Privacy
19 december 2016 | door: J. Berkelaar, voorvechter patiënt en recht

Medische dossiers zorginstellingen zijn onveilig en kwetsbaar voor misbruik

Zorgbestuurders lappen de informatiebeveiliging van medische dossiers aan hun laars en negeren het adviesrecht van hun cliënten-/patiëntenraden. En de toezichthouders houden geen toezicht.

"Zorgbestuurders laten hun artsen Artikel 8 van het EVRM overtreden"

De beveiliging van elektronisch medische dossiers in de zorg is niet op orde. Medewerkers zijn slecht op de hoogte van de privacynorm in de zorg. Patiëntendossiers zijn onder ogen gekomen van medewerkers van zorginstellingen die daar niets mee te maken hebben. Een deel van de zorginstellingen voldoet niet aan de minimale privacynorm. Dit blijkt uit het rapport van het adviesbureau PBLQ van 1 december 2016, dat onderzoek deed naar de beveiliging van patiëntgegevens op verzoek van de minister van Volksgezondheid, Welzijn en Sport. Zie https://1848.nl/document/overig_kamerstuk/5316 

 

Met het rapport van het adviesbureau PBLQ valt alles samen wat ik zelf heb ervaren in de zorg met betrekking tot de beveiliging van mijn medisch dossier en de wijze waarop in de zorgorganisatie daarmee is omgegaan. Ik schreef hier een artikel over in het vakblad van VPHuisartsen: ‘De rol van de patiënt in het beschermen van zijn privacy’.

 

De informatiebeveiliging ontbrak en de Inspectie greep niet in

Binnen de zorginstelling, waar ik onder behandeling was, ontbrak de toegangsbeveiliging van de elektronisch medische dossiers. Het gevolg hiervan was dat alle medewerkers, op elk niveau in de instelling, direct toegang hadden tot de medische dossiers van in behandeling zijnde patiënten. Mijn medisch dossier was door ruim 85 medewerkers ingezien. De inzagen van 55 medewerkers waren aantoonbaar onrechtmatig, waarvan een groot deel zelfs tuchtrechtelijk verwijtbaar. Ik diende een klacht in bij de zorgbestuurder. Omdat de zorgbestuurder mij tot tweemaal berichtte dat er geen onrechtmatige dossierinzagen waren geweest, diende ik daarna een klacht in bij de klachtencommissie van de zorginstelling. De commissie verklaarde mijn klacht gegrond en deed aanbevelingen.

 

Waar ik niet eerder over heb geschreven, is dat ik op een later moment een klacht heb ingediend bij de Inspectie voor de Gezondheidszorg (IGZ). Ik deed het verzoek aan de Inspectie voor de Gezondheidszorg om na te gaan waarom de zorgbestuurder mijn ernstige privacyschending probeerde weg te moffelen. Ik verzocht de Inspectie voor de Gezondheidszorg tevens te onderzoeken of andere patiënten mogelijk ook het slachtoffer waren van privacyschending en drong aan om een onderzoek in te stellen hoe deze morele ontsporing binnen de zorginstelling plaats had kunnen vinden.

 

De cliëntenraad van deze zorginstelling had vernomen dat de zorginstelling in het betreffende jaar, in een nieuw protocol ‘Beveiliging Elektronisch Patiëntendossier’, had opgenomen dat de beveiliging van de dossiers in de zorginstelling goed was en het beveiligingsbeginsel werd nageleefd. Deze passage uit het protocol was incorrect, omdat inmiddels duidelijk was dat de beveiliging van de medische dossiers niet op orde was. De cliëntenraad van de zorginstelling stuurde de Inspectie voor de Gezondheidszorg een brief waarin de raad zijn zorgen uitte over de privacy van de cliënten. Hier was ik direct bij betrokken omdat ik op dat moment als secretaris werkzaam was voor de cliëntenraad.

