CBP: Twee regionale elektronische patiëntendossiers in strijd met de wet 
Patiënten niet geïnformeerd over opname van hun gegevens 

Persbericht, 27 mei 2009
Het College bescherming persoonsgegevens (CBP) constateert na onderzoek bij twee lopende regionale elektronische patiëntendossiers (EPD's) dat de Wet bescherming persoonsgegevens (Wbp) wordt overtreden. Dit is zorgwekkend omdat het de uitwisseling van medische gegevens betreft die per definitie privacygevoelig zijn. Mensen moeten worden geïnformeerd over de opname van hun gegevens in een regionaal EPD en er op kunnen vertrouwen dat alleen de behandelend arts toegang heeft tot hun medische gegevens. Samenwerkingsverbanden dienen voldoende maatregelen te nemen om dit te garanderen. De onderzochte initiatieven informeerden patiënten niet persoonlijk over de opname van hun gegevens in het regionaal elektronisch patiëntendossier. Zo is het mogelijk dat mensen die bezwaar maakten te worden opgenomen in het landelijk EPD zonder het te weten reeds opgenomen zijn in een regionaal EPD. De onderzochte initiatieven namen verder onvoldoende maatregelen om te zorgen dat alleen artsen die een behandelrelatie met de patiënt hebben, toegang hebben tot het dossier. Het CBP constateerde ook dat raadplegingen van het systeem wel werden 'gelogd' maar dat geen structurele controle werd uitgevoerd om na te gaan of artsen zonder behandelrelatie onbevoegd toegang hadden gezocht tot een patiëntendossier. Gezien de privacygevoeligheid van de gegevens is het van het grootste belang dat de geconstateerde onrechtmatigheden zo snel mogelijk worden weggenomen.
pdf documentlees de definitieve bevindingen van het onderzoek bij CHP (32 KB)
pdf documentlees de definitieve bevindingen van het onderzoek bij SPITZ-MH (33 KB)

Het CBP heeft in februari en maart 2009 onderzoeken uitgevoerd bij de Centrale Huisartsenpost Gorinchem (CHP) en de Stichting Schakelpunt Informatie Transmurale Zorg Midden-Holland (SPITZ-MH).

Informatieplicht
De CHP en SPITZ-MH hebben verzuimd patiënten persoonlijk te informeren op het moment dat hun persoonsgegevens werden opgenomen in het uitwisselingssysteem. Deze overtredingen zijn zorgwekkend aangezien mensen moeten weten wie welke gegevens met welk doel verwerkt. Als zij niet op de hoogte zijn gesteld dat hun persoonsgegevens in een regionaal EPD worden opgenomen, kunnen zij ook hun rechten niet uitoefenen, zoals het recht hiertegen bezwaar te maken.

Toegangsbeveiliging
SPITZ-MH toont zorgverleners die toegang zoeken tot het systeem een waarschuwingsscherm waarin wordt gevraagd of de zorgverlener een behandelrelatie met de patiënt heeft. Deze verantwoordelijke neemt echter geen aanvullende maatregelen om te voorkomen dat een aangesloten zorgverlener via het systeem gegevens inziet van een patiënt die hij op dat moment niet behandelt. De CHP heeft een gedragscode opgesteld over de toegang tot de dossiers en ‘logt’ de raadplegingen, maar heeft hiernaast geen maatregelen genomen om te voorkomen dat een waarnemend huisarts gegevens inziet van een patiënt die op dat moment niet bij hem in behandeling is. Verder maakt de CHP gebruik van een externe dienstverlener die de autorisaties van gebruikers van het systeem kan aanpassen. Hierdoor worden de mogelijkheden tot onbevoegde inzage onnodig verruimd. Deze onderzoeksresultaten zijn zorgwekkend omdat de wet vereist dat degenen die persoonsgegevens verwerken, een passend beveiligingsniveau hanteren om persoonsgegevens te beveiligen tegen onrechtmatige verwerking.

Logging
De CHP ‘logt’ elke raadpleging van een samenvatting van een medisch dossier, maar oefent geen controle op de logging uit om mogelijke onbevoegde toegang te kunnen vaststellen. SPITZ-MH logt alle raadplegingen, maar de logging is niet gericht op verdachte situaties waardoor de logging niet effectief kan worden gebruikt voor structurele controle op de toegang tot patiëntendossiers.

Landelijk EPD en regionale initiatieven
De onderzoeksresultaten die het College bescherming persoonsgegevens vandaag bekend maakt betreffen twee regionale elektronische patiëntendossiers. Dit zijn private initiatieven op regionaal niveau met als doel de elektronische uitwisseling van medische gegevens en zorginformatie. Hiervan te onderscheiden is het landelijk EPD dat minister Klink wil invoeren. Momenteel heeft de Eerste Kamer het wetsvoorstel inzake de invoering van het landelijk EPD in behandeling. Het CBP heeft in juni 2007 een wetgevingsadvies uitgebracht dat kritisch was over het feit dat in het conceptwetsvoorstel de behandelrelatie geen onderdeel uitmaakte van de autorisatieprocedure. Na dit advies is het wetsvoorstel zodanig aangepast dat in beginsel alleen de zorgverlener die een behandelrelatie met een patiënt heeft, toegang krijgt tot diens medisch dossier. Het CBP gaf in april 2008 in een persbericht al de boodschap af dat ook regionale EPD’s aan de wet moeten voldoen. De toezichthouder kondigde hierbij aan de regionale initiatieven nauwlettend te volgen.

zoek
Go Search
Ik wil snel naarSnel naar
header