image

Patiëntendossiers Amsterdams ziekenhuis toegankelijk voor studenten

vrijdag 15 februari 2019, 12:16 door Redactie, 20 reacties

Studenten die op tijdelijke basis voor het Amsterdamse ziekenhuis OLVG werkzaam waren hebben onterecht toegang tot patiëntendossiers met zeer gevoelige medische informatie gehad. Dat bevestigt het ziekenhuis via de eigen website. OLVG werd afgelopen zomer ingelicht door de moeder van een werkstudente die toegang had tot patiëntgegevens buiten haar werkgebied.

De studente stelde dat andere studenten hier ten onrechte gebruik van maakten. "Ondanks toezeggingen en maatregelen van OLVG waardoor de toegang tot patiënteninformatie beperkt zou moeten worden, bleken de gegevens na een paar maanden helaas nog steeds toegankelijk. Wij zijn ons er terdege van bewust dat dit niet kan en betreuren de gang van zaken", aldus een verklaring van het ziekenhuis. De software die het ziekenhuis gebruikte was verkeerd ingesteld.

Volgens de Volkskrant gaat het om de elektronische dossiers van alle patiënten die het ziekenhuis de afgelopen vijftien jaar hebben bezocht. Het betreft zeer persoonlijke medische informatie, waaronder uitslagen van soa-testen tot kankermedicatie. Het OLGV is het grootste ziekenhuis van Nederland wat betreft patiëntenaantallen. Nadat de onbevoegde toegang werd ontdekt heeft het ziekenhuis dit bij de Autoriteit Persoonsgegevens gemeld.

Het ziekenhuis zegt dat het de toegang tot medische gegevens en hoe medewerkers hiermee omgaan "direct zal oppakken". Zo wordt de autorisatie van werkstudenten verder aangescherpt, gaat het ziekenhuis structureel checken of medewerkers zich houden aan de gedragscode en krijgt privacy een nog nadrukkelijker plek in het inwerkprogramma voor werkstudenten en andere medewerkers.

Tevens zal er onderzoek worden uitgevoerd hoe de toegang tot systemen verder kan worden aangescherpt. "Het volledig afdichten van een medisch dossier is echter niet werkbaar en zal de de patiëntveiligheid in veel gevallen niet ten goede komen. Een zorgverlener moet altijd gegevens kunnen raadplegen van patiënten om goede veilige zorg te kunnen verlenen", voegt het ziekenhuis daaraan toe.

Reacties (20)
15-02-2019, 12:31 door Anoniem
Een zorgverlener moet altijd gegevens kunnen raadplegen van patiënten om goede veilige zorg te kunnen verlenen

Ehm van patienten die op dat moment in behandeling zijn, en waar een zorgverlener een behandel relatie mee heeft. Een zorgverlener hoeft niet bij alle gegevens te kunnen van iedere patient gedurende de afgelopen 15 jaar.
15-02-2019, 12:41 door Anoniem
Ach, dit is het topje van de ijsberg .. :) Er is nauwelijks (vastgesteld) beleid over over wie wat mag zien in de gezondheidszorg.

. "Het volledig afdichten van een medisch dossier is echter niet werkbaar en zal de de patiëntveiligheid in veel gevallen niet ten goede komen".

Dit is echt onzin ... je mag je afvragen, welke informatie voor wie (welke rol) noodzakelijk is. Is het gewenst dat een receptionist een patiëntendossier kan lezen of activiteitenbegeleidster de medicatie van een patiënt kan inzien? Ga er maar vanuit, dat dit in huidige praktijk gebeurd! Heeft niets met patiëntveiligheid te maken, eerder het gevolg van laksheid zoals bij het OLVG die na maanden de autorisatie nog niet had aangepast. Wat te denken van wat controllers en accountants mogen zien in dossiers... ? Ergo, het autorisatiebeleid mag een hogere prioriteit krijgen.

Menig functioneel beheerder zal na dit bericht de autorisatieprofielen gaan bekijken. Er verandert alleen wat aan deze situatie, als er externe druk is. Mijn complimenten voor de student, die dit aankaartte :)
15-02-2019, 12:49 door SecOps
Met een deugdelijke Identity en Access Management (IAM) implementatie (met duidelijke role definities, joiner, mover en leaver processen, automatische provisioning en de-provisioning van de toegekende rechten, aangevuld met regelmatige reconciliatie van de daadwerkelijk aangetroffen privileges) zijn dit soort complexe omgevingen qua gebruikerstoegang prima in te richten en te beheren.

