Toegang tot dossiers staat te ruim open
Op grond van de wet mogen, behoudens toestemming van de patient, alleen medewerkers die rechtstreeks betrokken zijn bij de behandeling van een patient toegang krijgen tot een dossier. Het CBP constateert dat hier in de praktijk invulling aan wordt gegeven door in de software autorisaties te plaatsen op basis van functie of van functie en werkcontext (dus bijvoorbeeld binnen een bepaalde afdeling). Het effect van die gemaakte instellingen is dat bijvoorbeeld alle artsen (bij variant twee: binnen een bepaalde afdeling) op basis van hun functie toegang hebben tot alle dossiers. Het CBP constateert dat hiermee niet aan de wet wordt voldaan:
Het CBP constateert dat de wijze van autoriseren van zorgmedewerkers waarbij onderscheid wordt gemaakt op basis van functie (variant I) of op basis van functie en werkcontext (variant II) niet zodanig zijn dat daarmee wordt bereikt dat uitsluitend toegang mogelijk is tot gegevens in patiëntendossiers voor medewerkers voor wie dat gelet op een rechtstreekse betrokkenheid bij de behandeling/verzorging van een patiënt noodzakelijk is.
Geen logging en controle op die logs
Op grond van de normen NEN7510-7513 moet logging plaatsvinden van alle acties die plaatsvinden met patientgegevens. Die logs dienen bovendien stelselmatig gecontroleerd te worden. Het CBP constateert dat beide zaken op dit moment niet gebeuren.
Verouderde software geen excuus
De zorginstellingen hebben zich kennelijk verweerd met de stelling dat de software geen mogelijkheden tot meer verfijnde autorisaties en betere logging biedt. Het CBP laat in reactie hierop weten dat dit in ieder geval geen valide verweer is als de software verouderd is. De vraag is of de huidige stand van de techniek deze mate van beveiliging ondersteunt.
Het verweer dat ook de huidige/moderne software dergelijke maatregelen niet ondersteunt, wordt min of meer ook verworpen door het CBP. Het CBP wijst er namelijk op dat in dat geval van zorginstellingen mag worden verlangd dat er verder wordt ingezet op het (laten) verbeteren/aanpassen van die software. En als de software niet tijdig geschikt is te maken, dan moeten er maar meer mensen worden ingezet:
Bij het ontbreken van technologische voorzieningen voor adequate informatiebeveiliging is derhalve de inzet van (voldoende) menskracht aangewezen om het vereiste passende beveiligingsniveau te garanderen.
Dat die inzet van personeel disproportioneel meer zou kosten dan inzet van goede software, wordt ook als excuus door het CBP verworpen:
Het CBP merkt op dat het vereiste van passende maatregelen in artikel 13 Wbp niet impliceert dat bij het – vooralsnog – ontbreken van ‘ideale’ maatregelen kan worden afgezien van (tijdsintensievere) maatregelen waarmee resultaat kan worden geboekt.
Geheimhouding is ook geen excuus
Het feit dat alle zorginstellingen geheimhouding zijn overeengekomen met hun medewerkers wordt op zichzelf door het CBP toegejuicht, maar dit doet verder niets af aan de verplichting patientendossiers ook goed te beveiligen.
Gebrek aan geld ook geen valide reden
Ook een eventueel gebrek aan geld wordt door het CBP verworpen als excuus:
Het CBP merkt op dat kosten in wettelijke zin geen valide reden kunnen zijn voor zorginstellingen om blijvend een achterstand op te lopen in het gebruik van een instellings-EPD dat voldoet aan de actuele stand van de techniek.
Slotopmerking
Het CBP legt de lat hoog. Dat is overigens ook begrijpelijk, alleen al gelet op de rol en functie van het CBP. Volledig voldoen aan deze eisen zal echter wel het nodige vergen van de zorginstellingen. Er zal immers op enigerlei wijze moeten worden geregistreerd welke hulpverleners een actuele behandelrelatie met een bepaalde patient hebben, om te kunnen voldoen aan deze eisen rondom autorisaties. Dat vergt veel werk. Dat zal te meer klemmen in de grotere zorginstellingen met duizenden personeelsleden en tienduizenden patienten. Het aantal autorisaties zal in een dergelijke organisatie exponentieel toenenen, de vraag is of dat nog te beheersen valt. Ook brengt een dergelijke afdeling forse (!) kosten met zich mee. Ziekenhuisbestuurders zullen die kosten ongetwijfeld afwegen tegen de hoogte van de potentiele dwangsommen. De discussie over dit onderwerp is dan ook ongetwijfeld nog lang niet afgerond.
