Huisarts-EPD wist door softwarefout 20 jaar oude data

huisarts-EPDOp 26 mei 2023 kregen huisartspraktijken die het huisartsinformatiesysteem(HIS) Medicom gebruiken een email van leverancier PharmaPartners. Daarin de melding dat na onderzoek bleek dat de applicatie zonder actie van huisarts/praktijkmedewerker regels uit het dossier verwijdert. Het gaat om regels in de medicatiehistorie/voorschrijfhistorie, die Medicom na twintig jaar blijkt te verwijderen. Dat is een vorm van een datalek. De leverancier van het huisarts-EPD(elektronisch patiëntendossier) Medicom laat weten dat er geen andere typen dossierregels in het geding zijn. Daarbij doelt men op de verslagen van consulten, visites, correspondentie met specialisten of diagnoselijsten. Verwijderen van zorgdata uit een HIS dient altijd door menselijke tussenkomst, dus door de huisarts, te geschieden en nimmer automatisch. PharmaPartners, de leverancier van Medicom,  wijst de huisartsen erop dat die als “verwerkingsverantwoordelijke” bij zo gewiste patiëntendata daarvan melding moeten doen bij de Autoriteit Persoonsgegevens(AP).  In de mail staat niets over het melden door PharmaPartners bij de AP.

Verwijderen van zorgdata

Voor het verwijderen van zorgdata uit medische dossiers zijn richtlijnen opgesteld binnen de Wet op de Geneeskundige BehandelingsOvereenkomst(WGBO). Twintig jaar na de laatste mutatie in een dossier mogen volgens deze wet data verwijderd worden. De hoofdregel is dat de zorgaanbieder (zoals een huisartsenpraktijk/ziekenhuis) het dossier twintig jaar moet bewaren. Dit is gerekend vanaf het tijdstip dat het dossier voor het laatst is gewijzigd. Soms kan het dossier langer worden bewaard dan 20 jaar. Namelijk als:

  • er een andere wettelijke bewaartermijn is;
  • dit noodzakelijk is voor goede hulpverlening;
  • de gegevens van belang zijn voor iemand anders, zoals genetische gegevens die belangrijk kunnen zijn voor familieleden.

Langer bewaren

De hulpverlener kan het dossier langer bewaren dan twintig jaar als dat nodig is om goede zorg te blijven bieden. Bijvoorbeeld als er een chronische aandoening bestaat bij de patiënt. De hulpverlener kan dan alle gegevens over de langdurige of terugkerende behandeling bewaren. De ziektegeschiedenis blijft zo compleet. De patiënt kan ook aan de hulpverlener vragen om (delen van) het dossier langer te bewaren dan twintig jaar.

Huisartsgeneeskunde is levensloopgeneeskunde. De huisarts moet terug kunnen grijpen op historische data als zulks voor behandeling in het heden noodzakelijk is. Daarom vindt er in de huisartsinformatiesystemen vrijwel nooit opschoning van oude dossierregels plaats. En zeker niet automatisch.

Overijverige programmeurs?

Het heeft er alle schijn van dat bij PharmaPartners één of meerdere programmeurs de wettelijke bepaling van de WGBO ten aanzien van het opschonen van medische gegevens ten onrechte erg letterlijk hebben genomen. Ik kan me nog herinneren dat bij het ingaan van de bepalingen over de bewaartermijn van medische gegevens in de WGBO  men van overheidswege vrij resoluut was over het vernietigen van zorgdata na verloop van de bewaartermijn. Binnen huisartsenkringen vond men dat echter wat te boud. Ik kan me nog herinneren dat ooit een specialist, een neuroloog, aan mij als huisarts een kopie vroeg van de ontslagbrief van een patiënt. Dat bleek nodig omdat het ziekenhuis deze brief vernietigd had na de wettelijke bewaartermijn. De neuroloog ging er van uit dat ik als huisarts dat soort data niet zo makkelijk zou vernietigen in het licht van het beoefenen van levensloopgeneeskunde.

Verantwoordelijkheid(1)

In de email die Medicom-gebruikers van PharmaPartners ontvingen staat een passage over het melden aan de AP. Die luidt:

Overeenkomstig onze afspraken met u informeren wij u bij deze over deze inbreuk in verband met persoonsgegevens en de door ons getroffen acties. Graag informeren wij u tevens over uw rol als verwerkingsverantwoordelijke in deze kwestie. Het is hierbij aan u als zorgverlener om te beoordelen of al dan niet melding dient te worden gedaan bij de Autoriteit Persoonsgegevens (AP) en/of de betrokkene.”

Formeel is dat correct, maar het zal lastig voor de huisarts zijn om zelf te zien of in zijn/haar systeem data bij iemand automatisch gewist zijn. Het is ook maar helemaal de vraag of verwijdering in de logging staat. En of die logging makkelijk in te zien is. Hoewel de huisarts verwerkingsverantwoordelijke is, kan men die ook zien als slachtoffer van de foute programmatuur.

Verantwoordelijkheid(2)

PharmaPartners meldt nergens in haar mail dat men zelf ook een melding doet of deed van de softwarefout. Hoewel de huisarts formeel verwerkingsverantwoordelijke is ligt het in de rede dat het bedrijf ook zelf haar verantwoordelijkheid neemt. Zulks door zelf ook melding te ervan te doen bij de AP. Het weglaten van een zinsnede over een dergelijke actie in de email aan de gebruikers wekt de indruk dat men dat achterwege liet.

Bij dit soort fouten is duidelijkheid over ieders verantwoordelijkheid een groot goed.

W.J. Jongejan, 30 mei 2023

Afbeelding van Clker-Free-Vector-Images via Pixabay