Inrichten van de toegangscontrole tot het EPD [Haga ziekenhuis case + tips]!

Het belang van het goed inrichten van het toegangscontrolebeleid en autorisaties tot het elektronisch patiënten dossier (‘EPD’) is enige tijd geleden duidelijk geworden. Naar aanleiding van het door de Autoriteit Persoonsgegevens (‘AP’) ingestelde onderzoek bij het Haga-ziekenhuis destijds, is Haga aangesproken op haar toegangscontrolebeleid.

Er was namelijk sprake van het uitgebreid kennisnemen van het dossier van een bekende Nederlander zonder duidelijke reden. Hanteert jouw zorginstelling nog steeds de belangrijkste en juiste uitgangspunten voor toegang tot het gezondheidsinformatiesysteem?

Het toegangscontrolebeleid in de zorg

De ernst van deze zaak en het belang van goede toegangscontrole benadrukt de AP nogmaals in haar onlangs verschenen jaarverslag: ‘De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent’, aldus Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (in: jaarverslag 2019, gepubliceerd op 1 juli 2020). Dat betekent dat onnodige en ongeoorloofde toegang tot het zorginformatiesysteem voorkomen moet worden binnen jouw zorginstelling en toegang altijd beperkt moet zijn tot het noodzakelijke.

Maar wat is het noodzakelijke? Hoe moet de toegang tot het zorginformatiesysteem ingericht zijn en wat zijn de uitzonderingssituaties? Het is goed om nog eens te kijken naar de destijds door de AP uitgebrachte bevindingen, uit het Haga-rapport, en kritisch te kijken naar het toegangscontrolebeleid van jouw zorginstelling.

[CASE] Haga ziekenhuis: Hoe zat het ook alweer met toegangscontrole bij EPD’s?

Wat het onderzoek naar de toegangscontrole bij Haga-ziekenhuis ons geleerd heeft, is dat patiënten en cliënten van een zorginstelling erop moeten kunnen vertrouwen dat er vertrouwelijk met persoonsgegevens wordt omgegaan. En dat de zorginstelling maatregelen treft om onbevoegde toegang te voorkomen.

Waaronder het toepassen van een effectief toegansgcontrolebeleid, waarbij de toegang in eerste instantie zoveel mogelijk beperkt is. Met goed toegangscontrolebeleid heb je inzichtelijk wie, waarom, wanneer en op welke wijze in het zorginformatiesysteem actief is geweest. Dit helpt je om gericht maatregelen te nemen op het moment dat er een aanpassing noodzakelijk is.

De hoge eisen aan beveillingsmaatregelen

Deze verplichting om maatregelen te nemen volgt uit de Algemene Verordening Gegevensbescherming (‘AVG’), die de zorginstelling de verplichting oplegt om passende organisatorische en technische maatregelen te nemen om persoonsgegevens te beschermen (art.32 lid 1 AVG). Omdat er in zorginformatiesystemen in hoge mate gevoelige en kwetsbare persoonsgegevens worden verwerkt, worden er hoge eisen gesteld aan de beveiligingsmaatregelen.

Dus ook dat het toegangsbeleid zodanig is ingericht dat alleen die zorgverleners toegang hebben tot zorginformatie en beperkt is tot de patiënt of cliënt waarmee zij een behandelrelatie hebben. Bij het Haga-ziekenhuis waren de autorisaties niet als zodanig ingericht en kon er ongelimiteerd gekeken worden in een bepaald dossier. Natuurlijk staat de casus bij Haga niet op zich en kunnen andere zorginstellingen leren van het Haga-onderzoek wat is uitgevoerd door de AP. Heeft jouw zorginstelling alles op orde?

De belangrijkste lessen van het Haga-onderzoek op een rijtje:

  •  Toegang is alleen rechtmatig als er rechtstreekse betrokkenheid is bij de behandeling of bij de ondersteunende afhandeling daarvan en voor zover noodzakelijk voor die taak.
  •  De zorgaanbieder moet bij beveiliging en logging handelen overeenkomstig de normenkaders NEN 7510 en NEN 7513.
  •  De identiteit van gebruikers moet worden vastgesteld op basis van tweefactor authenticatie.
  •  Autorisaties moeten passend zijn, wat zoveel wil zeggen dat autorisaties afhankelijk zijn van de rol van de zorgmedewerker en de relatie tot de patiënt, zoals blijkt uit bijvoorbeeld het behandelplan, werkcontext, specialisme, afdeling etc.).
  •  De zorginstelling moet beschikken over een helder toegangscontrolebeleid en deze moet op autorisatieprofielen zijn gebaseerd die (role-based) zijn ingericht.
  •  Het toegangscontrolebeleid moet regulier worden gecontroleerd. De AP hanteert hierbij als uitgangspunt dat sprake dient te zijn van systematische, consequente controle van alle logging. Een steekproefsgewijze controle of controle op basis van klachten is niet voldoende.
  •  Het bewustmaken van medewerkers over hun verantwoordelijkheid ten aanzien van informatiebeveiliging en privacy blijft belangrijk. Zo moet er een bewustwordingsprogramma worden vastgesteld met een aantal activiteiten die ook daadwerkelijk worden uitgevoerd.  Dit volgt uit norm 7.2.2 van NEN- 7510-2 (2017).

Lees ook: Hoe laat ik mijn organisatie privacy awareness ademen?

