image

Patiëntendossier niet veilig in ziekenhuiscomputer

donderdag 13 november 2008, 10:09 door Redactie, 8 reacties

Patiëntendossiers zijn niet alleen via een simpel telefoontje te verkrijgen, ook de beveiliging van de computers waar ze in staan is niet goed geregeld, zo blijkt uit onderzoek van het College Bescherming Persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ). Gisteren kwam TV West al met de onthulling dat een journalist zonder enige moeite medische informatie van wildvreemden kon opvragen en ook Nova wist het ziekenhuispersoneel te misleiden. Door zich voor te doen als iemand van de computerafdeling, kreeg een journalist zonder problemen de inlognaam en het wachtwoord van een ziekenhuisafdeling in handen.

Hele afdelingen blijken met dezelfde inlognaam en wachtwoord te werken. Uit het IGZ/CBP-onderzoek blijkt verder dat bij veel ziekenhuizen computerschermen vaak aan blijven staan. Als de verpleger weg is kan iemand anders zo het systeem in. Ook is vaak niet duidelijk wie er binnen het ziekenhuis verantwoordelijk is voor de beveiliging.

Misbruik
Het CBP en de IGZ concluderen in hun onderzoek dat in ziekenhuizen maar zeer beperkt bewustzijn is van de risico´s van onvoldoende informatiebeveiliging. Het merendeel van de ziekenhuizen neemt dan ook te weinig maatregelen om de informatiebeveiliging zeker te stellen. Door patiëntgegevens onvoldoende te beveiligen, ontstaan aanzienlijke risico’s voor de zorg aan en de privacy van de patiënt, zo stelt het CBP. Zo kan onzorgvuldig omgaan met inloggegevens ertoe leiden dat ongeautoriseerde medewerkers toegang hebben tot privacygevoelige gegevens van patiënten. Het onderzoeksrapport bevat een praktijkvoorbeeld waarbij meerdere medewerkers die geen behandelrelatie hadden met een patiënt, te weten de voorzitter van de Raad van Bestuur van het ziekenhuis, zich toegang hadden verschaft tot zijn elektronisch medisch dossier.

Van de twintig onderzochte ziekenhuizen blijkt bij negen ziekenhuizen dat er geen sprake is van een passend beveiligingsniveau en dat evenmin is voldaan aan de voorwaarden om verantwoorde zorg te leveren. Bij vijf is sprake van onvoldoende passend beveiligingsniveau en bij zes ziekenhuizen is er nog niet in voldoende mate sprake van passend beveiligingsniveau. Het CBP wil van de twintig onderzochte ziekenhuizen weten hoe zij wel aan een passend beveiligingsniveau gaan voldoen.