Door minutieus te analyseren wie, wat en wanneer benodigd heeft (op basis van need to know en least priviledged principes) en vervolgens dit met een degelijke IAM oplossing implementeren raak je in control t.a.v. je toevertrouwde (persoonlijke) data.

Geen eenvoudige klusjes maar in deze tijd niet te vermijden als je qua data toegang in-control wil zijn (en blijven)...
15-02-2019, 12:58 door karma4
Door Robjen: ...
Geen eenvoudige klusjes maar in deze tijd niet te vermijden als je qua data toegang in-control wil zijn (en blijven)...
Inderdaad niet eenvoudig als het startpunt is dat Role based access prima door personeelszaken met de job afgedaan kan worden. Het eindpunt zoals je beschrijft kan uitblinken in de eenvoud van het werkelijke uit te voeren werk.
Een cultuuromslag van jewelste. En niet iets wat slecht een ICT iets is.
15-02-2019, 14:39 door Anoniem
Heel die EPD's zijn een lachertje.
Mijn vriendin heeft ooit ADHC medicatie gekregen, 15 jaar geleden.
Elke keer als er nu een verwijzing komt naar wat dan ook, bijv fysio, dan staat daar nu bij 'psychische problemen'.
En dat is nog de huisarts EPD.
15-02-2019, 15:35 door Remmilou
Door karma4:
Een cultuuromslag van jewelste. En niet iets wat slecht een ICT iets is.
De spijker op z'n kop!
Het gaat helemaal niet om al dan niet kunnen. Het gaat om willen / bereidheid. En dat is zo moeilijk, dat we nog veel van dit soort gevallen gaan meemaken...
15-02-2019, 16:59 door Anoniem
Door Robjen: Met een deugdelijke Identity en Access Management (IAM) implementatie (met duidelijke role definities, joiner, mover en leaver processen, automatische provisioning en de-provisioning van de toegekende rechten, aangevuld met regelmatige reconciliatie van de daadwerkelijk aangetroffen privileges) zijn dit soort complexe omgevingen qua gebruikerstoegang prima in te richten en te beheren.
Het Volkskrant-artikel suggereert dat het mede moeilijk is omdat er allerlei ad-hoc situaties op kunnen treden. Ik fantaseer wat scenario's bij elkaar.

Stel dat een patiënt ergens rustig in een ziekenbed ergens van ligt te genezen en er treedt een acute complicatie op. De patiënt wordt hals over kop naar de intensive care gesjeesd omdat die de faciliteiten hebben die nodig zijn om het leven te redden. Daar moet men onmiddelijk toegang hebben tot het dossier van die patiënt. De mensen die daar werken hadden tot het mis ging geen enkele reden om toegang tot dat dossier te hebben. Kunnen de processen en hulpmiddelen die jij voor ogen hebt snel genoeg reageren om het leven van die patiënt niet in gevaar te brengen?

Nou is er ook, omdat er door dat geval piekdrukte is, een werkstudent gevraagd om even bij te springen. De artsen zijn druk met de patiënt en vragen dringend aan de werkstudent of die onmiddelijk het dossier op kan roepen. Kan dat systeem op dat moment de benodigde rechten geregeld hebben?

Ik weet niet of alles wat ik hier bedacht heb even realistisch is, maar de Volkskrant suggereert wel dat met dat soort dingen rekening gehouden moet worden in een ziekenhuis. Ik heb zelf geen werkervaring op dit soort plekken, maar ben wel benieuwd of jullie systemen kennen waarin autorisaties zo snel omgeschakeld kunnen worden zonder over allerlei schijven te lopen die mogelijk net even niet beschikbaar zijn.
15-02-2019, 18:18 door karma4 - Bijgewerkt: 15-02-2019, 18:19
Door Anoniem: .... Ik heb zelf geen werkervaring op dit soort plekken, maar ben wel benieuwd of jullie systemen kennen waarin autorisaties zo snel omgeschakeld kunnen worden zonder over allerlei schijven te lopen die mogelijk net even niet beschikbaar zijn.
Ik zag remmliou de bevestiging geven op de genoemde cultuuromslag. Ik bevestigde Robjen. Je stelt de vraag aan "jullie" ik kan hem enkel voor mijzelf beantwoorden. De genoemde cultuuromslag is een wezenlijke.

