Een beter beveiligde toegang tot elektronische patiëntendossiers is niet volledig te regelen met technische maatregelen. Ook de cultuur en het beleid in een zorginstelling zijn bepalende factoren. Bewustwording en gedrag, maar ook de aard van het werk moeten worden meegewogen om een duidelijk beleid te formuleren en te handhaven.
Dat stelt Z-CERT, het expertisecentrum voor cybersecurity in de zorg.
Het Haga Ziekenhuis in Den Haag maakte vandaag de resultaten bekend van een intern onderzoek. Het onderzoek werd ingesteld nadat bleek dat tientallen medewerkers het medisch dossier bekeken van Samantha de Jong, beter bekend als Barbie.
Uitgangspunt is dat alleen medewerkers toegang hebben tot een patiëntendossier als dat noodzakelijk is om medische zorg of andere hulp te bieden aan de patiënt. Zorginstellingen kunnen dit bevorderen door een aantal technische maatregelen te nemen. Het gaat o.a. om:
- Monitoren wie welke patiëntendossiers inziet (loggen). Medewerkers weten dan dat geregistreerd wordt dat ze een patiëntendossier bekijken en daarop aangesproken kunnen worden.
- Voordat het EPD wordt opgestart eerst een scherm laten zien waarin de medewerker wordt gewezen op de regels omtrent inzage van dossiers. Dit doet een beroep op de medewerker om hier bewust mee om te gaan.
Het is ook mogelijk autorisaties aan te scherpen. Maar het is bij een behandeling niet altijd van tevoren vast te stellen welke medewerkers toegang moeten krijgen en welke niet. Er wordt gewerkt met diensten en als er spoed is, kan niet eerst nog de toegang tot een dossier geregeld worden. Verdergaande autorisatiebeperking binnen het EPD sluit dus niet altijd aan op de dagelijkse praktijk in de zorg. Er blijft dus een belangrijke verantwoordelijkheid liggen bij medewerkers zelf om hier op een verantwoorde manier mee om te gaan. In de praktijk zie je dat zorgmedewerkers heel patiëntgericht bezig zijn, hun focus is om de patiënt zo goed mogelijk te helpen. Privacy kan daar wel eens bij inschieten.
Het is dus aan de zorginstelling om duidelijk beleid te formuleren op de toegang tot patiëntendossiers en dit te communiceren naar medewerkers. Het gaat om bewustzijn bij medewerkers om zorgvuldig om te gaan met privacy van patiënten. Formuleer en communiceer duidelijk wat wel en niet is toegestaan en verbind ook consequenties aan het overtreden van de regels.
De Wet cliëntenrechten bij elektronische verwerking van gegevens regelt dat vanaf 1 juli 2020 zorginstellingen onder andere verplicht zijn om aan patiënten zichtbaar te maken welke medewerkers hun digitale dossier hebben ingezien. Dat kan een preventief effect hebben: immers medewerkers zijn zich dan bewust dat de patiënt meekijkt.
Z-CERT is het kennis- en expertisecentrum voor cybersecurity in de zorg: www.z-cert.nl.
