Redactie - 17 juli 2019

HagaZiekenhuis scherpt interne beveiliging patiëntendossiers aan na boete

Het HagaZiekenhuis scherpt de interne beveiliging van patiëntendossiers verder aan. Dat gebeurt na een onderzoek van de Autoriteit Persoonsgegevens (AP); twee (van in totaal zes) onderzochte onderdelen van de interne beveiliging beoordeelt de AP als niet afdoende. Hiermee voldoet het ziekenhuis - zoals door de AP geëist - vóór 2 oktober 2019 aan de vereiste technische en organisatorische maatregelen voor de interne beveiliging van patiëntendossiers.

Directievoorzitter Carla van de Wiel: "Veel is op orde. De eis om de authenticatie aan te scherpen, voeren we nu in. De AP eist ook dat we meer controles van de logging gaan uitvoeren. Dat doen we tot nu toe handmatig en dat is tijdrovend. Daar zoeken we nu slimme software voor om het sneller en vaker te kunnen doen. Daarnaast blijven we natuurlijk onze medewerkers continu informeren over het belang van de bescherming van patiëntgegevens. Elke medewerker die toegang heeft tot het EPD weet wat wel en niet mag. En ik verwacht dat ze elkaar daarop ook blijven aanspreken. Gaat het echt mis, dan heeft dat voor de overtreder ook consequenties." Van de Wiel vindt het zuur dat het opgelegde boetebedrag (€ 460.000) nu niet aan patiëntenzorg kan worden besteed. Het ziekenhuis doet er dus alles aan om de dwangsom waarmee de AP dreigt, te vermijden.

Het HagaZiekenhuis vindt het belangrijk dat patiëntgegevens in het ziekenhuis alleen door medewerkers van het behandelteam worden ingezien. In 2018 is uit eigen onderzoek van het HagaZiekenhuis gebleken dat medewerkers onterecht het patiëntendossier van een bekende Nederlander hebben ingezien. Het gaat hierbij om Samantha de Jong ofwel 'Barbie'. Dat heeft het ziekenhuis gemeld aan de Autoriteit Persoonsgegevens, die een eigen onderzoek startte.

De AP is tevreden over de aanpak van het HagaZiekenhuis op de volgende vier punten:

1. Autorisatie en toegangscontrole
Het HagaZiekenhuis geeft zorgvuldig de juiste medewerkers de juiste autorisatie om toegang te krijgen tot het patiëntendossier. Daarnaast beschikt het elektronisch patiëntendossier (EPD) over een noodknopprocedure die medewerkers waarschuwt en vraagt de reden van inzage te melden. Patiënten die dat wensen kunnen gebruik maken van een zogenaamde schuilnaamprocedure.

2. Logging
Het HagaZiekenhuis registreert elke medewerker die een patiëntendossier raadpleegt. Hierdoor kan elke activiteit van een medewerker in een patiëntendossier altijd gecontroleerd worden.

3. Bewustwording
Het HagaZiekenhuis besteedt veel aandacht aan bewustwording over informatiebeveiliging en privacy met voorlichting en verplichte scholing.

4. Melden van datalekken
Het HagaZiekenhuis beschikt over een intern datalekkenregister en een juiste procedure voor het melden van datalekken.

Op twee punten is de AP niet tevreden en neemt het HagaZiekenhuis dus extra maatregelen:

5. Authenticatie
Het HagaZiekenhuis maakt gebruik van twee factor authenticatie. Medewerkers loggen in met een gebruikersnaam en wachtwoord of met hun persoonlijke personeelspas en pincode. Die pincode moet nu al elke vier uur opnieuw worden ingetikt. De AP vindt dat te weinig. Daarom wordt de authenticatie zo aangepast, dat medewerkers bij elke inlog ook hun persoonlijke pincode moeten intikken en het niet meer mogelijk is om zonder pas in te loggen. De eerste aanpassingen zijn al doorgevoerd.

6. Controle van de logging
De AP vindt dat het ziekenhuis vaker moet controleren. Het HagaZiekenhuis verhoogt de frequentie en vraagt de AP hoeveel controles afdoende zijn om het vereiste stempel 'systematisch' te krijgen. Wet- en regelgeving geven nu namelijk geen uitsluitsel over het gewenste aantal controles per jaar.

 

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024