Jouw scenario gaat uit van reactietijd van veranderende autorisaties maximaal van een minuut. (voorbereiding / vervoer).
De onderliggende systemen dienen dan als eis te hebben dat aangebrachte autorisaties meteen actief zijn. Dat is een technische eis die je moet inregelen. Nu moet ik wat bedenken en dat is 1/ dat het mogelijk moet zijn dat een patiënt onder meerdere afdelingen kan vallen voor autorisaties van de dossiers en 2/ dat alle op dat moment op een afdeling werkzame personen voor hun taak de benodigde toegang hebben. Patiënt verhuisd naar andere afdeling .. andere afdeling wordt meteen actief bij patient geautoriseerd. De fysieke verhuizing en melding moet toch als in het systeem.

Ooit lang geleden zelf daar de technische acties in een administratieve omgeving neergezet. Alles was binnen een paar uur te doen, wegens overleggen en andere zaken afspraak doorlooptijd max 4 uur. Na wat reorganisaties en andere managers zat het op een doorlooptijd van maanden. Nee ik ken in de huidige tijd niet van die systemen waarin het snel geregeld kan worden, dat betekent niet dat het niet mogelijk zou zijn.
15-02-2019, 19:16 door Anoniem
Via het EPD kan iedere willekeurige arts toch altijd en overal jouw volledige dossier zien? Nadat je toestemming gegeven hebt, als het goed is. Anders zou het hele systeem geen nut hebben.

Blijf het een rare gedachten vinden, hoeft ergens maar één rotte appel te zijn en jouw dossier ligt opstraat.
15-02-2019, 19:45 door karma4
Door Anoniem: Via het EPD kan iedere willekeurige arts toch altijd en overal jouw volledige dossier zien? Nadat je toestemming gegeven hebt, als het goed is. Anders zou het hele systeem geen nut hebben.

Blijf het een rare gedachten vinden, hoeft ergens maar één rotte appel te zijn en jouw dossier ligt opstraat.
Nou nee dat is beslist niet zo.

In het landelijk dossier kun je die vraag ook stellen..
Nu viel ik niet zowat van verbazing va de stoel.
De naam in het artikel over het olv dat het daar niet goed zit komt terug als leider van medmij en pblq. Dat is het beoogde landelijk koppelsysteem gevolgd door het adviesgroep rapporten voor de regering en kamer.
16-02-2019, 02:25 door Geregistreerd - Bijgewerkt: 16-02-2019, 02:26
Alle werkgevers moeten al hun personeelsleden en partners een verklaring laten ondertekenen waarmee ze gehouden zijn aan avg wet en regelgeving. Vervolgens moeten alle informatieve systemen geautomatiseerd alle inzages loggen (bv halfjaar) en moet er geautomatiseerd gekeken worden welke raadplegingen ongeoorloofd zijn.

Nadat een medewerker onbevoegde informatie heeft ingezien, waarbij er geen goede uitleg volgt moet de betreffende medewerker een schriftelijke waarschuwing krijgen alsmede een persoonlijk brief schrijven met excuses aan dd gedupeerde(n). Na herhaling volgt ontslag en aangifte.

Na ontvangst van de brief (waarin omschreven staat wat er is voorgevallen, op welke schaal en welke info is ingezien door wie) krijgt de gedupeerde de gelegenheid aangifte te doen.

9 van de 10 keer zal dat niet nodig zijn, maar alleen al het risico op ontslag en vervolging zal het risico beperjen.
Ook de werkgever moet zich houden aan zijn verantwoordelijkheid om passende maatregelen te nemen en veilige omstandigheden te verzorgen.

Criminelen zullen zich niet laten vangen of tegenhouden, dus er zal wetgeving moeten komen met straffen en boetes bij inbreuk door datapiraten, cybercrimimelen of infiltranten. Data is het goud van de toekomst.

De pratijk is bij zeer veel bedrijven bedroevend en ook de overheid maakt er een potje van. Jeugdzorg issues waarbij ambtenaren en raadsleden volledige toegang krijgen tot vertrouwelijke medische info etc.
Ook politie agenten maken structureel misbruik, oa via criminele infiltranten. Dat moet dus ook aangepast en flink bestraft worden.
16-02-2019, 09:27 door karma4
Door karma4:…. Nee ik ken in de huidige tijd niet van die systemen waarin het snel geregeld kan worden, dat betekent niet dat het niet mogelijk zou zijn.
Toevoeging:
Hoe zou je zoiets kunnen opbouwen?
Scheid de bedrijfsprocessen in de BIV eisen:
- De operationele behandeling, hoogste levels (24/7 beschikbaar etc).
- Afspraken consult onderzoek etc een stapje lager (10/5 werkuren beschikbaarheid hoge betrouwbaarheid)
- Financiën historisch onderzoek management rapportage (10/5 werkuren beschikbaarheid normale betrouwbaarheid)
Je krijgt zo al een segmentatie die je geheel kan alten doorwerken. Het zal leiden tot noodzakelijk data kopieerslagen waarbij de werkelijke bronhouder en kwaliteit duidelijk moet zijn.

