Het belang van het goed inrichten van het toegangscontrolebeleid en autorisaties tot het elektronisch patiënten dossier (‘EPD’) is enige tijd geleden duidelijk geworden. Naar aanleiding van het door de Autoriteit Persoonsgegevens (‘AP’) ingestelde onderzoek bij het Haga-ziekenhuis destijds, is Haga aangesproken op haar toegangscontrolebeleid.
Er was namelijk sprake van het uitgebreid kennisnemen van het dossier van een bekende Nederlander zonder duidelijke reden. Hanteert jouw zorginstelling nog steeds de belangrijkste en juiste uitgangspunten voor toegang tot het gezondheidsinformatiesysteem?
Het toegangscontrolebeleid in de zorg
De ernst van deze zaak en het belang van goede toegangscontrole benadrukt de AP nogmaals in haar onlangs verschenen jaarverslag: ‘De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent’, aldus Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (in: jaarverslag 2019, gepubliceerd op 1 juli 2020). Dat betekent dat onnodige en ongeoorloofde toegang tot het zorginformatiesysteem voorkomen moet worden binnen jouw zorginstelling en toegang altijd beperkt moet zijn tot het noodzakelijke.
Maar wat is het noodzakelijke? Hoe moet de toegang tot het zorginformatiesysteem ingericht zijn en wat zijn de uitzonderingssituaties? Het is goed om nog eens te kijken naar de destijds door de AP uitgebrachte bevindingen, uit het Haga-rapport, en kritisch te kijken naar het toegangscontrolebeleid van jouw zorginstelling.
Wat het onderzoek naar de toegangscontrole bij Haga-ziekenhuis ons geleerd heeft, is dat patiënten en cliënten van een zorginstelling erop moeten kunnen vertrouwen dat er vertrouwelijk met persoonsgegevens wordt omgegaan. En dat de zorginstelling maatregelen treft om onbevoegde toegang te voorkomen.
Waaronder het toepassen van een effectief toegansgcontrolebeleid, waarbij de toegang in eerste instantie zoveel mogelijk beperkt is. Met goed toegangscontrolebeleid heb je inzichtelijk wie, waarom, wanneer en op welke wijze in het zorginformatiesysteem actief is geweest. Dit helpt je om gericht maatregelen te nemen op het moment dat er een aanpassing noodzakelijk is.
De hoge eisen aan beveillingsmaatregelen
Deze verplichting om maatregelen te nemen volgt uit de Algemene Verordening Gegevensbescherming (‘AVG’), die de zorginstelling de verplichting oplegt om passende organisatorische en technische maatregelen te nemen om persoonsgegevens te beschermen (art.32 lid 1 AVG). Omdat er in zorginformatiesystemen in hoge mate gevoelige en kwetsbare persoonsgegevens worden verwerkt, worden er hoge eisen gesteld aan de beveiligingsmaatregelen.
Dus ook dat het toegangsbeleid zodanig is ingericht dat alleen die zorgverleners toegang hebben tot zorginformatie en beperkt is tot de patiënt of cliënt waarmee zij een behandelrelatie hebben. Bij het Haga-ziekenhuis waren de autorisaties niet als zodanig ingericht en kon er ongelimiteerd gekeken worden in een bepaald dossier. Natuurlijk staat de casus bij Haga niet op zich en kunnen andere zorginstellingen leren van het Haga-onderzoek wat is uitgevoerd door de AP. Heeft jouw zorginstelling alles op orde?
De belangrijkste lessen van het Haga-onderzoek op een rijtje:
Lees ook: Hoe laat ik mijn organisatie privacy awareness ademen?
De noodknopprocedure geldt als de uitzondering op het normale toegangscontrolebeleid. Deze kan worden ingezet als er een specifieke reden is om toch toegang te verkrijgen tot gegevens van een cliënt of patiënt waarmee men geen primaire behandelrelatie heeft (in medische en administratieve zin). Uit ervaring blijkt dat het inzetten van de noodknopprocedure eerder regel dan uitzondering is.
