Met het onderzoek heeft het CBP (College bescherming persoonsgegevens) de praktijk op het gebied van toegang van medewerkers tot digitale patiëntendossiers in beeld gebracht en inzicht verkregen in de keuzen die de besturen van zorginstellingen hierbij maken. De resultaten zijn zorgelijk en de oplossing nog niet in zicht.
Het doel en de middelen voor de verwerking van persoonsgegevens worden in zorginstellingen bepaald door de raad van bestuur. De raad van bestuur (RvB) is daarmee de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (Wbp). De RvB van de zorginstelling is daarom gehouden tot naleving van de in de Wbp aan de verantwoordelijke opgelegde verplichtingen.
Het CBP komt na onderzoek onder meer tot de conclusie dat de onderzochte instellingen (9) vooralsnog niet voorzien in voldoende passende maatregelen om de toegang tot gedigitaliseerde patiëntendossiers te beperken, zodanig dat medewerkers alleen dán toegang krijgen tot patiëntgegevens indien zij een behandelrelatie met de betreffende patiënt hebben en/of de toegang noodzakelijk is voor de beheersmatige afwikkeling van de behandeling.
Het CBP concludeert tevens dat een aantal zorginstellingen dat gebruikmaakt van een gedigitaliseerd patiëntendossier, instellings-EPD genoemd, niet (meer) voldoet aan de huidige stand van de techniek. Artikel 13 Wbp vereist dat zorginstellingen bij het treffen van passende maatregelen letten op hetgeen bij de stand van de techniek mogelijk is. Zorginstellingen die geen stappen hebben gezet om gebruik te (gaan) maken van verbeteringen in de techniek waarmee (ook) de naleving van de Wbp kan worden verbeterd, voldoen daardoor niet aan artikel 13 Wbp.
Daarnaast concludeert CBP dat binnen zorginstellingen die wél beschikken over een instellings-EPD dat voldoet aan de huidige stand van de techniek, sprake is van een onvoldoende niveau van passende maatregelen zoals vereist door artikel 13 Wbp. Deze instellingen voldoen ook niet in de logging aan hetgeen op grond van NEN 7510 en NEN 7513 ter zake is aangegeven, omdat niet van alle acties op patiëntgegevens logging plaatsvindt en daarmee ook niet wordt voldaan aan artikel 13 Wbp.
In reactie op de verbetervoorstellen van de zorginstellingen heeft CPB laten weten dat aanvullende acties noodzakelijk zijn om te voldoen aan artikel 13 Wbp. Over de fasering van en de redelijke termijn waarbinnen realisatie van dergelijke complexe aanpassingen in technologie en werkwijze mogelijk is, is het CBP in overleg getreden met de betreffende zorginstellingen en de koepelorganisaties. Indien het CBP echter constateert dat zorginstellingen onvoldoende voortvarend werk maken van de verbeterpunten, treedt het CBP bij die zorginstellingen handhavend op.
Het CBP ziet op basis van de door zorginstellingen gegeven verklaringen in verband met de geconstateerde beveiligingsrisico’s geen valide gronden dat een dergelijk zorgelijke situatie anno 2013 bestaat. Desondanks voert het nog steeds een gedoogbeleid zonder nadere verduidelijking. Informatiebeveiliging blijft een samenspel tussen structuren, processen en mensen in een organisatie, waarbij de sterkte van deze keten bepaald wordt door de zwakste schakel. Daarbij lijken tegenwoordig informatiebeveiliging en informatiebeveiligers nogal eens slachtoffer te worden van slechte bestuurlijke keuzes, budgetproblematiek en een onachtzaam optredend handhavingsorgaan.
Indien u met vragen zit naar aanleiding van dit bericht, neemt u dan contact met ons op of via 0182-573211.
Bron: CBP.