CBP: Medische gegevens slecht beschermd
Zorginstellingen treffen onvoldoende maatregelen om de privacy van patiënten te beschermen.
Dat stelt het College bescherming persoonsgegevens (CBP) na onderzoek bij negen zorginstellingen die gezamenlijk ruim een miljoen patiënten per jaar behandelen.
Medewerkers van een zorginstelling mogen alleen toegang krijgen tot patiëntgegevens als zij een behandelrelatie met de betreffende patiënt hebben of als de toegang noodzakelijk is voor de beheersmatige afwikkeling van de behandeling.
Wettelijke vereisten
Slechts bij één zorginstelling was sprake van een werkwijze die aan de wettelijke vereisten voldoet. Deze werkwijze werd echter niet in de gehele zorginstelling toegepast. Op basis van het onderzoek, nieuwe signalen en gesprekken met koepelorganisaties gaat het CPB er vanuit dat de aangetroffen situatie op grote schaal voorkomt in de zorgsector.
Onbevoegde toegang tot medische gegevens
Zorginstellingen moeten volgens artikel 13 Wet bescherming persoonsgegevens maatregelen treffen om onbevoegde toegang tot medische gegevens door medewerkers binnen een zorginstelling te voorkomen. Daarnaast moeten zij registreren en controleren wie welke dossiers raadpleegt. Medische gegevens zijn per definitie privacygevoelig. De beveiliging moet daarom aan de hoogste normen voldoen, meent het CBP. ‘De patiënt moet kunnen rekenen op een goede medische behandeling en zorgvuldige omgang met zijn persoonlijke gegevens’, aldus Wilbert Tomesen, collegelid van het CBP.
Vips, BN’ers of raad van bestuur
Bij geen van de onderzochte instellingen was de beveiliging of controle zodanig op orde dat het voldeed aan de wettelijke eisen. Vips, bekende Nederlanders, maar ook leden van de raad van bestuur van de instelling zelf, hebben in de onderzochte instellingen vaak wel meer bescherming tegen onrechtmatige toegang tot hun medische gegevens. Deze mate van bescherming komt op grond van de wet aan iedere patiënt toe, oordeelt het CBP.
Redenen zorginstellingen
Als reden voor het niet nakomen van de wettelijke vereisten geven de zorginstellingen diverse redenen. Bij enkele zorginstellingen heeft het elektronische patiëntendossier geen mogelijkheden om de toegangsbeperking volgens wettelijke standaarden te regelen. Bij een zorginstelling was de bestuurder op de hoogte van de gebreken, maar besloot de situatie ongewijzigd te laten. Andere zorginstellingen vertrouwden blind op de leverancier.
Ook logging is vaak niet mogelijk vanwege technische beperkingen, mogelijke risico’s voor het systeem of het gebrek aan mankracht. Instellingen hebben in veel gevallen wel maatregelen getroffen als het gaat om geheimhoudingsplicht voor medewerkers, maar dat neemt volgens het CBP niet weg dat instellingen moeten voldoen aan de wettelijke vereisten.
Tot slot kampen de zorginstellingen ook met financiële beperkingen waardoor de privacy niet altijd de hoogte prioriteit heeft. Ook beperkte financiën zijn geen redenen om onder de wet uit te komen, meldt het CBP.
Onderzoek naar veiligheid gegevens
De onderzochte zorginstellingen dienen maatregelen te nemen om de interne toegangsverlening voor medewerkers tot patiëntendossiers en de controle beter te regelen. Als het CBP constateert dat de instellingen de overtredingen niet beëindigen, zal het CBP handhavend optreden. Het CBP kondigt tevens aan andere zorginstellingen onder de loep te nemen.
Reactie NPCF
Patiëntenfederatie NPCF is niet blij met de uitkomsten van het onderzoek. 'Het is al jaren bekend dat dit een probleem is, er zijn wettelijke maatregelen genomen maar nog steeds wordt de privacy van patiënten met voeten getreden. Dit kan niet en dit mag niet meer', zegt NPCF-directeur Wilna Wind. Het is volgens Wind aan het CBP om in actie te komen. 'Het CPB moet zijn tanden laten zien, door bijvoorbeeld boetes op te leggen. Afwachten is geen optie, dit gaat om basale patiëntenrechten, die moeten gewoon op orde zijn', benadrukt Wind.
Bron: Zorgvisie