"Patiëntgegevens open voor nieuwsgierig personeel"
Patiëntengegevens zijn onvoldoende afgeschermd tegen ‘nieuwsgierig’ zorgpersoneel, zo blijkt uit onderzoek onder de bezoekers van beurs Zorg&ICT 2011 in de Jaarbeurs Utrecht. Bijna alle ondervraagden geven aan dat personeel bij hun organisatie met een persoonlijk wachtwoord moet inloggen, voordat men patiëntengegevens kan bekijken of bewerken. Slechts 4% zegt dat hun zorginstelling gebruik maakt van één algemeen wachtwoord voor iedereen die toegang heeft tot de patiëntengegevens.
Volgens de geënquêteerden heeft 72% van het geautoriseerde zorgpersoneel toegang tot de gegevens van alle patiënten. Bij 20% kan het zorgpersoneel uitsluitend bij de gegevens van de patiënten die zij op dat moment behandelen. Bij slechts 8% van de zorginstellingen waar de ondervraagden werkzaam zijn, hebben alle medewerkers toegang tot alle patiëntgegevens.
Dat geldt dus ook voor bijvoorbeeld het administratief personeel. Uit deze antwoorden blijkt dat vier op de vijf zorginstellingen het zorgpersoneel inzage geeft in dossiers van alle patiënten, ook als deze niet onder hun zorg vallen.
Vrij spel
"Het is logisch dat medisch personeel snel bij de gegevens van de patiënt kan, vooral in crisissituaties. Toch moet ook de privacy van de patiënt beschermd worden. Nieuwsgierig personeel dat - zonder toestemming van een cliënt- een snelle blik werpt op het dossier van behandelde familieleden, vrienden of bekende Nederlanders hebben nu nog vrij spel", zegt Bastiaan Bakker van ICT-aanbieder Motiv.
Erg leuk, maar vind er dan ook een audit plaatst om te controleren of er ongeoorloofde inzage is ? Bij de politie heeft men ook een persoonlijk wachtwoord, en er worden ook logbestanden bijgehouden. Toch kan men over het algemeen doen wat men wil, vanwege de simpele reden dat er geen controle plaats vindt. Pas achteraf, wanneer er klachten zijn, wordt er eventueel gekeken of er ongeoorloofde inzage is geweest (denk aan de affaire Robin van Persie).
In de meeste gevallen weet de persoon wiens gegevens zijn bekeken niet dat dit is gebeurd, waardoor er geen sprake is van een klacht. Binnen de politie organisatie is het inzien van gegevens die men helemaal niet nodig heeft voor lopende onderzoeken de normaalste gang van zaken, waarbij men de regels negeert, en de privacy van de persoon in kwestie niet respecteert.
Helaas denkt de overheid daar anders over...
Zou ik ook denken, maar nu onderhandelt Europa al over een wereldwijd EPD.. Geen idee wanneer er besloten is om onze gegevens met Brussel te delen ?
Dat hele gedoe met patiënten gegevens en straks het EPD ligt binnen een mum op straat.
Loop nou eens een willekeurig ziekenhuis binnen (beetje groot) en kijk eens hoeveel terminals er onbemand zijn waar je gewoon even achter kan gaan zitten.
Trek een trui aan met een IBM/KPN/Getronics Logo of weet ik wat voor BEKEND ICT bedrijf en neem wat los gereedschap mee en een papieren lijstje met onzin en er is geen hond die je lastig valt.
Flauw voorbeeld, maar dat is wel de reikwijdte van een (lokaal) EPD.
Dit speelt niet alleen binnen ziekenhuizen en ander zorginstellingen, maar ook in al bestaande regionale EPDs. Soms zijn die niet beter dan veredelde Excel-sheets die rond gemaild worden.
Dit gaat niet over de overheid. Het gaat over naleving van regelgeving binnen de zorg.
WTF ????
We weten dus ook nog dat er dus 28% geen toegang hoort te hebben maar dit wel heeft ... ? Echt waar informatiebeveiliging is ver te zoeken in de zorg ....
"Weet je het zeker? Ook wanneer je met gillende sirenes door de ambulance wordt afgeleverd?"
Ook dan ben je nog steeds de eigenaar van je eigen gegevens. Uiteindelijk moet het aan jou zijn, en niet aan politici, om te bepalen wie er bij jouw gegevens kunnen. Vind je bijvoorbeeld dat Brussel, zoals nu gebeurt, moet onderhandelen over een wereldwijd patientendossier, zodat men overal toegang heeft tot je gegevens - ongeacht of je bijvoorbeeld ooit de grens over gaat.
Natuurlijk wil ik dat wanneer ik hier in het ziekenhuis kom men bij mijn gegevens kan, en misschien dat ik daar dus ook -zelf- toestemming voor wil geven. Maar dat wil nog niet zeggen dat ik diezelfde gegevens wil delen met zorg instanties in landen waar ik nooit kom - laat staan dat ik wil dat politici in Brussel dit namens mij gaan bepalen.
Dus ja ik weet het zeker, en dat wil niet zeggen dat ik ziekenhuizen hier geen toestemming geef om mijn gegevens in te zien. Wel zou ik een goede audit trail waarderen welke er voor zorgt dat ongeoorloofde inzage gedetecteerd wordt, en dat er sancties volgen wanneer medisch personeel ongeoorloofd in je gegevens rondsnuffelen.
Ziekenhuis <> overheid, zorginstelling <> overheid.
Dit gaat niet over de overheid. Het gaat over naleving van regelgeving binnen de zorg.
En volgens mij geven de cijfers aan dat elke zorginstelling zelf mag beslissen hoe ze regelgeving invulling geven, zorgwekkend. (no pun intended)
In jouw voorbeeld is zorginstelling <> Ziekenhuis. En daar zit nou precies de kneep.
