image

Ziekenhuizen schenden privacy met digitaliseren patiëntdossiers

dinsdag 17 mei 2016, 12:00 door Redactie, 8 reacties

Drie Nederlandse ziekenhuizen hebben bij het laten digitaliseren van patiëntdossiers de Wet bescherming persoonsgegevens (Wbp) overtreden. Dat blijkt uit onderzoek van de Autoriteit Persoonsgegevens.

Begin dit jaar kwam in het nieuws dat het Belgische scanbedrijf iGuana in opdracht van ziekenhuizen medische dossiers in een gevangenis scanklaar liet maken, bijvoorbeeld door nietjes te verwijderen. De Autoriteit Persoonsgegevens deed daarop navraag bij enkele ziekenhuizen om vast te stellen of deze ziekenhuizen een bewerkersovereenkomst met het scanbedrijf hadden afgesloten die aan de wettelijke eisen voldoet.

Eén ziekenhuis bleek geen bewerkersovereenkomst te hebben gesloten. Twee andere ziekenhuizen hadden wel bewerkersovereenkomsten gesloten, maar deze voldeden niet aan alle wettelijke eisen. Zo ontbraken er details over de duur van de opslag en de beveiliging van de gegevens of was er niet expliciet een plicht tot geheimhouding opgenomen. Dit is in strijd met de Wet bescherming persoonsgegevens.

Een ziekenhuis mag de verwerking van medische gegevens, bijvoorbeeld het inscannen van medische dossiers, uitbesteden aan een andere organisatie. Het ziekenhuis moet volgens de Wbp in dat geval een bewerkersoverkomst sluiten met de organisatie die de dienst levert. De toezichthouder heeft de ziekenhuizen een korte termijn gesteld om alsnog een bewerkersovereenkomst te sluiten die voldoet aan de wettelijke vereisten. Dit zal hierna worden gecontroleerd.

Reacties (8)
17-05-2016, 13:18 door Anoniem
En wat gebeurt er nu? Niets?
17-05-2016, 13:51 door Anoniem
En wat zijn nu de gevolgen voor de overtreders?

Gaan 'we' de verantwoordelijken strafrechtelijk vervolgen of zeggen we op z'n Nederlands foei en op naar het volgende incident?
17-05-2016, 14:05 door linuxpro
Opmerkelijk weer dat er geen namen van ziekenhuizen worden genoemd. Alles blijft onder de pet.
17-05-2016, 17:28 door Anoniem
Staan mensen hier van te kijken? In Nederland kan alles, ook dit soort criminaliteit. Zolang je maar een stropdas draagt, is er niets aan de hand hier en krijg je waarschijnlijk nog een bonus ook.
17-05-2016, 22:12 door Anoniem
Dit zijn 3 organisaties die zeer vertrouwelijke medische persoonsgegevens verwerken en waar op tal van manieren wettelijke eisen aan zijn gesteld om die vertrouwelijkheid te waarborgen. Wat doen deze ziekenhuizen? Die lappen de regels op diverse manieren aan hun laars terwijl ze beter moeten weten. Niet alleen zijn er geen deugdelijke overeenkomsten maar is ook gebleken dat de ziekenhuizen niet weten wat er onder hun verantwoordelijkheid met de medische persoonsgegevens van duizenden patienten is gebeurd. Wat doet de AP? In plaats van de ziekenhuizen hiervoor te straffen voeren ze peperdure audits uit die de ziekenhuizen zelf hadden moeten doen en geven ze alleen waarschuwingen.

Hoe kan je de Autoriteit Persoonsgegevens serieus nemen als belangrijke instellingen waar patienten heel hun vertrouwen in leggen als het om hun persoonlijke zorg en gegevens gaat niet gestraft worden voor dit soort misstanden?
18-05-2016, 10:25 door Anoniem
Door Anoniem:
Hoe kan je de Autoriteit Persoonsgegevens serieus nemen als belangrijke instellingen waar patienten heel hun vertrouwen in leggen als het om hun persoonlijke zorg en gegevens gaat niet gestraft worden voor dit soort misstanden?

De vraag stellen is haar beantwoorden, vrees ik.
19-05-2016, 15:21 door Anoniem
Door linuxpro: Opmerkelijk weer dat er geen namen van ziekenhuizen worden genoemd. Alles blijft onder de pet.
VUMC en AMC (Amsterdam), Maasstad Ziekenhuis (Rotterdam), St. Antonius Ziekenhuis en UMC (Utrecht), LUMC en Diaconessenhuis (Leiden), Isala Ziekenhuis (Zwolle), Martini Ziekenhuis en UMCG (Groningen), Canisius-Wilhelmina Ziekenhuis en UMC St. Radboud (Nijmegen), St. Anna Ziekenhuis (Geldrop en Eindhoven), MCL (Leeuwarden), Slingeland Ziekenhuis (Doetinchem), Gemini Ziekenhuis (Den Helder), Groene Hart Ziekenhuis (Gouda), MCA (Alkmaar), TweeSteden Ziekenhuis (Waalwijk en Tilburg) en nog een hele berg ziekenhuizen.
23-05-2016, 14:10 door RuudU
Dat hele gedoe is onveilig, omdat onze politici de Nederlandse taal niet beheersen. Ze beweren dat data niet in verkeerde handen kan vallen, maar de strekking van het werkwoord "kunnen" is hen niet duidelijk.

Een overeenkomst met een verwerker, vol draconische bepalingen in het belang van onze privacy, KAN geschonden worden. De Amerikaanse overheid KAN niet bij data op servers in gebruik bij Europese instellingen (ik denk o.a. aan het centraal patiënten dossier) want daarover zijn keiharde afspraken vastgelegd. Jawel, maar daar hebben FBI, CIA en NSA glad schijt aan als ze een ander belang zie!

Nu gaan we weer zoeken naar schuldigen, maar dat werkt niet. Evalueer zo'n instelling. Welke op schrift gestelde bepalingen waarborgen de privacy. En dergelijke bepalingen moeten beginnen met te vertellen hoe de handhaving ervan is zekere gesteld en hoe ze zichzelf (zonder juridisch geneuk) verbeteren als ze niet blijken te kunnen worden nageleefd.

Gewoon het beginsel van integrale kwaliteitsbeheersing! Bepalingen moeten daadwerkelijk worden nageleefd en ook daadwerkelijk in de praktijk naleefbaar zijn. En wie (hoofdelijk) is verantwoordelijk em beschikt over alle bevoegdheden en middelen om naleving af te dwingen.

Het probleem in onze cultuur, is dat we werken met bepalingen die slechts bruikbaar zijn om in geval van calamiteiten de schuldige aan te wijzen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.