 

De Inspectie voor de Gezondheidszorg wees tot mijn verbazing beide klachten af.

 

Omdat uit het onderzoek van PBLQ blijkt dat er meer privacyincidenten in andere zorginstellingen zijn geweest, is het kwalijk dat de Inspectie voor de Gezondheidszorg, mijn klacht en de klacht van de cliëntenraad, toentertijd heeft afgewezen.

 

Accreditatie en NEN 7510

Vrijwel iedere zorginstelling wordt tegenwoordig geaccrediteerd en is ISO- of HKZ gecertificeerd conform NEN 7510. Middels een accreditatie wordt, door een onafhankelijke partij, onder andere nagegaan of een zorginstelling voldoet aan bepaalde kwaliteitsnormen. ISO staat voor International Organization for Standardization en HKZ staat voor Harmonisatie Kwalitetsbeoordeling. De NEN 7510 beschrijft een set met kwaliteitsmaatregelen die zorginstellingen moeten treffen hoe zij, via een gecontroleerd proces, op adequate wijze met (medische) gegevens c.q. met de informatiebeveiliging, om dienen te gaan. Auditbureaus zijn onafhankelijke partijen die nagaan of zorginstellingen voldoen aan de kwaliteitsnormen en kennen, indien zij voldoen aan de normen, een ISO of HKZ kwaliteitskeurmerk toe of verlengen het.

 

Een aantal bevindingen van PBLQ

Uit het onderzoeksrapport van PBLQ blijkt:

  • dat zorginstellingen niet altijd aan de kwaliteitsvoorwaarden voldoen;
  • dat bij het overdragen van persoonsgegevens aan kwaliteitsregisters, (externe) bewerkers overeenkomsten met de zorginstelling hebben over verwerking van gegevens, die niet voldoen aan de eisen van de Autoriteit Persoonsgegevens; dat er drie ziekenhuizen zijn met een datalek;
  • dat er twee ziekenhuizen zijn met een malwarebesmetting (schadelijke software, zoals een virus en spyware);
  • dat bij een ziekenhuis patiënteninformatie is gestolen;
  • dat zorginstellingen hun sleutels voor het pseudonimiseren van patiëntgegevens niet goed beschermen;
  • dat in Nederland ongeveer 180 registers zijn waar zorginstellingen data moeten aanleveren die soms identificeerbare gegevens bevat;
  • dat ransomware voor veel zorginstellingen een probleem is. Ransomware is een programma dat een computer, en/of de gegevens die erop staan, blokkeert om vervolgens van de gebruiker geld te vragen om de computer weer te bevrijden. Wereldwijd zijn steeds meer ziekenhuizen het doelwit van ransomware.

 

Je zou je kunnen afvragen of auditbureaus niet al te gemakkelijk een kwaliteitskeurmerk aan zorginstellingen toekennen. Uit het rapport van PBLQ en uit mijn ervaringen blijkt immers dat zorginstellingen niet voldoen aan deze norm, omdat de beveiliging van de patiëntgegevens niet op orde is. Zij hebben daarmee mogelijk ten onrechte het kwaliteitskeurmerk conform NEN 7510 gekregen.

 

Advies PBLQ om te overleggen met de koepels is dubieus en PBLQ negeert cliënten-/patiëntenraden

Het verbaast mij zeer dat PBLQ in haar rapport de minister van Volksgezondheid, Welzijn en Sport (VWS) adviseert om de koepels* te laten overleggen met VWS en toezichthouders (AP en IGZ), om meer sectorale afspraken te maken, richtlijnen, modeldocumenten en gedragscodes op te zetten en deze beschikbaar te stellen. De koepels informeren hun achterban tot op heden summier. Zo worden patiënten niet geïnformeerd over de mogelijkheid dat zij data-uitwisseling kunnen voorkomen door het ondertekenen van een privacyverklaring en worden patiënten niet geïnformeerd over de beveiligingsproblemen die er spelen in de zorg.