Bouw de techniek is bedrijfsdiensten op waarbij meerdere technische services op een enkele machine kunnen voorkomen. Het jargon is de stack. Een lamp stack is bekend maar die voldoet beslist niet voor de gangbare bedrijfsprocessen.
Je krijgt meerdere COTS pakketten welk integraal als bedrijfsproces moeten gaan werken.

Niveau 1 OS , 2 Cots paketten oss, en in huis gebouwde zaken.
Het OS met de COTS paketten dienen deugedelijk ingericht worden wat BIV eisen betreft.
In de praktijk is deze stap asl zeer lastig. Het dogma … setup enter enter ….

Niveau 3
Elk COTS pakket komt met de opties om security en ander parameters in te stellen.
Helaas te vaak incompleet. Als je gelukt hebt kan het met een algemeen centraal security mechanisme dat real time reageert op e veranderingen.

Niveau 4
Conditionele security gebaseerd op attributen en andere input..
Je zou kunnen denken aan een koppeling met een aanwezigheidsregistratiesysteem. De operationele toegangsrechten (1,2,3 ) voor een persoon worden alleen actief als men ook binnen is. Dat is een koppeling van systemen welke gewoonlijk juist ontkoppeld zijn.
Bekender zijn de rechten als fiatteur reviewer waar een andere persoon het werk goedkeurt. Dat kan met een extra vinkje in een apart veld opgelost in "de applicatie" . Attribuut based security is niet echt gangbaar.

Niveau 5
Dat bereik je door alle voorgaande niveaus gecombineerd voorspelbaar gecontroleerd herhaalbaar uit te voeren.
De huidige situatie is gewoonlijk CCM-level1.
16-02-2019, 10:15 door Anoniem
@Robjen, karma4
Zelfs bij een in alle opzichten perfect opgezette omgeving ontkom je er denk ik niet aan dat het beantwoorden van de vraag of een medewerker op een specifiek moment recht op toegang tot een specifiek medisch dossier mag krijgen een oordeel vereist van een mens. Er is namelijk van alles gaande dat dat oordeel beïnvloed dat geen onderdeel is van het geautomatiseerde systeem. Als de situatie acuut verandert en elke seconde telt, wie geeft dan dat oordeel? Hoe krijg je georganiseerd dat dat oordeel zo snel gemaakt is én is ingebracht in het systeem als de situatie vereist? Hoe krijg je voor elkaar dat de mensen die dat snelle oordeel kunnen geven door die extra taak niet gehinderd worden in hun primaire taak, die op precies die kritische momenten wel eens kan bestaan uit het geven van hun volle aandacht aan de patiënt? En hoe voorkom je dat het uitdelen van autorisaties dan maar op de automatische piloot gebeurt om ervan af te zijn?
16-02-2019, 14:50 door karma4 - Bijgewerkt: 16-02-2019, 14:53
Door Anoniem: @Robjen, karma4
Zelfs bij een in alle opzichten perfect opgezette omgeving ontkom je er denk ik niet aan dat het beantwoorden van de vraag of een medewerker op een specifiek moment recht op toegang tot een specifiek medisch dossier mag krijgen een oordeel vereist van een mens. …
Die had heel specifieke vraag van met naam genoemde zorgverlener taak naar exact genoemde patiënt ga je inderdaad niet opgelost krijgen. Dat zou namelijk inhouden volledige micro-management met volledige controle op elke handeling. Als dat het doel van privacy voorvechters is dan zie je dat het het omgekeerde effect is.

Je beschreef een doel dat de betreffende afdeling verantwoordelijk voor een patiënt bij elke op dat moment werkzame zorgverlener met een taak/rol de gewenste least privileges op tijd heeft. Op afdelingsniveau lukt dat wel.
Een patiënt komt binnen (administratief intake) verhuist mogelijk tussen afdelingen (overdracht - cooperatie) en gaat een keer weg (administratief ontslag). Al die handelingen gaan al gepaard met oordelen van en administraties door mensen.

