dus zorg, doe dat dan ook!!

En dat hele inzage verhaal, daar kon je je klok op gelijk zetten. Daarom wil ik ook geen EPD. Jammer dat dit verplicht is... :/ (de overheid heeft mijn medische gegevens bewust en gedwongen in gevaar gebracht naar mijn mening)

Wellicht 5 jaar cel als straf erop en elk persoon met inloggegevens een open vragen toets op de regels te laten maken om te voorkomen dat ze ongelezen de regels aftekenen.

Elon's versnipperaar lenen? :-)

Er zijn hele volksstammen (niet alleen zorgmedewerkers) die dit "behoren te weten", maar het toch niet doen.
Want ICT en privacy-bescherming zijn niet hun "core business".
Ze zijn afgeleidt, moeten hoog nodig ergens naar toe, interesseert het gewoon geen biet.
Zelfs ICT-gerelateerd personeel zie ik dit nog regelmatig verkeerd doen. Ook al wijs je ze er regelmatig op.


Soms (heel soms) denk ik dat het beter is om iedereen een onderhuidse chip te geven, en als die ver genoeg van hun apparaat (of apparaten) verwijderd is, dat het apparaat dan automatisch op slot gaat.

Wat weer leuke effecten in bv een presentatie kan hebben. :-)
En andere effecten mbt criminele activiteiten. :-(

Zorgmensen kijken heel anders aan tegen privacy. Die stellen zorg en gezondheid meestal boven privacy (en al het andere) en vinden het dus ook niet raar om in andermans dossiers te kijken.

Heel onlogisch is het ook niet, want als je schema ineens verandert omdat een collega er een keer niet is moet je ook weten wat er met een persoon aan de hand is. Juridisch is het grijze gebied maar wat klein. Echter, nieuwsgierigheid naar andermans ellende is nu eenmaal een onderdeel van het zorgvak, een soort beroepsdeformatie. En lezen mensen het niet in dossiers dan wordt er wel geroddeld op de wandelgangen en in de koffiekamer.

Het voordeel van digitale systemen is dat je het eenvoudig in kaart kunt brengen welke medewerkers zich daar mee bezigen.
Maar hoe je het oplost? Er is al te weinig zorgpersoneel omdat er enorm wordt neergegeken op onze 'helden in Coronatijd', ontslaan helpt ook niet. Wie weet hoe het wel moet mag het zeggen.

Afnemen big registratie voor 6 maanden bij eerste poging, en oplopende tijden bij herhaling.

Zonder big registratie geen toegang...
Dan hebben chatbots ook geen toegang. Dus hoe kan een dergelijke overtreding begaan worden?
Big houder is verantwoordelijk. Dus ook gebruik namens...

Indien nofig dan bv toeganing koppelen aan MFA metbbv fido / webauthn sleutel.

Mijn indruk is dat er verschillende stromingen zijn in de zorg. Er zijn medici en andere zorgverleners die hun beroepsgeheim en hun beroepseed heel serieus nemen. Denk bijvoorbeeld aan de rechtszaak die de door zorgverleners opgerichte stichting "Vertrouwen in de GGZ" momenteel voert tegen het datagraaien van de NZa. Er zijn ook zorverleners die het belang van privacy wegwuiven en hun beroepsgeheim bijna continu schenden. Dat kan omdat ze in Nederland niet tot de orde worden geroepen.

Het idee dat goede "zorg" en "privacy" met elkaar in strijd zouden zijn, is niet juist. Het is vaak de manier waarop de zorgverlening georganiseerd is, en de manier waarop die geadministreerd wordt, die tot onnodige privacy-aantastingen leidt.

Bij het opzetten van zorg-administraties is het belang van het waarborgen van medische privacy in veel gevallen volledig ondergeschikt gemaakt aan de wens om grootschalige administraties te voeren. Als zo'n administratie waar veel te veel mensen toegang toe hebben, er eenmaal is, dan is het voor zorgverleners makkelijker om dat "normaal" en (dus) "wenselijk" te gaan vinden. Zo ontstaat er gewenning en normalisering van het aantasten van de privacy van patiënten en de aantasting van het medisch beroepsgeheim.

Dat zou zo zijn, als privacy-regelgeving consequent en eerlijk werd gevolgd. Helaas is dat in de realiteit vaak niet het geval. Privacy-regelgeving wordt vaak zo "geherinterpreteerd" dat er volgens die nieuwe interpretatie niet zou staan wat er staat.

Roddel in de koffiekamer heeft een neiging om zich niet heel veel verder te verspreiden dan de koffiekamer, om de simpele reden dat het voor zorgverleners uit "roddeloogpunt" niet of nauwelijks interessant is om te roddelen of te horen over patiënten die ze zelf nooit gezien hebben en ook niet zullen zien.

Dat wordt echter heel anders wanneer patiëntinformatie schriftelijk is vastgelegd in dossiers die ook voor heel andere doeleinden dan "roddel" en "het bevredigen van persoonlijke nieuwsgierigheid" kunnen worden gebruikt.

Daarom is het misleidend om te suggereren dat het opslaan van patiëntgegevens in grote datasystemen min of meer gelijk zou zijn aan een vorm van "roddelen".

Ik ken trouwens zelf zorgverleners die hun beroepsgeheim uitermate serieus nemen. Dit betekent bijvoorbeeld dat als zij met mij mondeling over hun beroepservaringen spreken, zij over casussen alleen in vrij algemene termen spreken en absoluut geen namen of andere specifieke gegevens noemen. Dat is hoe het hoort, en hoe het ook prima kan.

Ik vrees dat dat in sommige gevallen tegen zou kunnen vallen. Er vallen workarounds te bedenken, waardoor het minder opvalt dat een niet-behandelaar toch gegevens van een patiënt inziet in een datasysteem.

Ik denk dat het een kwestie is van vier dingen:
1. Dataminimalisatie, zowel in het ontwerp van datasystemen (o.a. "privacy by design"), als door middel van het niet eisen of invoeren van onnodige data. Systemen zoals VIP-Live (van Calculus/Topicus), Mitz of EHDS zijn dus uit den boze.
2. De inrichting van zorgprocessen. Het lijkt tegenwoordig of het woord "team" wordt misbruikt om elke privacy-aantasting te rechtvaardigen. Ook als het gaat om hoe zorgverlening georganiseerd wordt, zou er sprake moeten zijn van dataminimalisatie en "privacy by design". De regie over de zorgverlening van elke specifieke patiënt moet bijvoorbeeld zo laag mogelijk in de zorghiërarchie worden belegd, bij voorkeur bij een individuele, professionele behandelaar. Er moet geaccepteerd worden dat de daadwerkelijk behandelende artsen van een specifieke patiënt, met toestemming van die patiënt, kiezen met welke andere daadwerkelijk behandelende artsen zij gegevens van die patiënt waar nodig delen. Dit is een heel andere benadering dan: "We pleuren alle gegevens van alle patiënten in een datasysteem zodat iedereen erbij kan zodra iemand denkt dat dat wel eens handig zou kunnen zijn."
3. Bewustwording en ethische vorming bij zorgverleners. Niet alleen tijdens hun opleidingen, maar ook tijdens hun professionele loopbaan. Ik weet, het is vaak moeilijk om een serieuze omgang met "opfriscursussen" of "heidagen" te bewerkstelligen. Er zou aandacht besteed kunnen worden aan de persoonlijke risico's die zorgprofessionals lopen als ze hun beroepsgeheim niet serieus nemen - dat motiveert misschien om de boodschap serieus te nemen. Zo kom ik op mijn vierde punt.
4. Effectieve handhaving. Dus niet, zoals nu vaak gebeurt, privacy-schendingen in de praktijk waar mogelijk onder het vloerkleed vegen, en pas als dat echt niet meer lukt, even heel streng een voorbeeld stellen om de reputatie van de organisatie hoog te houden en eventuele beschuldigingen van meer structurele fouten te neutraliseren.

M.J.

Wat openstaande schermen betreft: ik ben al vele jaren geleden, het zou me niets verbazen als het zo'n vijftien jaar is, een bericht tegengekomen over een ziekenhuis (ik weet niet meer in welk land) waar men zowel die openstaande schermen als het nonchalant aan elkaar uitlenen van pasjes had aangepakt door van de RFID-tags polsbandjes te maken die alle medewerkers droegen. Omdat je je polsbandje niet makkelijk ergens laat liggen, ze zitten om je pols, en los- en vastmaken even een gedoe is, leende men geen pasjes meer aan elkaar uit. Werkstations waren met remote desktop of iets dergelijks ingericht, met je handen bij het toetsenbord werd automatisch jouw sessie aan het werkstation gekoppeld, en na een goed gekozen timeout weer ontkoppeld als jouw polsbandje niet meer werd gedetecteerd. Als ik me dat bericht goed herinner hadden ze iets bedacht dat in de praktijk uitstekend werkte en een hele hoop van dit soort ellende elimineerde, zonder de medewerkers te belasten met daar voortdurend hun aandacht bij te moeten houden naast hun al drukke werk.

Mensen zijn geen machientjes, ook al zijn er helaas zat managers die leiding geven alsof dat wel zo is. Juist als je op je tandvlees loopt kan de afleiding van toegeven aan zoiets even de verademing opleven die de druk doorbreekt, zodat je die daarna beter aankan, en juist als de druk zo hoog is gaat het beoordelingsvermogen van mensen achteruit, zeker over dingen die niet absoluut de hoofdzaak zijn (dat is de gezondheid van de patiënt).

Ik zeg niet dat het daarmee oké is dat het gebeurt, maar ik snap wel hoe iemand die onder hoge druk werkt precies dat soort dingen als uitlaatklep kan gebruiken om de druk beter vol te houden.

Politiemensen kijken heel anders aan tegen privacy. Die stellen politiewerk meestal boven privacy (en al het andere) en vinden het dus ook niet raar om in andermans dossiers te kijken.

Bankmedewerkers kijken heel anders aan tegen privacy. Die stellen geld en finacieen meestal boven privacy (en al het andere) en vinden het dus ook niet raar om in andermans dossiers te kijken.

Bouwvakkers kijken heel anders aan tegen privacy. Die stellen bouwveiligheid meestal boven privacy (en al het andere) en vinden het dus ook niet raar om in andermans dossiers te kijken.

KOEKOEK !!

Met deze "voortreffelijke" eigenschap van digitale systemen schiet je weinig op als er geen tijd is om dit na te trekken: "...en omdat de loggingdata te omvangrijk is om volledig te controleren."

Uit Wikipedia:
"In het BIG-register zijn de titels apotheker, arts, fysiotherapeut, geregistreerd-mondhygiënist, gezondheidszorgpsycholoog, klinisch technoloog, orthopedagoog-generalist, physician assistant, psychotherapeut, tandarts, verloskundige en verpleegkundige opgenomen: alleen wie in het register is ingeschreven, is door de wet bevoegd deze beschermde titel te voeren."
Een dokters- of tandartsassistent(e) valt daar al buiten en allerlei vormen van baliepersoneel dat onder toezicht/ verantwoordelijkheid van BIG-houders opereert en toegang tot medische dossiers heeft.
Het BIG-register is opgezet om bepaalde titels van de beroepsgroep te beschermen.
Dat is dus al de huidige praktijk.
Volgens mij gebeurt dat nu ook al.