Dat een ambulance-broeder snel kan lezen dat hij mij geen medicijn-A moet geven vanwege allergische reactie ofzo, prima.
Maar wie garandeert mij dat over 2, 3 of 5 jaar mijn ziektekostenverzekeraar mij niet gaat vertellen dat zij mijn premie moeten verdrievoudigen omdat ze hebben 'geconstateerd' dat ik een of andere genetische afwijking heb die onvermijdelijk gaat lijden tot het moeten gebruiken van dure medicijnen nog weer 5 jaar later? Of dat zij de premie van mijn kinderen ook maar vast verhogen omdat zij en hun kinderen die afwijking ook krijgen?
Flauw voorbeeld, maar het geeft wel de mogelijke consequenties aan van al deze centrale opslag-drift.
Jullie slaan de spijker op z'n kop: in geval van nood moet elke mogelijke zorgverlener (ambulance, OK, you name it) over alle noodzakelijke gegevens kunnen beschikken.
Daarvoor moet je natuurlijk vooraf van alles regelen. Geen idee of dat beslist centrale opslag moet zijn. Wat ik wel weet is dat je op zo'n moment wilt dat het er is en nog up-to-date ook.
En ik kan me voorstellen dat je dat binnen heel Europa zou willen.
Het echte probleem is dan: hoe zorg je ervoor dat buiten de noodgevallen om de boel pot-en-potdicht zit?
Want inderdaad, zorgverzekeraars en andere boeven moeten er met hun tengels afblijven.
En tegelijk is de vraag: wat is erger, de huidige praktijk of een nog lang niet perfect landelijk systeem?
Dit artikel vertelt ons dat de huidige praktijk - in weerwil van alle bestaande regelgeving! - minstens zo fout is als waar wij bang voor zijn met een landelijk (of Europees) EPD.
De echte EHBO (als afkorting, niet als afdeling) kan altijd plaatsvinden.
Daarna is er tijd genoeg om familie te raadplegen, portemonees te doorzoeken, SOS-hangertje/-armbandjes te doorzoeken. Die personen die een allergie hebben droegen vaak toch al een pasje of wilsverklaring.
Zij, en met name zij, kunnen toch vrijwillig aan een EPD meedoen.
Maar waarom moet IK meedoen tegen MIJN zin.
Als ik geen enkele allergie heb of, ook als ik deze wel heb, mag toch zeker ZELF bepalen hoeveel privacy ik prijsgeef?
Ik heb destijds mijn tegenstem opgegeven over het EPD plan.
Totdat iedereen beseft wat er met DNA in de toekomst mogelijk is en men beseft dat je dat nooit moet prijsgeven aan instanties en vooral niet aan commerciële ziekenhuizen. Zoals gezegd: straks ziet men in je DNA dat je tot een risicogroep behoort en dure medicatie benodigd en daar gaat je premie. De commerciëlen nemen je BSN-nummer over in een zwartelijst-bestand (om elkaar wederzijds te beschermen, zoals autoverzekeraars en telecombedrijven nu ook al doen) en je bent voor het leven gebrandmerkt.
Er is een hele keten van mensen met jouw en je gegevens bezig op het moment dat je het ziekenhuis (of periferie) in gaat en dat is veel meer dan het direct verplegend personeel + artsen. Waar de meeste geen weet van hebben is dat de patient dossiers vaker openstaan zodat ook bijvoorbeeld de pathologie en fakturatie inzicht in de gegevens hebben. Er zijn vast nog wel een paar afdelingen die ik vergeet. Dit is zeer waarschijnlijk niet 100% af te dichten (hoe kun je bv als patholoog zonder inzicht in dossiers een moeilijke case diagnosticeren?).
Laat staan dat heel nederland in 1 transparant systeem genaamd EPD zou zitten. Wat houd (bv zich vervelende ambulance) personeel tegen om de gegevens van bekende personen of vrienden en kennissen op te vragen? Zekers, het wordt vast wel gelogged, maar wie doet een audit op die log, en hoe nauwkeurig wordt dat gedaan? Ik zou al tevreden zijn met een steekproef want 100% dekking is niet mogelijk.
Vergeet tevens niet dat de meeste mensen in die sector een bsnnr of patient nr handmatig intikken die verkeerd ingevoerd kan worden waardoor de eerste missers reeds ontstaan zonder dat de persoon in kwestie daar veel aan kan doen (patient pasjes zijn echt niet overal beschikbaar in deze keten en het handschrift van artsen is net zo onleesbaar als die van mij)
Dat ze door dat probleem het epd niet goed kunnen afdichten ben ik mischien niet happy mee maar ok.
Het enige wat ik dan wel wil hebben is inzicht in het log waarin staat wie mijn gegevens heeft bekeken en dat die persoon heeft gedaan. Zodat ik weet wat er gebeurt is en de mogelijkheid heb daarop te kunnen reageren.
Als ik zie dat een vage dokter in een stad waar mn ziekenkosten verzekering is gevestigd mn hele dossier uit leest ben ik toch wel geinteresseerd en wil ik wel weten waarom hij dat gedaan heeft.
Maar als mn eigen huisarts tijdens mijn bezoek mijn gegevens bekijk of doktoren en dergelijke terwijl ik in het ziekenhuis lig heb ik daar geen moeite mee.
Op deze manier kan ik altijd achteraf wel actie ondernemen als ik wil. Mensen die het totaal niet interesseren hoeven er nooit naar te kijken maar mensen die hun privacy waarderen en daar actief aan werken kunnen actie ondernemen.
Alleen denk ik dat de overheid dit niet zou willen want dan zouden de mensen de overheid kunnen controleren ... iets wat ze absoluut niet lijken te willen .....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.