Op het moment dat de noodknopprocedure wordt gestart, wordt er een scherm getoond waarin een waarschuwing wordt gegeven. Bij deze waarschuwing is de gebruiker verplicht de reden op te geven waarom hij de gegevens in wil zien. Deze procedure wordt getoond als:
De procedure wordt aldus getoond als er sprake is van een afwijking ten opzichte van de door de zorginstelling gekozen autorisaties.
Ook voor de noodknopprocedure is het van belang, dat je het gebruik daarvan regelmatig controleert en nagaat. Daarnaast zal je ervoor moeten zorgen dat het gebruik beperkt blijft tot uitzonderlijke gevallen. Alleen moet het hebben van deze noodknop-functionaliteit er ook niet toe leiden dat er nadelige effecten optreden voor de zorg aan de patiënt of cliënt. Bijvoorbeeld als dit snelle toegang tot essentiële gegevens van de patiënt of cliënt in de weg zit. Als toegang tot informatie noodzakelijk is voor het verlenen van goede zorg en in acute situaties nodig is, dan is toegang altijd legitiem.
Heeft jouw zorginstelling geen noodknopprocedure ingebouwd in het zorginformatiesysteem en is jouw zorginstelling ook niet van plan dit te gaan implementeren? Dan is het in ieder geval zaak dat er ‘red flags’/signaleringen worden benoemd, op basis waarop je de toegang controleert. Red flags kunnen bijvoorbeeld zijn: de toegang na overplaatsing, de toegang tot patiënten/cliënten die recent in het nieuws zijn geweest of het feit dat een medewerker brede toegang heeft. Het is dan zaak dat je in ieder geval bijhoudt hoe vaak er toegang is geweest tot een dossier en wat de reden daarvan was.
Naast toegangscontrolebeleid en een passende noodknopprocedure is het ook zaak dat je logbestanden maakt van gebeurtenissen rondom gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen.
Dat betekent dat je alle activiteiten waarbij acties plaatsvinden die betrekking hebben op een patiëntdossier (waaronder het inzien van gegevens) worden logt. Ook gebeurtenissen die niet vallen onder de normale procedures voor toegang tot gegevens zoals het toepassen van de hierboven beschreven noodknopprocedure.
Norm 12.4.1 van de NEN 7510-2 (2017) bepaalt verder dat logbestanden regelmatig behoren te worden gecontroleerd. De AP hanteert hierbij als uitgangspunt dat sprake dient te zijn van systematische, consequente controle van alle logging. Een steekproefsgewijze controle of controle op basis van klachten is niet voldoende.
Het belang van goede logging-registratie is sinds 1 juli 2020 een stuk groter geworden, nu de patiënt/cliënt ook gerechtigd is tot inzage tot deze logginggegevens en op die manier kan verifiëren wie en wanneer toegang heeft gehad tot zijn/haar dossier, als er gebruik gemaakt wordt van een elektronisch uitwisselingsysteem.
Bij een zogenaamd elektronisch uitwisselingsysteem is er sprake van ‘push’en ‘pull’ verkeer en toegang voor verschillende zorgverleners van binnen en buiten de instelling. Denk hierbij aan een persoonlijke gezondheidsomgeving (‘PGO’) of een elektronisch voorschrijfssysteem (‘EVS’).
Op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) hebben patiënten het recht op kosteloze elektronische inzage in een afschrift van een dossier en het recht op inzage in de logging.
Op grond van de AVG zal je ook de patiënt of cliënt moeten informeren dat deze rechten kunnen worden uitgeoefend. Het is dan ook raadzaam om de privacyverklaring daarop aan te passen, wanneer je gegevens via een elektronisch uitwisselingsysteem beschikbaar stelt voor andere zorgverleners. Ook zal je het proces rondom het afwikkelen van een inzageverzoek hierop moeten aanpassen.
Dit vraagt niet alleen een goede en weloverwogen inrichting, maar ook reguliere controle en evaluatie. Wil je gericht advies ten aanzien van toegangscontrolebeleid of over een passend bewustwordingsprogramma voor jouw zorginstelling? Neem dan contact op met een van onze legal consultants en privacy officers.
Legal consultants
Blijf op de hoogte van al het Legal nieuws in onze nieuwsbrief!