Managed hosting door True

Haga in beroep tegen forse boete epd-lek Barbie

Ziekenhuis zoekt software voor geautomatiseerde controle van logging

 

Zorg

Het Haagse Haga Ziekenhuis tekent bezwaar aan tegen een boete van 460.000 euro van de Autoriteit Persoongegevens. Het ziekenhuis krijgt die boete opgelegd omdat meerdere medewerkers onnodig het medisch dossier hebben ingezien van Samantha de Jong, beter bekend als reality-ster Barbie. Volgens het ziekenhuis gaat het om een veel te hoog bedrag. Bovendien belooft het om op tijd verbeteringen door te voeren in de interne beveiliging van elektronische patiëntendossiers (epd's).

Privacytoezichthouder AP meldt na onderzoek dat tientallen medewerkers, die geen behandelrelatie hadden met De Jong, haar dossier hebben ingezien. In verband met de privacy schrijft AP dat het om een bekende Nederlander gaat. Het gaat om onderzoek dat is ingesteld nadat medewerkers het dossier van Barbie hebben ingezien, bevestigt een ziekenhuiswoordvoerder aan Computable. In maart 2018 werd bekend dat 85 medewerkers zonder behandelrelatie haar medisch dossier inkeken na een opname van de reality-ster in het Haagse ziekenhuis.

Om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren, legt de AP naast de boete ook een last onder dwangsom op. Als het Haga de beveiliging niet voor 2 oktober 2019 verbeterd heeft, moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro. 

Voorzitter van de AP, Aleid Wolfsen, vindt het een kwalijke zaak dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. ‘Daarbij past een ferme boete. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent’, stelt hij in een verklaring van de AP.

Vier van de zes verbeterpunten gehaald

Het ziekenhuis meldt dat het aan vier van de zes eisen voldoet die door de AP zijn gesteld om inzage door onbevoegden te voorkomen. Ook zouden voor 2 oktober 2019 de overige twee punten gehaald kunnen worden. Het ziekenhuis gaat dan ook in beroep tegen de boete. 

Haga stelt dat de volgende vier punten zijn gehaald:  

1. Autorisatie en toegangscontrole

'Het Haga Ziekenhuis geeft zorgvuldig de juiste medewerkers de juiste autorisatie om toegang te krijgen tot het patiëntendossier. Daarnaast beschikt het elektronisch patiëntendossier (epd) over een noodknopprocedure die medewerkers waarschuwt en vraagt de reden van inzage te melden. Patiënten die dat wensen kunnen gebruik maken van een zogenaamde schuilnaamprocedure.'

2. Logging

'Het Haga Ziekenhuis registreert elke medewerker die een patiëntendossier raadpleegt. Hierdoor kan elke activiteit van een medewerker in een patiëntendossier altijd gecontroleerd worden.'

3. Bewustwording

'Het Haga Ziekenhuis besteedt veel aandacht aan bewustwording over informatiebeveiliging en privacy met voorlichting en verplichte scholing.'

4. Melden van datalekken

'Het Haga Ziekenhuis beschikt over een intern datalekkenregister en een juiste procedure voor het melden van datalekken.'

Op twee punten is de AP niet tevreden en neemt het Haga Ziekenhuis extra maatregelen. Dat zijn:

5. Authenticatie

'Het HagaZiekenhuis maakt gebruik van twee factor authenticatie. Medewerkers loggen in met een gebruikersnaam en wachtwoord of met hun persoonlijke personeelspas en pincode. Die pincode moet nu al elke vier uur opnieuw worden ingetikt. De AP vindt dat te weinig. Daarom wordt de authenticatie zo aangepast, dat medewerkers bij elke inlog ook hun persoonlijke pincode moeten intikken en het niet meer mogelijk is om zonder pas in te loggen. De eerste aanpassingen zijn al doorgevoerd.'

6. Controle van de logging

'De AP vindt dat het ziekenhuis vaker moet controleren. Het Haga Ziekenhuis verhoogt de frequentie en vraagt de AP hoeveel controles afdoende zijn om het vereiste stempel 'systematisch' te krijgen. Wet- en regelgeving geven nu namelijk geen uitsluitsel over het gewenste aantal controles per jaar.'

Nieuwe software

Directievoorzitter Carla van de Wiel: 'Veel is op orde. De eis om de authenticatie aan te scherpen, voeren we nu in. De AP eist ook dat we meer controles van de logging gaan uitvoeren. Dat doen we tot nu toe handmatig en dat is tijdrovend. Daar zoeken we nu slimme software voor om het sneller en vaker te kunnen doen. Daarnaast blijven we natuurlijk onze medewerkers continu informeren over het belang van de bescherming van patiëntgegevens. Elke medewerker die toegang heeft tot het epd weet wat wel en niet mag. En ik verwacht dat ze elkaar daarop ook blijven aanspreken. Gaat het echt mis, dan heeft dat voor de overtreder ook consequenties.'

Eerder meldde het ziekenhuis dat overtreders op staande voet ontslagen kunnen worden als blijkt dat zij zonder behandelrelatie gegevens bekijken van een patiënt.  

Van de Wiel vindt het zuur dat het opgelegde boetebedrag van 460.000 euro nu niet aan patiëntenzorg kan worden besteed en zegt dat het ziekenhuis er alles aan doet om de boete en dwangsom waarmee de AP dreigt, te vermijden.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/6705708). © Jaarbeurs IT Media.

?

 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures bij AP

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.