De AP spreekt bij monde van een woordvoerder van een ‘ernstige zaak’. Ziekenhuizen moeten alle technische en organisatorische maatregelen nemen die mogelijk zijn om de privacy van patiënten te waarborgen, zo stelt de woordvoerder. “Een complexe maar geen onmogelijke zaak.” In de praktijk hebben alle 2.800 artsen en verpleegkundigen van het ziekenhuis toegang tot alle gegevens van elke patiënt die ooit is opgenomen of behandeld. Privacywetgeving (ook de huidige Wet bescherming persoonsgegevens) bepaalt echter dat medische professionals alleen gegevens mogen inzien die relevant zijn voor de behandeling van hun eigen patiënten.
Mogelijk boete voor schending privacy
Mocht uit het onderzoek van de AP blijken dat er sprake is van ‘ernstige verwijtbare nalatigheid’, dan kan zij onder de huidige wetgeving besluiten het ziekenhuis een boete op te leggen. Vanaf 25 mei, wanneer de AVG de Wbp vervangt, is de overtreding zelf al afdoende om een boete te kunnen krijgen. Volgens het ziekenhuis wordt er voldaan aan alle normen die gelden voor informatiebeveiliging in de zorg, wat juist reden was voor het eigen onderzoek.
Het Haga Ziekenhuis heeft zelf een brief gestuurd naar iedereen die informatie uit het medisch dossier van De Jong heeft opgevraagd. Een commissie onderzoekt wat de reden is dat zij het dossier hebben bekeken. Mocht blijken dat dit niet nodig was in het kader van de behandeling van De Jong (zij werd opgenomen begin 2018 na een overdosis drugs) dan kunnen er disciplinaire maatregelen genomen worden. Dat loopt uiteen van een officiële waarschuwing tot ontslag.
De Volkskrant schrijft dat er volgens de AP jaarlijks zo’n tien vergelijkbare meldingen binnenkomen. In het Westfries Gasthuis (Hoorn) leidde dat in 2017 tot ontslag op staande voet voor een medewerker. In het HagaZiekenhuis zou het ook al eerder gebeurd zijn. Dat weet het ziekenhuis omdat het sinds een half jaar achteraf kan controleren of inzage in het EPD correct was.
Toegang nauwkeurig te bepalen
Volgens Chipsoft, dat naar eigen zeggen 60 procent van de 82 Nederlandse ziekenhuizen zou bedienen, is er in het EPD de optie om nauwkeurig te bepalen wie toegang heeft tot welke gegevens op elk moment. Wel is er een ‘break the glass’ optie voor noodgevallen, waarbij een arts toegang tot gegevens kan forceren.
Het HagaZiekenhuis heeft hier niet voor gekozen omdat er in de praktijk soms wel tot 90 zorgprofessionals betrokken zijn bij één patiënt. Wel wordt er na het incident met De Jong gekeken hoe het Chipsoft-systeem slimmer ingericht kan worden om de privacy van patiënten beter te waarborgen.
Gedragsregels voor informatiebeveiliging
Om de privacy te waarborgen hanteert het ziekenhuis zoals de Volkskrant al schreef gedragsregels op het gebied van informatiebeveiliging. Medewerkers worden worden hierover vanaf hun indiensttreding geïnformeerd. Zij tekenen ook voor geheimhouding in hun arbeidscontract. Daarnaast zijn hulpverleners gebonden aan de geheimhoudingsplicht op grond van de Wet BIG. Ook zijn zij gebonden aan de Wet Geneeskundige Behandel Overeenkomst (WGBO), die bepaalt dat alleen bevoegde functionarissen patiëntendossiers mogen raadplegen van de patiënten die ze behandelen.
Het HagaZiekenhuis stelt permanent alle login-gegevens bij te houden van medewerkers die patiëntendossiers raadplegen. Dat is conform het beleid van Informatiebeveiliging volgens de NEN 7513. Het ziekenhuis controleert periodiek of dossiers door bevoegde medewerkers worden geraadpleegd. In geval van twijfel wordt zorgvuldig onderzoek ingesteld. Hierbij wordt hoor- en wederhoor toegepast.
