CBP: medische gegevens slecht beschermd
Het CBP onderzocht negen zorginstellingen die gezamenlijk meer dan een miljoen patiënten per jaar behandelen. Slechts bij één zorginstelling was sprake van een werkwijze die aan de wettelijke vereisten voldoet. Medewerkers van een zorginstelling mogen alleen toegang krijgen tot patiëntgegevens als zij een behandelrelatie met de betreffende patiënt hebben of als toegang noodzakelijk is voor de ‘beheersmatige afwikkeling van de behandeling’.
Shutterstock
Shutterstock
Beveiliging nergens op orde
Bij geen van de onderzochte instellingen was de beveiliging of controle zodanig op orde dat het voldeed aan de wettelijke eisen. VIP's, bekende Nederlanders, maar ook leden van de raad van bestuur van de instelling zelf, hebben in de onderzochte instellingen vaak wél meer bescherming tegen onrechtmatige toegang tot hun medische gegevens.
Op basis van het onderzoek, nieuwe signalen en gesprekken met koepelorganisaties gaat het CBP ervan uit dat de aangetroffen situatie op grote schaal voorkomt in de zorgsector, meldt Zorgvisie. Zorginstellingen moeten volgens artikel 13 Wet bescherming persoonsgegevens maatregelen treffen om onbevoegde toegang tot medische gegevens door medewerkers van een zorginstelling te voorkomen. Daarnaast moet geregistreerd en gecontroleerd worden wie welke dossiers raadpleegt. Omdat medische gegevens per definitie privacygevoelig zijn moet de beveiliging daarom aan de hoogste normen voldoen, meent het CBP.
Technische en financiële beperkingen
Als reden voor het niet-nakomen van de wettelijke vereisten geven de zorginstellingen uiteenlopende redenen. Bij sommige instellingen biedt het elektronische patiëntendossier onvoldoende mogelijkheden om de toegangsbeperking volgens wettelijke standaarden te regelen, ook kwam het voor dat de bestuurder op de hoogte was van de gebreken, maar de situatie ongewijzigd liet. Andere zorginstellingen zeiden blind op de leverancier te vertrouwen. Daarnaast bleek logging vaak niet mogelijk vanwege technische beperkingen, mogelijke risico’s voor het systeem of het gebrek aan mankracht. Ook krijgt privacy niet altijd de hoogste prioriteit omdat veel zorginstellingen met financiële beperkingen kampen.
Maatregelen nodig en scherpere controle
De onderzochte zorginstellingen dienen maatregelen te nemen om de interne toegangsverlening voor medewerkers tot patiëntendossiers en de controle daarvan te verbeteren. Als het CBP constateert dat de instellingen wederom tekortschieten, zal het handhavend optreden. Het college heeft tevens aangekondigd andere zorginstellingen onder de loep te nemen.
'CPB moet tanden laten zien'
Patiëntenfederatie NPCF is onthutst over de uitkomsten van het onderzoek. “Het is al jaren bekend dat dit een probleem is. Er zijn wettelijke maatregelen genomen, maar nog steeds wordt de privacy van patiënten met voeten getreden. Dit kan niet en dit mag niet meer”, zegt NPCF-directeur Wilna Wind tegenover een verslaggever van Zorgvisie. Het is volgens Wind aan het CBP om in actie te komen. “Het CPB moet zijn tanden laten zien door bijvoorbeeld boetes op te leggen. Afwachten is geen optie, dit gaat om basale patiëntenrechten, die moeten gewoon op orde zijn.”
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee