Print 🖨 PDF 📄 eBook 📱

Noodknop digitale inzage medische dossier enorme kwetsbaarheid

noodknopOp 3 februari stond in het dagblad Trouw een zeer opvallend artikel over het enorme aantal van 160 medewerkers van een GGZ-instelling die een cliëntdossier inzagen. Het betrof een vrouw die in behandeling was bij GGzE. Deze GGZ-instelling is werkzaam in en rondom Eindhoven. Toen de cliënte zekerheid wilde hebben over de veiligheid van haar gegevens en opvroeg wie allemaal toegang tot haar dossier hadden gezocht bleek het om 160 medewerkers te gaan. Het is onmogelijk dat een dergelijk aantal mensen allemaal betrokken waren bij de zorg aan haar, hetzij direct hetzij indirect. Zij bracht haar klacht hierover in bij de Geschillencommissie Geestelijk Gezondheidszorg. Ook de Autoriteit Persoonsgegevens buigt zich nu over deze ongebreidelde dossierinzage. Het “lek” zit hem in het gebruik van de zogenaamde noodknop die het ICT-systeem van GGzE heeft. Noodknoppen zitten ook in andere systemen. De vormgeving maakt de noodprocedure kwetsbaar. Het kan wel degelijk anders.

Noodknop

Voor het gebruik van de noodknop om inzage te krijgen in een dossier was in GGzE maar heel weinig nodig, slechts naam en geboortedatum. De noodknop is bedoeld voor spoedgevallen, bijv. in de GGZ bij patiënten die in behandeling zijn en zich opeens van het leven willen beroven. Zo kunnen andere zorgverleners dan die de cliënt regulier behandelen het dossier inzien. Die 160 personen die het dossier inzagen kunnen onmogelijk allemaal personen zijn die op één of andere manier zorg verleenden aan de cliënt. Het moet wel een ongezonde, ongeoorloofde, nieuwsgierigheid geweest zijn. Met 160 personen overtreft deze casus de 85 die tot heden het record waren. Tenminste voor zover uit de pers bekend. Het eerdere record speelde in de “Barbie”-zaak in het HAGA-ziekenhuis in Den Haag.

Zwakke verdediging GGzE

De instelling verdedigt zich door te stellen dat de mensen die het dossier inzagen dat mochten op basis van de “autorisatie-matrix””. Daar gaat het echter niet over. Het gaat erover of de personen wel betrokken waren bij de behandeling van cliënte. Het hebben van een behandelrelatie dus. Nog  zwakker en heel formalistisch is het betoog van GGzE dat cliënte niet ontvankelijk zou moeten worden verklaard in haar klacht over GGzE bij de geschillencommissie omdat ze enkele maanden te laat die klacht ingediend zou hebben.

Logging en controle op logging

Wat blijkt is dat GGzE wel de logging deed van wie inzage had in het dossier, maar nimmer die logging controleerde.

Dat is een cruciale beveiligingstoets die men oversloeg. Precies het zelfde bleek in de rechtszitting op 28 januari j.l. in de zaak ven de coalitie Vertrouwen in de GGZ tegen de Nederlandse Zorgautoriteit(NZa)over het verzamelen van HONOS-data van 800.000 GGZ-cliënten. De data-analist van de GGZ die daar vragen van de rechters beantwoordde zei dat de NZa wel de toegang tot twee in principe aan elkaar koppelbare databases logde, maar de logging nimmer controleert. Een cruciaal manco is dat.

Noodknop in Mitz

Op deze website schreef ik al vele malen over de Online ToestemmingsVoorziening(OTV) Mitz die VZVZ als private organisatie wil uitrollen in de zorg. In Mitz wil men dat de toestemmingen komen vast te leggen van patiënten om hun gegevens opvraagbaar te maken. Men heeft in Mitz een spoedgevallen-noodknop ingebouwd. Daarmee kan een zorgverlener die in een spoedsituatie gegevens wil inzien die bij de huisarts of apotheek (en in de toekomst ook elders) 3×24 uur toestemming verkrijgen tot die zorgdata. Degene die de noodknop gebruikt moet aangeven dat hij/zij een behandelrelatie met de patiënt heeft. De patiënt wordt achteraf, via Mijn Mitz of via de website www.volgjezorg.nl van VZVZ ingelicht over die inzage. Het probleem is dat dan die inzage al heeft plaatsgevonden, medische gegevens gekopieerd kunnen zijn in het ICT-systeem van de opvrager. Als die dan ooit bevraagd wordt via het LSP vindt verdere proliferatie van de zorgdata plaats.

Het hoeft helemaal niet zo

Voorstanders van deze noodknoppen bij gecentraliseerde systemen betogen dat men die voorziening wel zo moet construeren. Dat is een enorme misvatting. Het kan namelijk totaal anders. Zoals bij decentrale systemen die werken met zogenaamde push-autorisatie zoals het Whitebox-systeem. Dan kan de patiënt digitaal bij het huisarts-ICT-systeem een spoedcode aanmaken. Of bijvoorbeeld in een aan het huisartssysteem gekoppelde app. Net zoals een PIN-code is de spoedcode een getal van meerdere cijfers. De patiënt draagt de spoedcode op papier bij zich of op zijn smartphone bij de medische gegevens plaatsen. Met die spoedcode kan een spoedhulp verlenende zorgverlener gedurende 24 uur een dataset opvragen die tussen de huisarts en de patiënt eerder is overeen gekomen. Die spoedcode is maar 24 uur geldig. Daarna moet de patiënt een nieuwe spoedcode aanmaken. Dit voorkomt langdurig misbruik van die code. De patiënt bepaalt de toegang, niet de zorgverlener.

Spoed-/noodknop

Met het bovenstaande maakte ik u duidelijk dat een de spoed-/noodknop in zorgICT-systemen een zeer duidelijk privacy-risico inhoudt. Het maakt het mogelijk dat onterechte inzage in medische dossiers plaats kan vinden. Een onterechte inzage zonder behandelrelatie is een ernstige inbreuk op de privacy, waarop maar één maatregel kan staan. Dat is ontslag.

W.J. Jongejan, 5 februari 2025

Image by Gerd Altmann from Pixabay

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

This site uses Akismet to reduce spam. Learn how your comment data is processed.