Die handelingen hoeven enkel hun weerslag te krijgen in het administratief systeem van toegangsrechten.
Als dat in cooperatie sneller open gezet wordt dan nodig maar extra handelingen kost is daar vanzelf de overweging van noodzaak (triage). Met een achteraf evaluatie bij te sturen op proportionaliteit.
16-02-2019, 17:10 door Anoniem
Ik heb het al een halve eeuw zonder EPD overleefd. Ik WIL helemaal geen EPD. Het risico daarvan is vele, vele malen groter dan de potentiele winst voor mijn gezondheid.
Misschien ligt dat anders tegen de tijd dat ik 80 ben. Dan geef ik tegen die tijd wel een keer toestemming. Goed?
17-02-2019, 05:24 door Anoniem
Door Anoniem: Ik weet niet of alles wat ik hier bedacht heb even realistisch is, maar de Volkskrant suggereert wel dat met dat soort dingen rekening gehouden moet worden in een ziekenhuis.
Dat zit er wel in ja. Want eenziekenhuis heeft als doel de patient te helpen, in het bijzonder als de patient acuut hulp nodig heeft. En als daar informatie voor nodig is dan moet die nu beschikbaar zijn en rot op met je toegangsgedoe en hierrrrr met dat dossier.

Nou kun je allerlei scenarios uitdenken en wellicht dat de meeste scenarios het grootste deel van de tijd wel aardig overeenkomen met de werkelijkheid, maar een volledige dekking krijg je nooit. En over tijd sluipen er dus vanzelf "oplossingen" in het systeem waarbij er allerlei achterdeurtjes worden opengezet voor de gevallen die niet in het systeem bleken te passen. Als dat maar lang genoeg duurt, puur een kwestie van tijd, dan blijkt uiteindelijk het systeem toch weer zo lek als een mandje.

Ik heb zelf geen werkervaring op dit soort plekken, maar ben wel benieuwd of jullie systemen kennen waarin autorisaties zo snel omgeschakeld kunnen worden zonder over allerlei schijven te lopen die mogelijk net even niet beschikbaar zijn.
Nee, dat kan niet, want er moet minutieus worden geanalyseerd wat allemaal wel en niet mag. Zegt Robjen zelf.

Waarmee we terug zijn bij het aloude probleem dat het in theorie allemaal mooi klinkt maar in de praktijk het gewoon niet zo werkt. Daar lopen geen minutieus role based access en identity uitdenkers in de gangen van het ziekenhuis, die even de rollen aan kunnen passen aan ad-hoc situaties.

Daar lopen dokters en werkstudenten door het ziekenhuis. Waarschijnlijk onder invloed van oppeppers en zeker oververmoeid, want zo werkt de medische wereld. En dat is er met de "vrije marktwerking in de zorg" niet beter op geworden. Maar ook als de werkelijkheid rooskleuriger was, dan nog is de perfect-passende toegangspolicy eigenlijk op voorhand al onhaalbaar. Omdat de werkelijkheid weerbarstig is en goedwerkende "minimale toegang"-modellen complex en dus duur zijn. Staan ze teveel dicht dan kan dat levens kosten. Staan ze teveel open dan merk je dat vaak pas jaren later.
17-02-2019, 07:34 door Anoniem
Door Anoniem: Ik heb het al een halve eeuw zonder EPD overleefd. Ik WIL helemaal geen EPD. Het risico daarvan is vele, vele malen groter dan de potentiele winst voor mijn gezondheid.
Misschien ligt dat anders tegen de tijd dat ik 80 ben. Dan geef ik tegen die tijd wel een keer toestemming. Goed?
Dit gaat niet over een landelijk EPD, dit gaat erover dat binnen een ziekenhuis toegang tot dossiers van dat ziekenhuis mogelijk was voor die studenten. Zo'n dossier is iets waar je geen expliciete toestemming voor kan geven als patiënt, het is er als je in dat ziekenhuis behandeld bent en het is er niet als je nooit iets met dat ziekenhuis te maken hebt gehad.
18-02-2019, 11:58 door Anoniem
Ik ben dus benieuwd of OLVG een boete krijgt voor deze dataleak volgens de AVG-wet.
18-02-2019, 19:38 door karma4
Door Anoniem: Ik ben dus benieuwd of OLVG een boete krijgt voor deze dataleak volgens de AVG-wet.
Jij wens echt volledige staatssurveillance omdat elke mogelijke handeling onder staatstoezicht geaccordeerd moet worden?
20-02-2019, 17:04 door Anoniem
Door karma4:
Door Anoniem: Ik ben dus benieuwd of OLVG een boete krijgt voor deze dataleak volgens de AVG-wet.
Jij wens echt volledige staatssurveillance omdat elke mogelijke handeling onder staatstoezicht geaccordeerd moet worden?

Rare vraag! Nee, ik wil dat mijn persoonsgegevens (en die van jou) overal goed beschermd zijn en niet in de handen van boeven, hackers, of studenten komen. :).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.