Reacties (8)
13-11-2008, 10:17 door [Account Verwijderd]
[Verwijderd]
13-11-2008, 11:58 door Anoniem
@Iceyoung : En het is goed dat er momenteel aandacht aan wordt besteed.
13-11-2008, 12:46 door [Account Verwijderd]
[Verwijderd]
13-11-2008, 14:04 door Anoniem
Als voormalig hoofd automatisering bij een ziekenhuis kan ik bevestigen dat het een enorme puinhoop was. Meldingen bij het management werden systematisch genegeerd en afgedaan als hyperchondrisch gedrag. Er was zoveel druk om te scoren en alle ik-bv''tjes van de artsen tevreden te houden, dat aan beveiliging vrijwel geen aandacht werd besteed.
Als iemand geïnteresseerd is in de details van mijn ervaringen, ben ik gaarne bereid die te geven. Zeker in het kader van het aankomende epd is het m.i. totaal onverantwoord om ziekenhuizen en andere belanghebbenden die hun beveilignig niet op orde hebben aan te sluiten.
13-11-2008, 16:09 door Anoniem
Dergelijke verhalen ken ik nog van mensen die in ziekenhuizen werken of gewerkt hebben en het is mede de reden dat ik bezwaar gemaakt heb tegen het EPD. De andere is natuurlijk dat het mij compleet onduidelijk is hoe de beveiliging eigenlijk in elkaar zit (als hij er is natuurlijk).
13-11-2008, 17:55 door Anoniem
Door AnoniemZeker in het kader van het aankomende epd is het m.i. totaal onverantwoord om ziekenhuizen en andere belanghebbenden die hun beveilignig niet op orde hebben aan te sluiten.
Dat ben ik een, maar het zou zelfs nog verder moeten gaat. De huidige situatie is dat een flink aantal ziekenhuizen de dossiers al voor extern gebruik toegankelijk hebben gemaakt terwijl ze het intern niet eens op orde hebben. Die toegang dus ook dichtgooien totdat ziekenhuizen zich bewezen hebben dat men eindelijk eens een intentie heeft en die ook eens heeft waargemaakt om fatsoenlijk met persoonsgegevens om te gaan.
Wat verdiende die managers, artsen enz ook alweer?!? Duidelijk onverantwoord te veel.
13-11-2008, 22:22 door TheKeymaker
Door AnoniemAls voormalig hoofd automatisering bij een ziekenhuis kan ik bevestigen dat het een enorme puinhoop was. Meldingen bij het management werden systematisch genegeerd en afgedaan als hyperchondrisch gedrag. Er was zoveel druk om te scoren en alle ik-bv''tjes van de artsen tevreden te houden, dat aan beveiliging vrijwel geen aandacht werd besteed.
Als iemand geïnteresseerd is in de details van mijn ervaringen, ben ik gaarne bereid die te geven. Zeker in het kader van het aankomende epd is het m.i. totaal onverantwoord om ziekenhuizen en andere belanghebbenden die hun beveilignig niet op orde hebben aan te sluiten.

Zelf ben ik systeembeheerder in een ziekenhuis, bovenstaand is heel herkenbaar. Directies halen de schouders op, "het is toch goed geregeld?". Nee dus! Men houdt zich liever bezig met het paaien van medisch specialisten. Ik zie van dichtbij hoe gemakkelijk (eigenlijk laks) er over informatiebeveiliging wordt gedaan. Ik heb dus ook meteen bezwaar gemaakt tegen registratie in het EPD.
13-11-2008, 23:20 door Anoniem
Door TheKeymaker
Door AnoniemAls voormalig hoofd automatisering bij een ziekenhuis kan ik bevestigen dat het een enorme puinhoop was. Meldingen bij het management werden systematisch genegeerd en afgedaan als hyperchondrisch gedrag. Er was zoveel druk om te scoren en alle ik-bv''tjes van de artsen tevreden te houden, dat aan beveiliging vrijwel geen aandacht werd besteed.
Als iemand geïnteresseerd is in de details van mijn ervaringen, ben ik gaarne bereid die te geven. Zeker in het kader van het aankomende epd is het m.i. totaal onverantwoord om ziekenhuizen en andere belanghebbenden die hun beveilignig niet op orde hebben aan te sluiten.

Zelf ben ik systeembeheerder in een ziekenhuis, bovenstaand is heel herkenbaar. Directies halen de schouders op, "het is toch goed geregeld?". Nee dus! Men houdt zich liever bezig met het paaien van medisch specialisten. Ik zie van dichtbij hoe gemakkelijk (eigenlijk laks) er over informatiebeveiliging wordt gedaan. Ik heb dus ook meteen bezwaar gemaakt tegen registratie in het EPD.

Ik heb als consultant een aantal IT afdelingen van ziekenhuizen gezien en ik heb (helaas) dezelfde ervaring.
Een deel van de mensen snapt gewoon niet (of wil gewoon niet snappen) dat patienten data gevoelige informatie is en dat daar goed mee moet worden omgegaan.
Ik maak dus alleen al om die reden bezwaar tegen een EPD
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.