5 tips om het gluren in dossiers tegen te gaan

10-04-2019

Merwe, Martine van de

In 2018 kwam het Haga Ziekenhuis in Den Haag erover in het nieuws. Begin 2019 was het de beurt aan het Amsterdamse OVLG: onbevoegde medewerkers die rondneuzen in de medisch dossiers van patiënten. De landelijke verontwaardiging was groot. Is het nou echt zo moeilijk om gegevens adequaat af te schermen? Nou... er zitten nogal wat haken en ogen aan, ja.

Nieuwsgierige Aagjes en goedbedoelende zielen

De Autoriteit Persoonsgegevens is duidelijk: alleen zorgmedewerkers die direct betrokken zijn bij een behandeling mogen medische gegevens van een patiënt inzien. Toch gingen tientallen medewerkers in de fout.

In het geval van het Haga Ziekenhuis gebeurde dit veelal uit nieuwsgierigheid: ze wilden meer weten over realityster Barbie. In het OVLG speelde verveling een rol: werkstudenten die hun werk zat waren, disten ‘sappige verhalen’ op uit de dossiers, rapporteerde de Volkskrant in februari.

Maar de privacy werd ook uit oprechte betrokkenheid geschonden. Bijvoorbeeld door een assistent die het dossier van haar dochter thuis wilde bespreken, of een verpleegkundige die via het elektronisch cliëntendossier naging hoe het met haar kennis ging.

Het is lang niet altijd kwade opzet. Maar in zo´n dossier staat zeer persoonlijke informatie. Diagnoses, prognoses, medicijngebruik. De mening van artsen, de vragen van de patiënt…Het lijkt mij verschrikkelijk als vreemden zonder reden mijn gegevens zouden kunnen inzien. Wat eenmaal gelekt is, is immers nooit meer terug te halen.

Het meest verontrustend is nog wel dat dit probleem niet alleen speelt bij het Haga Ziekenhuis en het OVLG. In mijn werk zie ik veel zorginstellingen hiermee worstelen.

Ingewikkelde autorisatieprocessen

Het ís ook ingewikkeld om autorisatie goed te regelen. Denk maar eens mee: er werken honderden, soms duizenden mensen in een zorginstelling. Als een van hen ziek is, moet een ander snel inspringen. Mensen wisselen nogal eens van baan of afdeling. En in geval van spoed kan het wachten op toegang tot systemen zelfs levens kosten!

Het is simpelweg niet mogelijk om elke ochtend de profielen van alle medewerkers opnieuw in te stellen. Ook het dagelijks werk wordt overigens ondoenlijk wanneer je steeds met waarschuwingsschermpjes wordt geconfronteerd.

Zijn we dan gedoemd om heilloos toe te kijken wanneer de privacy wordt geschonden? Natuurlijk niet.

Oplossingen

In het Haga Ziekenhuis moeten medewerkers nu aangeven waarom ze toegang tot gegevens willen. Bovendien wordt bijgehouden wie het dossier heeft bekeken. Ten slotte zijn alle betrokken medewerkers berispt.

Het OVLG heeft alle autorisaties kritisch tegen het licht gehouden en aanpassingen doorgevoerd. Daarnaast zijn de medewerkers gewezen op het belang van een verantwoorde omgang met de patiëntendossiers. Ook voert het OVLG, net als het Haga Ziekenhuis, steekproefsgewijs controles uit om vast te stellen wie welke dossiers heeft ingezien.

Dit is ook de boodschap die ik met mijn handboek “Zorg voor privacy” uitdraag: regel wat technisch te regelen valt. Zorg daarnaast dat mensen heel goed weten wat privacy inhoudt, waarom het zo belangrijk is en hoe ze ermee moeten omgaan. Dan zal het ongeoorloofd rondneuzen in andermans informatie minder vaak voorkomen.

In het boek geef ik praktische handvatten voor het ontwerpen van een privacybewuste organisatie. De volgende tips komen ook uit het boek:

  1. Geef voorlichting over wat je van de medewerkers verwacht
    Zorg allereerst dat medewerkers weten wat wel en niet is toegestaan. Bespreek dit met elkaar en zie erop toe dat de afspraken op schrift staan.

  2. Controle op logging
    Daarnaast gaat er een sterk preventieve werking uit van steekproefsgewijze controles op wie welke dossiers heeft ingezien. Het is wel belangrijk om vooraf aan te kondigen dat dit soort controles plaatsvinden. Dit zal potentiële snuffelaars motiveren om hun nieuwsgierigheid te bedwingen.

  3. De noodknop
    Soms is het verstandig om bevoegdheden niet technisch in te perken. Bijvoorbeeld wanneer flexibiliteit behouden moet blijven. In dat geval biedt een noodknop uitkomst. Dit is een waarschuwing op het beeldscherm dat je een dossier buiten je eigen bevoegdheid gaat openen. Ik raad overigens aan om ook het gebruik van de noodknop achteraf te controleren.

  4. Kies bewust voor autorisatie
    Laat medewerkers melden wanneer ze bepaalde werkzaamheden door beperkte toegang niet kunnen doen. Soms moet de autorisatie worden herzien. En soms ook niet. Misschien wil een organisatie niet dat bijvoorbeeld een zorgplan door een beginnende begeleider wordt opgesteld. Oók niet onder het account van een ander medewerker. Dit kan dan maar beter duidelijk zijn.

  5. Geef geen wachtwoorden af
    Als laatste een tip over het delen van wachtwoorden. Als een organisatie het goed vindt dat bijvoorbeeld een secretaresse kostendeclaraties goedkeurt in plaats van een manager, regel dan autorisatie. Op die manier hoeft de manager zijn of haar wachtwoord niet aan de secretaresse door te geven en is het voor iedereen helder wie wat heeft gedaan, goedgekeurd en bekeken.

Bewaar de balans

Het komt erop neer dat privacybewustzijn onder medewerkers net zo belangrijk is als het technisch afschermen van gegevens. Daarom adviseer ik om zoveel mogelijk technisch te regelen. Mensen moeten alleen informatie kunnen inzien wanneer dat voor hun behandelrelatie relevant is. Zorg dus voor beperkingen vooraf en controleer achteraf wie welk dossier heeft ingezien.

Maar bewaar de balans: de zorg moet uitvoerbaar zijn, en de administratieve lasten acceptabel. Dat kan alleen als er een cultuur heerst waarin het snuffelen in dossiers not done is.


Op 31 oktober 2019 geeft Martine van de Merwe de cursus Creëren van privacybewustzijn in organisaties

Martine van de Merwe is auteur van het boek 'Zorg voor privacy'

Dit artikel is ook te vinden in het dossier Privacy in de zorg

Van onze partners

Cursus: werken aan een privacybewuste organisatie

Na deze afwisselende en interactieve cursus kunnen deelnemers een privacybewustzijnsproces in hun eigen organisatie initiëren.

→ Lees meer

Inkoop Software (diensten)

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer