Het CBP ontving “meerdere signalen” dat medewerkers van zorginstellingen mogelijk onzorgvuldig omgaan met digitale patiëntendossiers, zegt CBP-woordvoerder Merel Eilander. De privacywaakhond stelde daarom een onderzoek in. Het College ontdekte dat zorginstellingen geen zicht hebben op het gebruik en soms het autorisatiebeleid laks is.

Gebrek IT-middelen

“Het gaat hier om de interne toegang tot dossiers bij bijvoorbeeld ziekenhuizen”, vertelt Eilander. Instellingen gebruiken verschillende systemen om elektronische patiëntendossiers te beheren. In sommige gevallen ontbreekt het aan de technische middelen om aan de privacyeisen van de Wet Bescherming Persoonsgegevens (Wbp) te voldoen.

Er moet bij digitale patiëntendossiers bijvoorbeeld worden bijgehouden wie er toegang heeft tot de dossiers en wanneer. Bij individuele instellingen schort het nogal aan logging, meldt het CBP. “Soms ontbreken daartoe de technische mogelijkheden”, schrijft het CBP in het rapport (PDF). Ook geven instellingen aan dat er onvoldoende IT'ers zijn om logging te regelen.

IT-systeem voldoet niet

“In andere gevallen geven zorginstellingen aan te hebben afgezien van het gebruik van de technische mogelijkheden, omdat daar risico’s aan verbonden zijn voor de werking van het systeem. Logging zou het systeem vertragen.” Het CBP geeft aan dat het bestuur van één instelling doorkreeg dat er “niet aan de wettelijke vereisten kon worden voldaan met het EPD, maar daar vervolgens in berustte”.

De autorisatie om gedigitaliseerde dossiers in te zien gebeurt soms enkel op functierol en zo wordt de toegang door medewerkers beperkt. Maar op deze manier wordt niet vereist dat iemand die een dossier inziet een behandelrelatie heeft met de patiënt. “Deze werkwijze is in het onderzoek overigens slechts op een aantal afdelingen binnen één zorginstelling aangetroffen.”

Breed probleem

“We richten ons in het vervolgtraject in eerste instantie op deze instellingen”, aldus de CBP-woordvoerder. “In september moeten zij met plannen komen met voorstellen om de problemen op te lossen. We zijn nu niet overgegaan tot bijvoorbeeld het opleggen van dwangsommen, maar willen dit goed en zorgvuldig oplossen.”

Het CBP geeft aan dat het probleem met de toegang tot EPD’s waarschijnlijk veel breder speelt dan alleen de onderzochte organisaties. “Dit onderzoek is dus ook gericht op andere zorginstellingen. We zullen eerst de betrokken instellingen benaderen, maar we houden het natuurlijk ook breder in de gaten”, zegt Eilander.