CBP: Twee regionale elektronische patiëntendossiers in strijd met de wet

0
236

Patienten niet geïnformeerd over opname van hun gegevens
cbpHet College bescherming persoonsgegevens (CBP) constateert na onderzoek bij twee lopende regionale elektronische patientendossiers (EPD’s) dat de Wet bescherming persoonsgegevens (Wbp) wordt overtreden. Dit is zorgwekkend omdat het de uitwisseling van medische gegevens betreft die per definitie privacygevoelig zijn. Mensen moeten worden geïnformeerd over de opname van hun gegevens in een regionaal EPD en er op kunnen vertrouwen dat alleen de behandelend arts toegang heeft tot hun medische gegevens. Samenwerkingsverbanden dienen voldoende maatregelen te nemen om dit te garanderen. De onderzochte initiatieven informeerden patienten niet persoonlijk over de opname van hun gegevens in het regionaal elektronisch patientendossier. Zo is het mogelijk dat mensen die bezwaar maakten te worden opgenomen in het landelijk EPD zonder het te weten reeds opgenomen zijn in een regionaal EPD. De onderzochte initiatieven namen verder onvoldoende maatregelen om te zorgen dat alleen artsen die een behandelrelatie met de patient hebben, toegang hebben tot het dossier. Het CBP constateerde ook dat raadplegingen van het systeem wel werden ‘gelogd’ maar dat geen structurele controle werd uitgevoerd om na te gaan of artsen zonder behandelrelatie onbevoegd toegang hadden gezocht tot een patientendossier. Gezien de privacygevoeligheid van de gegevens is het van het grootste belang dat de geconstateerde onrechtmatigheden zo snel mogelijk worden weggenomen.

Het CBP heeft in februari en maart 2009 onderzoeken uitgevoerd bij de Centrale Huisartsenpost Gorinchem (CHP) en de Stichting Schakelpunt Informatie Transmurale Zorg Midden-Holland (SPITZ-MH).

Informatieplicht
De CHP en SPITZ-MH hebben verzuimd patienten persoonlijk te informeren op het moment dat hun persoonsgegevens werden opgenomen in het uitwisselingssysteem. Deze overtredingen zijn zorgwekkend aangezien mensen moeten weten wie welke gegevens met welk doel verwerkt. Als zij niet op de hoogte zijn gesteld dat hun persoonsgegevens in een regionaal EPD worden opgenomen, kunnen zij ook hun rechten niet uitoefenen, zoals het recht hiertegen bezwaar te maken.

Toegangsbeveiliging
SPITZ-MH toont zorgverleners die toegang zoeken tot het systeem een waarschuwingsscherm waarin wordt gevraagd of de zorgverlener een behandelrelatie met de patient heeft. Deze verantwoordelijk neemt echter geen aanvullende maatregelen om te voorkomen dat een aangesloten zorgverlener via het systeem gegevens inziet van een patient die hij op dat moment niet behandelt. De CHP heeft een gedragscode opgesteld over de toegang tot de dossiers en ‘logt’ de raadplegingen, maar heeft hiernaast geen maatregelen genomen om te voorkomen dat een waarnemend huisarts gegevens inziet van een patient die op dat moment niet bij hem in behandeling is. Verder maakt de CHP gebruik van een externe dienstverlener die de autorisaties van gebruikers van het systeem kan aanpassen. Hierdoor worden de mogelijkheden tot onbevoegde inzake onnodig verruimd. Deze onderzoeksresultaten zijn zorgwekkend omdat de wet vereist dat degenen die persoonsgegevens verwerken, een passend beveiligingsniveau hanteren om persoonsgegevens te beveiligen tegen onrechtmatige verwerking.

Logging
De CHP ‘logt’ elke raadpleging van een samenvatting van een medisch dossier, maar oefent geen controle op de logging uit om mogelijke onbevoegde toegang te kunnen vaststellen. SPITZ-MH logt alle raadplegingen, maar de logging is niet gericht op verdachte situaties waardoor de logging niet effectief kan worden gebruikt voor structurele controle op de toegang tot patientendossiers.

Landelijk EPD en regionale initiatieven
De onderzoeksresultaten die het College bescherming persoonsgegevens vandaag bekend maakt betreffen twee regionale elektronische patientendossiers. Dit zijn private initiatieven op regionaal niveau met als doel de elektronische uitwisseling van medische gegevens en zorginformatie. Hiervan te onderscheiden is het landelijk EPD dat minister Klink wil invoeren. Momenteel heeft de Eerste Kamer het wetsvoorstel inzake de invoering van het landelijk EPD in behandeling. Het CBP heeft in juni 2007 een wetgevingsadvies uitgebracht dat kritisch was over het feit dat in het conceptwetsvoorstel de behandelrelatie geen onderdeel uitmaakte van de autorisatieprocedure. Na dit advies is het wetsvoorstel zodanig aangepast dat in beginsel alleen de zorgverlener die een behandelrelatie met een patient heeft, toegang krijgt tot diens medisch dossier. Het CBP gaf in april 2008 in een persbericht al de boodschap af dat ook regionale EPD’s aan de wet moeten voldoen. De toezichthouder kondigde hierbij aan de regionale initiatieven nauwlettend te volgen.

Bron: CBP