Privacywaakhond vraagt zorginstellingen waakzaamheid patiëntgegevens
De Autoriteit Persoonsgegevens (AP, voorheen College Bescherming Persoonsgegevens) vraagt in een open brief aan de raad van bestuur van zorginstellingen (ziekenhuizen, ggz-instellingen en huisartsenposten) om scherp te kijken of ze op een veiligere manier kunnen omgaan met patiëntinformatie.
De privacywaakhond deed de afgelopen jaren onderzoek naar hoe er binnen instellingen wordt omgegaan met deze informatie en komt tot de conclusie dat dit niet altijd goed ging. Sinds 2012 zijn er negen zorginstellingen onder de loep genomen. Hierbij werd gekeken naar welke maatregelen er zijn genomen om er zeker van te zijn dat alleen de juiste mensen toegang hadden tot informatie uit het digitale patiëntendossier en of dit correct werd bijgehouden in een logboek.
Twee tekortkomingen
Volgens de Autoriteit Persoonsgegevens ging het op twee punten mis. Medewerkers van zorginstellingen kregen te ruime toegang tot het digitale patiëntendossier. Volgens de AP maken de instellingen te weinig gebruik van de mogelijkheden om bepaalde onderdelen van het dossier af te sluiten, zodat medewerkers alleen bij gegevens kunnen komen die voor hen van belang zijn.
Daarnaast werd er niet voldoende gecontroleerd hoe medewerkers omgingen met de toegangsrechten die ze hadden. Als medewerkers hun boekje te buiten gingen waren er wel mogelijkheden om sancties op te leggen, maar volgens de privacywaakhond gebeurde dit vaak niet omdat niet duidelijk was wie wanneer iets las.
Verbeteringen doorgevoerd
"Bij die instellingen bleken intensieve verbetertrajecten nodig om de overtredingen te beëindigen", aldus de Autoriteit Persoongegevens in de brief. Inmiddels voldoen de instellingen wel aan de wettelijk gestelde eisen. De AP denkt echter dat de problemen zich vaker voordoen en drukt de raden van bestuur op het hart hier scherper op te zijn en regelmatig analyses uit te voeren.
Verder drukt de privacywaakhond de raden op het hart om ook goed mee te kijken naar ICT-voorzieningen. "Een leidende rol van de raad van bestuur is [ook] nodig bij het bepalen van de vereisten waaraan bij de aanschaf en/of updating van ICT-voorzieningen moet worden voldaan. Het is onvoldoende om te vertrouwen op mededelingen van de leverancier, bijvoorbeeld dat het systeem 'Wpb-proof' (voldoet aan wettelijke eisen, red.) is."