Juli 2013

Health Digest Informatiebeveiliging & patiëntinformatie

Health Digest CBP: “Zorginstellingen onzorgvuldig met patiëntinformatie”

Pagina - 1 -

Health Digest Juli 2013

CBP: “Zorginstellingen onzorgvuldig met patiëntinformatie”

Op 18 juni 2013 heeft het College Bescherming Persoonsgegevens (CBP) het rapport: ‘Toegang tot digitale patiëntendossiers binnen zorginstellingen’ gepubliceerd. Belangrijkste conclusie van het rapport is dat zorginstellingen niet voldoen aan de eisen die uit de Wet bescherming persoonsgegevens (Wbp) voortvloeien. De aanleiding voor het onderzoek waren meerdere signalen die bij het CBP waren binnengekomen over het ontbreken van een adequate toegangsbeveiliging bij diverse zorgverleners. Zoals van een student die niet wilde dat een medestudent die parttime op de administratie van een GGZ-instelling werkte in zijn dossier kon kijken en van een doktersassistent die niet wilde dat collega’s van een andere huisartsenpost ongevraagd in zijn behandeldossiers konden meelezen. In het rapport geeft het CBP aan wat zorginstellingen moeten doen op het gebied van toegangsbeveiliging en logging. Met het rapport wordt aan zorginstellingen (care en cure) tevens een stevig signaal afgegeven om zorgvuldig om te gaan met de aan de instelling toevertrouwde patiëntgegevens. Indien onvoldoende voortvarend werk wordt gemaakt van de verbeterpunten gaat het CBP handhavend optreden. Onderzoek Uit het onderzoek blijkt dat geen van de negen onderzochte instellingen (GGZ, algemene ziekenhuizen en huisartsenposten) de toegang tot gedigitaliseerde patiëntendossiers zodanig heeft ingericht dat voldaan wordt aan de Wbp. Opvallend is dat het CBP expliciet aangeeft dat zij de directie van de zorginstelling hiervoor verantwoordelijk acht. Volgens het CBP vloeit uit de Wbp (art 13) voort dat medewerkers van zorginstellingen alleen dán toegang mogen krijgen tot patiëntgegevens indien zij ofwel een

behandelrelatie hebben met de desbetreffende patiënt, of als toegang tot beheersmatige afwikkeling van de behandeling noodzakelijk is. Het CBP is met de onderzochte instellingen in overleg om te bepalen welke maatregelen genomen moeten worden en binnen welke termijn deze gerealiseerd moeten zijn.

Het CBP acht de directie van de zorginstelling expliciet verantwoordelijk

voor het voldoen aan de Wbp Zorgbrede maatregelen In de conclusie geeft het CBP aan dat zij met het rapport ook expliciet beoogt dat de overige zorg-instellingen in Nederland (care en cure) aan de slag gaan met het beoordelen of: Zij de benodigde maatregelen hebben

getroffen om gegevens van patiënten in hun instelling goed te beveiligen en

Deze gegevens alleen toegankelijk zijn voor bevoegde medewerkers. Als dat niet het geval blijkt te zijn dienen de instellingen over te gaan tot het nemen van maatregelen.

Op basis van onze praktijkervaring dienen daarbij - zowel vanuit het perspectief van informatiebevei-liging als vanuit juridisch perspectief - de volgende punten in acht te worden genomen: De autorisatiestructuur voor toegang tot pati-

entgegevens dient aan te sluiten bij de dage-lijkse realiteit van de zorg, zodat snelle en adequate behandeling van de patiënt geborgd is.

Behandelaars en/of leden van een behandel-team dienen voldoende ruim te worden geau-toriseerd om toegang te krijgen tot patiëntge-

Pagina - 2 -

Health Digest Juli 2013

gevens zonder dat dit leidt tot onbeperkte toegang tot die gegevens.

In de structuur dient te worden vastgelegd wie er toegang dienen te hebben tot het dossier om te toetsen of de behandeling van de pati-ënt doeltreffend doelmatig en van goede kwa-liteit is.

Genoemde aandachtspunten maken het beheer van bevoegdheden en autorisaties een complexe en tijdrovende exercitie omdat per patiënt en per zorgtoewijzing de activiteiten onderhouden moe-ten worden. Autorisatie Het beheerproces van de autorisaties bestaat idealiter uit drie delen: Bepaal per patiënt per zorgtoewijzing welke

behandelaars een rol vervullen in de behande-ling.

Voeg de behandelaars toe aan de behandelac-tiviteiten van de patiënt.

Verwijder de autorisatie bij uitdiensttreding en pas deze aan bij functiewijziging.

Het CBP heeft geconstateerd dat zorginstellingen verschillende criteria hanteren om te bepalen of medewerkers worden geautoriseerd voor toegang tot gedigitaliseerde patiëntendossiers: 1 Autorisatie op basis van functie. 2 Autorisatie op basis van functie én op basis

van de werkcontext waarin die medewerkers de functie vervullen;

3 Autorisatie nadat is vastgesteld dat er een rechtstreekse betrokkenheid is bij de be-handeling van de patiënt.

Praktische uitwerking Van belang is dat met de IT-leveranciers overeen-stemming wordt bereikt over een werkbare inrich-ting van autorisaties binnen het Elektronisch Pati-enten1 Dossier (EPD). Zowel zorgverleners als directies zijn ervoor verantwoordelijk dat zowel de belangen van de patiënt als van de zorgverleners worden gediend. Het verlenen van zorg zonder

1 Waar patiënt staat kan ook cliënt worden gelezen.

noemenswaardige belemmering en het niet scha-den van het recht op persoonlijke levenssfeer van de patiënt staat daarbij centraal. Het is aan de beheerorganisatie die verantwoordelijk is voor het EPD om de ingerichte autorisaties actief te onder-houden. Dat betekent dat als voor een patiënt een nieuwe zorgtoewijzing wordt geopend, hier ook de juiste behandelaars aan gekoppeld dienen te wor-den. Uitzend- en flexmedewerkers dienen daarbij ook te worden gewaarmerkt. Dit is extra belangrijk vanwege het vaak hoge verloop van deze mede-werkers. Ook bij het toekennen van tijdelijke rech-ten aan medewerkers die het tekort aan specialis-ten opvangen is het van groot belang dat deze rechten goed worden beheerd.

Het beheer van bevoegdheden en autorisaties is een complexe en

tijdrovende exercitie Logging Uit de Wpb vloeit volgens het CBP ook voort dat zorginstellingen structureel moeten bijhouden wie welk EPD heeft geraadpleegd (logging) en hoe dat wordt gecontroleerd. Het loggen en controleren van deze logbestanden is een kostbare aangele-genheid. Voor de logging moeten investeringen worden gemaakt in opslag en zogenaamde stora-ge-apparatuur. Bij een eventuele overtreding, die in deze onderzoeksfase nog structureel is, moet een instelling deze logging gaan controleren. Hier-over kunnen afspraken gemaakt worden met de IT-leverancier(s).

Pagina - 3 -

Health Digest Juli 2013

Toetsingskader CBP Het CBP hanteert de volgende aspecten van de NEN 7510 bij de beoordeling van het niveau van maatregelen die zorginstellingen moeten treffen voor autorisaties: 1 Is er beleid voor het verlenen van toegang

tot informatie? 2 Worden activiteiten die gebruikers uitvoeren

met persoons-/patiëntgegevens vastgelegd in logbestanden (logging)?

3 Worden logbestanden periodiek gecontro-leerd op indicaties van onrechtmatige toe-gang of onrechtmatig gebruik van patiënt-gegevens en wordt waar nodig actie onder-nomen?

‘Er zijn geen valide redenen in de sfeer van techniek, patiëntveiligheid of kosten

om niet aan de Wbp te voldoen’ Ja, maar… Het CBP gaat uitvoerig in op de door de zorginstel-lingen aangevoerde redenen waarom zij naar hun mening niet gehouden zouden zijn om maatrege-len (in de zin van de Wbp) te treffen. Deze variëren van: “de software is verouderd”, “we hebben onze medewerkers al een geheimhoudingsverplichting opgelegd”, “we hebben andere (financiële) priori-teiten” en “we hebben onvoldoende mankracht voor controle van logging” tot “we vinden het treffen van privacymaatregelen een risico voor de patiëntveiligheid”. Het CBP maakt met alle argu-menten korte metten door te stellen dat er geen valide redenen in de sfeer van techniek, patiënt-veiligheid of de kosten zijn om niet aan de Wbp te voldoen.

Bezint eer ge begint Het CBP geeft aan dat de directie bij aanschaf van een EPD al in een vroegtijdig stadium moet naden-ken over de mogelijke privacyrisico’s en een ade-quate beveiliging van patiëntgegevens. Uit het onderhavige onderzoek komt het beeld naar voren dat bij de meeste zorginstellingen pas in een (te) laat stadium aandacht is voor dit onderwerp. Dit

heeft in de regel tot gevolg dat onnodig aanzienlij-ke aanvullende kosten gemaakt moeten worden. Het devies is dan ook om het beheer van autorisa-ties en logging goed af te stemmen tussen zorg-verleners en leveranciers. De conclusie is echter dat privacy versus werk-baarheid voor de beheerder van de autorisaties in het EPD een probleem blijft zolang er geen een-duidige en algemeen geaccepteerde richtlijnen zijn die de inrichting van autorisaties in het EPD on-dersteunen. Het betreft hier dan een uitwerking van hoofdstuk 11 NEN 7510:2011 en Toetsings-kader Informatiebeveiliging in de Zorg (Zekere Zorg 3). &EY Door onze unieke geïntegreerde samenwerking van IT-specialisten en IT- en privacyadvocaten zijn wij bij uitstek in staat om de juiste vertaalslag te maken tussen de open normen uit de wet- en re-gelgeving en de maatregelen die een organisatie moet treffen om aan de eisen van de toezichthou-ders te voldoen. In het streven naar compliance is de juiste maatvoering daarbij de insteek. Met onze ruime ervaring in de zorgsector op dit terrein zijn we in staat om dit op een efficiënte en effectieve manier te verwezenlijken. Onze aanpak lichten we graag persoonlijk aan u toe. Contact Mr. Peter Kits Advocaat IE/ICT&Privacy peter.kits@hollandlaw.nl +31 (0)88-407 00 18 Salo van Berg RE Senior manager IT Advisory salo.van.berg@nl.ey.com +31 (0)88-407 41 49