De beveiliging van medische dossiers is de verantwoordelijkheid van de zorgaanbieders. Zij dienen van iedere inzage logging te bewaren en deze periodiek te controleren op eventueel misbruik. Dat zegt minister Van Ark (Medische Zorg en Sport) in antwoord op Kamervragen van de VVD.
Aanleiding voor de vragen waren datalekken door een medewerker van het Bravis ziekenhuis, die jarenlang niet werden opgemerkt. Het ziekenhuis heeft dit volgens de minister in 2018 geconstateerd, waarna de beveiliging waar nodig is aangescherpt en arbeidsrechtelijke maatregelen zijn genomen tegen de medewerker. Daarnaast is melding bij de Autoriteit Persoonsgegevens gedaan.
Van Ark: “Het Bravis ziekenhuis verbetert sinds 2018 de informatiebeveiliging, onder andere door inzet van nieuwe systemen die meer mogelijkheden bieden. Het ziekenhuis laat haar informatiebeveiliging en privacybescherming in 2021 toetsen door onafhankelijke deskundigen. Ook neemt het Bravis ziekenhuis deel aan een landelijk programma waarbij alle Nederlandse ziekenhuizen zich in 2021 laten auditen op de toegangsbeveiliging van digitale patiëntendossiers.”
Maatregelen
Als personeel onrechtmatig dossiers raadpleegt, is het volgens de minister aan de werkgever of en welke maatregelen worden genomen. Op grond van artikel 15 van de Algemene Verordening Gegevensbescherming (AVG) hebben mensen recht op inzage in hun medische gegevens en is er een klachtenmogelijkheid via de AP. Daarom is het verplicht loggegevens bij te houden.
Op 1 juli 2020 is artikel 15e van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) in werking getreden. In artikel 15e van de Wabvpz wordt er ingegaan op logging en specifiek welke loggingsinformatie moet worden opgenomen in een afschrift. Op grond van artikel 15e kan een cliënt verzoeken om een overzicht, met daarin opgenomen wie wanneer bepaalde informatie beschikbaar heeft gemaakt en wie wanneer bepaalde informatie heeft ingezien.