 

PBLQ rept in haar rapport met geen woord over de taak die cliënten-/patiëntenraden in zorginstellingen hebben. Dat is curieus omdat de cliënten-/patiëntenraden een adviesbevoegdheid hebben ten aanzien van kwesties die direct het patiëntenbelang raken. Dit staat omschreven in de Wet medezeggenschap cliënten zorginstellingen. Over sommige kwesties hebben de raden zelfs verzwaard adviesrecht. Dit houdt in dat een zorginstelling in principe alleen besluiten neemt als een cliënten- /patiëntenraad daar mee instemt. Indien het zorgbestuur een afwijkend advies heeft, dan moet het zorgbestuur dit schriftelijk en met redenen omkleed laten weten aan de cliënten-/patiëntenraad.

 

*Patiëntenfederatie, Landelijk Platform Geestelijke Gezondheidszorg, Iederin, organisatie voor mensen met een lichamelijke handicap, verstandelijke beperking of chronische ziekte

 

De toezichthouders hadden jarenlang hun autorisatie niet op orde

Zorginstellingen moeten de Inspectie voor de Gezondheidszorg kunnen aantonen dat zij beschikken over de juiste vormen van informatieverwerking. In 2004 is NEN 7510 voor informatiebeveiliging in de zorgsector vastgesteld. In 2008 constateerden zowel de Inspectie voor de Gezondheidszorg als de toenmalige toezichthouder College Bescherming Persoonsgegeven (de huidige Autoriteit Persoonsgegevens) dat 100% van de toen onderzochte zorginstellingen niet voldeed aan de norm voor informatiebeveiliging. Zie https://www.igz.nl/actueel/nieuws/informatiebeveiligingziekenhuizenvoldoetnietaandenorm.aspx.

 

In 2012 liet een meerderheid van de Tweede Kamer weten dat de Inspectie voor de Gezondheidszorg de beveiliging van patiëntendossiers beter in de gaten moest houden. Zie http://www.nu.nl/internet/2984010/kamer-wil-controle-igz-beveiliging-medische-dossiers.html.

 

In 2014 bleek dat, zowel bij de Inspectie voor de Gezondheidszorg als bij de Nederlandse Zorgautoritet, jarenlang de omgang met privacygevoelige gegevens niet op orde was. Er werd gewerkt met een informatiesysteem waar medewerkers vrijelijk toegang hadden tot informatie  waar ze geen autorisatie voor hadden mogen krijgen. Zie http://www.vpro.nl/argos/lees/nieuws/2014/Ook-intern-privacylek-bij-Inspectie-voor-de-Gezondheidszorg.html

 

In 2016 erkende de Nederlandse Zorgautoriteit dat gegevens uit het DIS bij intelligente koppeling aan andere databases tot individuen herleidbaar zijn. https://www.nza.nl/publicaties/nieuws/kan-het-transparanter-in-de-zorg-ja-maar-wel-met-behoud-van-privacy/ DIS is het landelijk systeem voor diagnose behandelcombinatie dat alle behandelgegevens van alle ziekenhuizen en ggz-instellingen bevat.

Gezien de manier van werken kan er vanuit gegaan worden dat deze herleidbaarheid ook speelt bij de databank van de Stichting Benchmark Geestelijke Gezondheidszorg (SBG).

 

De medische data worden door zorgverleners aangeleverd aan het DIS en SBG. De patiënten zijn hier niet van op de hoogte, noch is hen hiervoor om toestemming gevraagd, noch wordt hen de mogelijkheid geboden om, middels het opstellen van een privacyverklaring, te voorkomen dat de medische data in deze databanken terecht komen.