Noodknopprocedure (‘breaking the glass’)

De noodknopprocedure geldt als de uitzondering op het normale toegangscontrolebeleid. Deze kan worden ingezet als er een specifieke reden is om toch toegang te verkrijgen tot gegevens van een cliënt of patiënt waarmee men geen primaire behandelrelatie heeft (in medische en administratieve zin). Uit ervaring blijkt dat het inzetten van de noodknopprocedure eerder regel dan uitzondering is.

Op het moment dat de noodknopprocedure wordt gestart, wordt er een scherm getoond waarin een waarschuwing wordt gegeven. Bij deze waarschuwing is de gebruiker verplicht de reden op te geven waarom hij de gegevens in wil zien. Deze procedure wordt getoond als:

  • De medewerker een patiënt opzoekt die niet bekend is bij de afdeling/het specialisme. Bijvoorbeeld als de medewerker niet op de afdelingslijst staat.
  • De medewerker een dossier wil openen van een specialisme waar men geen rechten voor heeft.

De procedure wordt aldus getoond als er sprake is van een afwijking ten opzichte van de door de zorginstelling gekozen autorisaties.

Ook voor de noodknopprocedure is het van belang, dat je het gebruik daarvan regelmatig controleert en nagaat. Daarnaast zal je ervoor moeten zorgen dat het gebruik beperkt blijft tot uitzonderlijke gevallen. Alleen moet het hebben van deze noodknop-functionaliteit er ook niet toe leiden dat er nadelige effecten optreden voor de zorg aan de patiënt of cliënt. Bijvoorbeeld als dit snelle toegang tot essentiële gegevens van de patiënt of cliënt in de weg zit. Als toegang tot informatie noodzakelijk is voor het verlenen van goede zorg en in acute situaties nodig is, dan is toegang altijd legitiem.

Red flags

Heeft jouw zorginstelling geen noodknopprocedure ingebouwd in het zorginformatiesysteem en is jouw zorginstelling ook niet van plan dit te gaan implementeren? Dan is het in ieder geval zaak dat er ‘red flags’/signaleringen worden benoemd, op basis waarop je de toegang controleert. Red flags kunnen bijvoorbeeld zijn: de toegang na overplaatsing, de toegang tot patiënten/cliënten die recent in het nieuws zijn geweest of het feit dat een medewerker brede toegang heeft. Het is dan zaak dat je in ieder geval bijhoudt hoe vaak er toegang is geweest tot een dossier en wat de reden daarvan was.

Logging van gebeurtenissen

Naast toegangscontrolebeleid en een passende noodknopprocedure is het ook zaak dat je logbestanden maakt van gebeurtenissen rondom gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen.

Dat betekent dat je alle activiteiten waarbij acties plaatsvinden die betrekking hebben op een patiëntdossier (waaronder het inzien van gegevens) worden logt. Ook gebeurtenissen die niet vallen onder de normale procedures voor toegang tot gegevens zoals het toepassen van de hierboven beschreven noodknopprocedure.

Norm 12.4.1 van de NEN 7510-2 (2017) bepaalt verder dat logbestanden regelmatig behoren te worden gecontroleerd. De AP hanteert hierbij als uitgangspunt dat sprake dient te zijn van systematische, consequente controle van alle logging. Een steekproefsgewijze controle of controle op basis van klachten is niet voldoende.

Elektronische uitwisselen met andere zorgverleners

Het belang van goede logging-registratie is sinds 1 juli 2020 een stuk groter geworden, nu de patiënt/cliënt ook gerechtigd is tot inzage tot deze logginggegevens en op die manier kan verifiëren wie en wanneer toegang heeft gehad tot zijn/haar dossier, als er gebruik gemaakt wordt van een elektronisch uitwisselingsysteem.

Bij een zogenaamd elektronisch uitwisselingsysteem is er sprake van ‘push’en ‘pull’ verkeer en toegang voor verschillende zorgverleners van binnen en buiten de instelling. Denk hierbij aan een persoonlijke gezondheidsomgeving (‘PGO’) of een elektronisch voorschrijfssysteem (‘EVS’).

Op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) hebben patiënten het recht op kosteloze elektronische inzage in een afschrift van een dossier en het recht op inzage in de logging.

Op grond van de AVG zal je ook de patiënt of cliënt moeten informeren dat deze rechten kunnen worden uitgeoefend. Het is dan ook raadzaam om de privacyverklaring daarop aan te passen, wanneer je gegevens via een elektronisch uitwisselingsysteem beschikbaar stelt voor andere zorgverleners. Ook zal je het proces rondom het afwikkelen van een inzageverzoek hierop moeten aanpassen.

Regelmatige controle en evaluatie blijft belangrijk

Het inrichten van het toegangscontrolebeleid en waarborgen van de integriteit van het zorginformatiesysteem is cruciaal voor het behoud van vertrouwen van de patiënten en cliënten.

Dit vraagt niet alleen een goede en weloverwogen inrichting, maar ook reguliere controle en evaluatie. Wil je gericht advies ten aanzien van toegangscontrolebeleid of over een passend bewustwordingsprogramma voor jouw zorginstelling? Neem dan contact op met een van onze legal consultants en privacy officers.

Ik wil meer weten!

Harm Jan Sleijffers & Pernette Wubbenhorst

Legal consultants

Blijf op de hoogte van al het Legal nieuws in onze nieuwsbrief!

inschrijven

Harm Jan Sleijffers

Legal Consultant

Pernette Wubbenhorst

Legal Consultant

©2020 Cure4 |

Cure4 is onderdeel van Tenzinger B.V. | Disclaimer
Contact