Na het ROM-debacle nu op weg naar een NZa-privacy-debacle
Na het ROM-debacle nu op weg naar een NZa-privacy-debacle. Met het zorgprestatiemodel verzamelt de NZa ROM-data zonder toestemming van de patiënt.
Na het ROM-debacle nu op weg naar een NZa-privacy-debacle. Met het zorgprestatiemodel verzamelt de NZa ROM-data zonder toestemming van de patiënt.
Zorgmedewerkers, van specialisten tot administratief, zijn nogal eens nieuwsgierige aagjes. Ze blijken dan zonder een behandelrelatie met een patiënt te hebben ongeoorloofd medische dossiers in te zien. Op 26 oktober 2021 bracht de voorzitter van de Autoriteit Persoonsgegevens(AP), Aleid Wolfsen, dit zeer duidelijk onder de aandacht in een interview met het online magazine Zorgvisie. De titel was: “Ziekenhuispersoneel kijkt tientallen keren per jaar onbevoegd in medische dossiers BN’ers“. Daarbij refereert Wolfsen aan de ongegeneerde interesse van zorgmedewerkers voor in hun instelling onder behandeling zijnde Bekende Nederlanders(BN-ers), waaronder opvallend veel topsporters. Het blijkt echter niet alleen om die categorieën te gaan. Ook bij een onder behandeling staand familielid, of van een collega in de instelling blijken zorgmedewerkers medische dossiers zonder functionele noodzaak in te zien. Dat staat bijvoorbeeld te lezen in een artikel dat het advocatenkantoor TenHolterNoordam op 2 november 2021 schreef naar aanleiding van bovengenoemd stuk in Zorgvisie.
Ter wille van de workflow en de snelheid van handelen is in de zorg toegangsbeveiliging en veiligheidsbewustzijn een ondergeschoven kind. Het gevolg is dat men werkterminals vaak alleen beveiligt met een inlognaam en wachtwoord. Waarbij het wachtwoord vaak ook nog circuleert onder te veel medewerkers of ergens op een geel papiertje op de monitor geplakt zit. Dit maakt het mogelijk dat medewerkers die geen functionele noodzaak hebben om een bepaald dossier in te zien zich makkelijk toegang kunnen verschaffen. Logging, het vastleggen, wie wat, wanneer, inzag in het systeem hoort plaats te vinden maar dient men ook te controleren. Het HAGA-ziekenhuis, waar 85 medewerkers het medisch dossier van BN-er “Barbie” inzagen, controleerde destijds steekproefsgewijs van slechts zes dossiers per kwartaal de loggingsdata!!!! Terecht kreeg het ziekenhuis van de AP in 2018 een boete van 460.000 euro vanwege haar tekortschietende veiligheidsbeleid.
Besturen van ziekenhuizen en andere zorginstellingen dienen een actief veiligheidsbeleid te voeren en veiligheidsbewustzijn te bevorderen. Personeel van hoog tot laag dient men bij indiensttreding en daarna met enige regelmaat duidelijk te maken hoe laakbaar dergelijk handelen is en wat de consequenties zijn van het zonder functionele noodzaak inzien van medische dossiers. Ook dient men medici waarbij patiënten aangegeven hebben daar niet meer door behandeld te willen worden duidelijk te maken dat na beëindigen van de behandelrelatie het inzien van het dossier niet meer geoorloofd is. Dit speelde recent in een tuchtzaak tegen een gynaecoloog in een groot ziekenhuis. Ook dient men ervoor de zorgen dat personeel bij inloggen in systemen gebruikt maakt van een twee-traps-verificatie. Dat betekent dat men inlogt met iets dat men weet (inlognaam en wachtwoord) plus iets wat men bezit. Dat kan een “token” zijn, een naar smartphone gestuurde verificatiecode of een speciale toegangspas.
In de casus van bovengenoemde tuchtzaak vroeg de klagende patiënte de logging op van haar elektronische medische dossier in het ziekenhuisinformatiesysteem(ZIS). Maar liefst 45 personen bleken zonder functionele noodzaak haar dossier ingekeken te hebben. Het ziekenhuis denkt daar nogal makkelijk mee weg te komen. Een woordvoerster zei eerst dat het ziekenhuis zich niet in de geschetste situatie herkende. Maar zei in één adem er achteraan dat het niet meer te controleren was omdat het dossier vernietigd was op last van de patiënte. RTV Utrecht berichtte over deze materie op 24 september 2021.
Het inzien van medische dossiers zonder functionele noodzaak vormt een zeer ernstige schending van het medisch beroepsgeheim. Het wijst op een volstrekt ontbreken van een moreel kompas bij degenen die zoiets doen. De overtreders brengen grote schade toe aan het medisch beroepsgeheim. Het is des te erger omdat men van werkers in de zorg meer nog dan van willekeurige burgers mag verwachten dat zij beseffen wat de aard en de omvang van het medisch beroepsgeheim is.
Helaas blijkt men in de zorg zeer hardnekkig te zondigen. In 2020 kwamen 8000 meldingen van datalekken in de zorg bij de AP. Dat is dertig procent van het totaal aantal gemelde datalekken.
W.J. Jongejan, 10 november 2021
Afbeelding van Clker-Free-Vector-Images via Pixabay
Heel langzaam schuift de behandeling van het Wetsontwerp bevorderen samenwerking en rechtmatige zorg(Wbsrz) in de Tweede kamer richting plenaire behandeling. Agendering vindt thans plaats. Op 15 december 2020 reageerde de minister voor de zorg Tamara van Ark op de vele vragen in een Nota naar aanleiding van Verslag. Daarin antwoordt zij op de zeer vele, bijzonder kritische vragen die haar gesteld waren in het zogeheten Verslag. Uit de beantwoording van die kritische vragen door van Ark is af te leiden dat het wetsontwerp meerdere illegale aspecten heeft, hoe vreemd dat ook klinkt. Vanaf september 2020 publiceerde ik meermaals over dit wetsontwerp en kwamen enkele facetten al aan de orde. Dat was op 9 september, 19 oktober, 12 november en 14 november. In het wetsontwerp speelt de oprichting van twee organen: het Waarschuwingsregister en de stichting InformatieKnooppunt Zorgfraude(KIZ). Lees meer
Op 21 september 2020 schreef ik over de open consultatie van het Informatieberaad, vallend onder het ministerie van VWS, over de poging tot realisatie van Mitz, als Online ToestemmingsVoorziening(OTV). Het gaat om een private, megalomane, gecentraliseerde database, gekoppeld aan elektronische zorgdata-uitwisselingssystemen zoals het Landelijk SchakelPunt. In de documentatie bij die consultatie staat meer dan eens dat het medisch beroepsgeheim opgeheven is als de patiënt toestemming geeft om zijn zorgdata raadpleegbaar te maken voor andere zorgverleners. Niets is minder waar. Deze gedachte gaat uit van een verkeerde premisse. Namelijk de vooronderstelling dat de rol van de zorgverlener als medisch geheimhouder ophoudt te bestaan als de patiënt maar toestemming heeft gegeven. Toestemming om medische informatie over hem/haar naar andere zorgverleners te sturen dan wel elektronisch raadpleegbaar te maken. Lees meer
Recente reacties