 

Conclusie

Zorgbestuurders lappen de privacy van patiënten aan hun laars doordat de informatiebeveiliging van zorginstellingen al jaar en dag niet op orde is. Het personeel houdt zich niet aan de privacyregels en wordt hierop niet gecorrigeerd. Het personeel wordt door zorgbestuurders niet geïnformeerd over de privacynorm. Zorgbestuurders laten hun artsen medische data van patiënten naar databanken zenden waarvan bekend is dat deze data door slimme koppelingen weer herleid kunnen worden tot individuen. Hiermee laten de zorgbestuurders hun artsen Artikel 8 het Europees Verdrag voor de Rechten van de Mens overtreden.

 

De Raden van Toezicht van zorginstellingen schieten te kort in hun toezichthoudende taak.

 

De patiënt is de dupe van het falende beleid op diverse gremia. Patiënten zijn niet op de hoogte van de privacyrisico’s die er in zorginstellingen zijn doordat cliënten-/patiëntenraden door zorgbestuurders worden belemmerd in het uitvoeren van hun werkzaamheden. Het adviesrecht wordt hen door zorgbesturen ontnomen waardoor de raden niet in staat zijn om hun achterban, de patiënten, te informeren. Zorgbestuurders overtreden hiermee de Wet bescherming persoonsgegevens en de Wet medezeggenschap cliënten zorginstellingen.

 

Auditbureaus verstrekken mogelijk ten onrechte een kwaliteitskeurmerk toe aan zorginstellingen.

 

Zowel de Nederlandse Zorgautoriteit (Nza), als de Inspectie voor de Gezondheidszorg alswel de Autoriteit Persoonsgegevens (AP) falen in hun toezichthoudende taak, omdat de beveiligingsproblemen van zorginstellingen en de herleidbaarheid van medische data al vele jaren bekend zijn en er in al die jaren niets is verbeterd. Tot op heden onderneemt de Inspectie voor de Gezondheidszorg geen enkele actie richting de zorginstellingen, die niet beschikken over de juiste vormen van informatieverwerking zoals in 2004 is vastgesteld met NEN 7510.

 

De Nationale Ombudsman, die tot twee keer toe mijn klacht over privacyschending van patiënten niet ontvankelijk verklaarde, faalt in zijn taak om na te gaan of instanties hun overheidstaken correct uitvoeren.

 

Het ministerie van Volksgezondheid, Welzijn en Sport is laks omdat het geen adequate maatregelen neemt om het jarenlang falende beleid van zorginstellingen en van de toezichthouders (Nza, IGZ, AP) aan te pakken.

 

Het adviesbureau PBLQ is niet op de hoogte van de adviesfunctie die cliënten-/ patiëntenraden in een zorginstelling hebben en doet daarmee de cliënten-/patiëntenraden ernstig tekort in zijn adviesrol.

 

Tot slot

In 2014 heb ik Lea Bouwmeester, woordvoerder Zorg van de PvdA, geadviseerd om een landelijk onafhankelijk team van deskundigen samen te stellen, waarin de cliënten-/patiëntenraden participeren. Dit team van deskundigen zou zich mijns inziens moeten concentreren op de informatiebeveiliging van zorginstellingen conform de geldende wet- en regelgeving. Lea Bouwmeester liet mij weten hiermee aan de slag te kunnen.

 

Het doet mij deugd dat PBLQ de minister van Volksgezondheid, Welzijn en Sport adviseert om 'functionarissen gegevensbescherming' binnen de zorginstellingen aan te stellen. Het zou goed zijn als deze functionarissen daadwerkelijk aangesteld gaan worden, maar voor nu zou het een flinke stok achter de deur zijn wanneer toezichthouders eindelijk eens gaan handhaven.

 

Trefwoorden:
GezondheidPrivacy

Deel

met uw netwerk:


Meer opiniestukken:

Bestel online:

Zo wordt u opiniemaker

In dit boek leert u in tien stappen denken en schrijven als een journalist

 

Alleen nog verkrijgbaar via bol.com


Schrijftip van de week

Week 50
Practice what you preach
> Meer