Inzage in logging-gegevens in GGZ verloopt verre van vlekkeloos
Behandelgegevens van patiënten zijn vertrouwelijke gegevens, ook wel bijzondere persoonsgegevens genoemd. Ze vallen onder het medisch beroepsgeheim. Zeker in de geestelijke gezondheidszorg(GGZ) speelt die vertrouwelijkheid een zeer grote rol. Het is dan ook van groot belang dat deze behandeldata niet ingezien worden door mensen die niets met de behandeling te maken hebben. Onbevoegd inzien van die data, vastgelegd in ICT-systemen, gebeurt gewoon, door medewerkers van zorginstellingen die niets met de behandeling te maken hebben. De “Barbie-zaak” in het voorjaar van 2018 liet dat nog eens pregnant zien. Patiënten kunnen echter logging-data opvragen. Logging is het vastleggen van wie, waar ,wanneer data heeft ingevoerd, gemuteerd en ingezien. Sinds 2010 bestaat de NEN 7513 norm. Daarmee zijn veldnormen bepaald voor het vastleggen van acties op het elektronisch patiëntendossier, zodat achterhaald kan worden wie er toegang heeft gehad tot het dossier. Het opvragen van die logging-data door patiënten verloopt echter verre van vlekkeloos. Uit doorgaans zeer betrouwbare bron vernam ik dat GGZ-instellingen grote moeite hebben met het opvragen van logging-data door patiënten. Het opvragen wordt nogal eens bemoeilijkt. Er worden onnodige vragen gesteld over nut en noodzaak en de verstrekte data zijn nogal eens onoverzichtelijk. Kortom het bestaande recht van de patiënt om gewaar te worden wie zijn/haar zorgdata heeft ingezien wordt niet naar behoren gehonoreerd.
NEN 7513-norm
Het Nederlands Normalisatie-instituut ontwikkelde normen voor de informatiebeveiliging binnen de zorgsector in Nederland. Dat gebeurde met de NEN 7510-norm. De norm is gebaseerd op de Code voor Informatiebeveiliging. Deze code is de Nederlandse versie van de British Standards 7799, ofwel BS 7799, die later als ISO/IEC 17799 als internationale standaard voor informatiebeveiliging in organisaties is gepubliceerd. In 2011 werd de norm NEN 7511 (Toetsbaar voorschrift voor solopraktijken, samenwerkingsverbanden en grote instellingen) opgenomen in de norm NEN 7510. De NEN 7512 is de vertrouwensbasis voor gegevensuitwisseling en de 7513 betreft de logging, d.w.z. het vastleggen van acties op het elektronisch patiëntendossier, zodat achterhaald kan worden wie er toegang heeft gehad tot het dossier. De NEN 7513 wordt thans herzien en bevindt zich thans in een commentaarronde. Publicatie van de nieuwe norm wordt voorzien in het tweede kwartaal van 2019.
Recht
Met de publicatie van een NEN-norm is het vanzelfsprekend dat een patiënt zijn recht kan doen gelden op logging-data. Zorgaanbieders/zorginstellingen dienen een Nen-norm die op hen betrekking heeft te implementeren. Uit een overzicht op de website van Nictiz over de NEN 7513 blijkt dat het met de adoptie van de norm nog niet gunstig gesteld is. Bij de adoptiegraad, oftewel de mate waarin zorgaanbieders/ instellingen van zorgaanbieders de norm toepassen, zijn in november 2018 maar twee van de vijf bolletjes zwart. Blijkbaar is de implementatie van de norm een moeizaam kwestie. Deels heeft dat te maken met het gegeven dat logging eisen stelt aan het vastleggen van acties in elektronische patiëntdossiers en systemen aangepast moeten worden. Deels zal het ook te maken hebben met een noodzakelijke mentaliteitsomslag bij bestuurders van zorginstellingen.
Problemen
Zoals in de inleiding gezegd lokt het vragen om logging-data reacties op die je eigenlijk niet zou mogen verwachten. De wedervraag die dan bijvoorbeeld gesteld wordt door de zorgaanbieder/zorginstelling is: “Waar heeft u dat voor nodig?” of “Vertrouwt U ons soms niet?” Het zijn vragen waar de patiënt geen antwoord op hoeft te geven om de logging-data te verkrijgen. Ook kan de aanvrager een nogal verbaasde vraag krijgen: “Wat wilt u dan precies allemaal hebben”? En dat terwijl de vraag om logging-data gewoon inhoudt dat de patiënt simpelweg zelf wil inzien wie met welke functie welke data heeft ingezien en/of gedeeld met derden.
Daarnaast is het voorgekomen dat een patiënt zo’n enorme hoeveelheid uitgeprinte data heeft ontvangen dat er alleen met zeer grote moeite de door de patiënt gewenste informatie uit de rijstebrijberg van data te halen is.
Kortom het is slecht gesteld met de beschikbaarheid en openheid ten aanzien van logging-data.
Herziening NEN 7513
Een groot verschil met de bestaande NEN 7513-norm is dat in de herziene versie de norm niet alleen voorschrijft voor welke gegevens moet worden gelogd. De nieuwe versie beschrijft ook hoe deze gegevens op een begrijpelijke wijze kunnen worden verwerkt. Alleen dan kan de patiënt op een inzichtelijke wijze aan de door hem/haar gevraagde informatie komen.
Er is nog een lange weg te gaan voor de nieuwe NEN 7513 norm na publicatie in 2019 een grote adoptiegraad bereikt heeft.
W.J. Jongejan, 5 november 2018
Recente reacties