De Autoriteit Persoonsgegevens heeft in een open brief aan Raden van Bestuur van zorginstellingen in Nederland aandacht gevraagd voor de bescherming van patiëntgegevens. De AP benadrukt dat het zorgvuldig omgaan met patiëntgegevens integraal deel uitmaakt van goede patiëntenzorg. “Een leidende rol van de Raad van Bestuur is hierbij onmisbaar”, zegt Wilbert Tomesen, vicevoorzitter van de AP. “Vertrouwelijke omgang met patiëntgegevens is in de gezondheidszorg essentieel. Mensen hebben recht op bescherming van hun persoonsgegevens. Onzorgvuldigheid hierbij zou mensen bovendien kunnen afschrikken om tijdig hulp te vragen”.
De AP krijgt regelmatig vragen en signalen over patiëntendossiers die onder ogen zouden zijn gekomen van medewerkers van zorginstellingen die daar niets mee te maken hadden. Naar aanleiding hiervan deed de AP onderzoek bij negen zorginstellingen. De AP constateerde dat de door de onderzochte zorginstellingen getroffen maatregelen voldoen aan de wettelijke vereisten. Het voorkomen van incidenten en het daadwerkelijk goed regelen van gecontroleerde toegang tot patiëntgegevens bleek een complexe, maar niet onmogelijke opgave.
Maatregelen tegen onbevoegde toegang
Een zorginstelling moet bij de verwerking van persoonsgegevens voldoen aan de vereisten van de Wet bescherming persoonsgegevens (Wbp) en kan patiënten niet aan het risico blootstellen dat onbevoegden medische gegevens inzien. Natuurlijk moeten die gegevens altijd toegankelijk zijn voor medewerkers die betrokken zijn bij de behandeling of zorg voor een specifieke patiënt. Maar tegelijkertijd mogen die gegevens niet in handen komen van medewerkers die niets te maken hebben met die patiënt. Voor zorginstellingen is het daarom noodzakelijk om:
- Maatregelen op het gebied van autorisaties (wie kan er bij de gegevens) te nemen
- Logging (bijhouden van raadplegingen gegevens) in te voeren en dit goed te controleren.
Bij de onderzochte instellingen waren de maatregelen onvoldoende om ervoor te zorgen dat uitsluitend bevoegde medewerkers van ziekenhuizen, GGZ-instellingen of huisartsenposten toegang hadden tot digitale patiëntendossiers en andere medewerkers dus niet. Er bleken intensieve verbetertrajecten nodig om de overtredingen te beëindigen.
Noodzakelijke situatieanalyses
Medische gegevens zijn per definitie privacygevoelig. De beveiliging van deze gegevens moet dan ook aan de hoogste normen voldoen. Om het vertrouwen van patiënten in een zorgvuldige omgang met hun medische gegevens te behouden, is het van belang regelmatig een analyse te maken van de situatie en te beoordelen of de maatregelen up-to-date en in overeenstemming met de wettelijke vereisten zijn.
Wat doet uw zorginstelling op het gebied van bescherming van patiëntgegevens? Twijfelt u of uw zorginstelling voldoet aan de wet- en regelgeving?
Neem dan contact op met Hester de Vries, privacy expert in het team Gezondheidszorg van Kennedy Van der Laan.