HagaZiekenhuis stopt met vragenlijsten vanwege schending AVG

22-07-2020

Het HagaZiekenhuis in Den Haag is voorlopig gestopt met het afnemen van digitale vragenlijsten van ConsultAssistent. Uit onderzoek bleek dat de vragenlijsten op een aantal punten niet voldoet aan de Algemene Verordening Gegevensbescherming (AVG). Alle patiënten zijn geïnformeerd en het ziekenhuis heeft melding gedaan bij de Autoriteit Persoonsgegevens.

Dat schrijft het HagaZiekenhuis in een persbericht.

HagaZiekenhuis wil met ConsultAssistent behandeling van patiënten verbeteren

Patiënten die naar de afdeling Keel, Neus en Oorheelkunde (KNO) in het HagaZiekenhuis gaan, kregen voorafgaand aan en na afloop van hun afspraak een vragenlijst voorgeschoteld. Daarvoor gebruikte het ziekenhuis een tool met de naam ConsultAssistent. Dat is een digitale vragenlijst die artsen helpt om een diagnose van de patiënt te stellen.

Het idee van ConsultAssistent is dat een (medische) behandeling sneller kan plaatsvinden en het resultaat van de behandeling beter is te volgen. Door de gegevens te analyseren krijgen artsen beter inzicht in de factoren die bijdragen aan een succesvolle behandeling. Voorafgaand en na afloop van een bezoek aan de KNO-arts vullen patiënten een vragenlijst in over hun gezondheid en eventuele gezondheidsklachten. Het invullen van de vragenlijst is geheel vrijwillig.

ConsultAssistent is ontwikkeld door het bedrijf Outcome Measurement. Een van de medisch-specialisten van het HagaZiekenhuis is mede-eigenaar van het bedrijf. Dit was bekend bij het ziekenhuis en was geen belemmering om de tool in te zetten. Alleen de KNO-afdeling maakte gebruik van de digitale vragenlijsten.

HagaZiekenhuis onderzoekt hoe het in de toekomst beter kan

In het persbericht schrijft het HagaZiekenhuis dat ze positieve ervaringen heeft met ConsultAssistent. Sterker nog, het ziekenhuis onderzocht of de tool ook bij andere poliklinieken gebruikt kon worden. Dat is dan ook niet de reden waarom het HagaZiekenhuis voorlopig stopt met de vragenlijsten.

Bij het onderzoek kwam aan het licht dat ConsultAssistent op een aantal punten niet voldoet aan de Europese privacywetgeving AVG. Voordat de patiënten de vragenlijst afnemen, wordt niet goed uitgelegd op welke manier de ingevulde gegevens worden gebruikt. Ook vraagt het ziekenhuis niet duidelijk genoeg om toestemming van de patiënt om deze gegevens te mogen gebruiken. Tot slot is er geen geldige overeenkomst tussen het HagaZiekenhuis en het bedrijf dat ConsultAssistent heeft ontwikkeld.

Deze uitkomsten waren voor het HagaZiekenhuis aanleiding om voorlopig te stoppen met het afnemen van digitale vragenlijsten met ConsultAssistent. Het ziekenhuis heeft ervoor gezorgd dat Outcome Measurement de verzamelde gegevens niet meer mag gebruiken. Het HagaZiekenhuis onderzoekt met behulp van een externe partij hoe deze situatie is ontstaan en hoe dit verbeterd kan worden. Het ziekenhuis zegt te betreuren wat er hier is gebeurd en dat het niet voldeed aan de kwaliteitseisen die het HagaZiekenhuis hanteert. Tevens heeft het ziekenhuis melding gedaan bij de Autoriteit Persoonsgegevens.

HagaZiekenhuis kreeg eerder hoge boete voor overtreden AVG

Dat het HagaZiekenhuis heel voorzichtig omspringt het patiëntgegevens en de verwerking ervan serieus neemt, is natuurlijk toe te juichen. Maar als je de voorgeschiedenis van het Haagse ziekenhuis kent, begrijp je waarom ze het zekere voor het onzekere neemt. In juli 2019 legde de Autoriteit Persoonsgegevens het HagaZiekenhuis een boete op van 460.000 euro voor het onvoldoende beveiligen van patiëntendossiers. Uit het onderzoek van de toezichthouder bleek dat tientallen medewerkers van het ziekenhuis onnodig toegang hadden tot het medisch dossier van een bekende Nederlander.

“Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn”, zo schreef de Autoriteit Persoonsgegevens destijds. Zo moeten ziekenhuizen regelmatig controleren wie welke dossiers raadpleegt. Ook behoort de beveiliging de identiteit van de gebruiker vast te stellen aan de hand van ten minste twee factoren, zoals een code of wachtwoord in combinatie met een personeelspas. Op beide vlakken voldeed het HagaZiekenhuis niet aan de regels.

“De AP vindt het een kwalijke zaak dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft”, zo zei AP-bestuursvoorzitter Aleid Wolfsen afgelopen jaar over de zaak. “Daarbij past een ferme boete. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent.”


Dit nieuwsbericht is ook te vinden in het dossier Privacy in de zorg

bron: VPNGids.nl

Van onze partners

Cursus: werken aan een privacybewuste organisatie

Na deze afwisselende en interactieve cursus kunnen deelnemers een privacybewustzijnsproces in hun eigen organisatie initiëren.

→ Lees meer

Privacy in de zorg

→ Lees meer

Opleiding Privacy in het sociaal domein - 3 daags

Met deze driedaagse opleiding wordt u opgeleid tot privacy professional in het sociaal domein.

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer