Toegang tot digitale patiëntendossiers (EPD) niet goed geregeld

Het College Bescherming Persoonsgegevens (CPB) concludeert na een onderzoek onder zorginstellingen dat privacy van patiënten niet goed wordt gewaarborgd. Volgens CBP-woordvoerder Merel Eilander ontving de toezichthouder signalen dat medewerkers van zorginstellingen onzorgvuldig omgaan met de toegang tot digitale patiëntendossiers (Electronische Patiënten Dossiers, EPD).

In het onderzoek ontdekte het College dat het autorisatiebeleid en registratie van het gebruik bij veel zorginstellingen niet goed is geregeld. Volgens Eilander gaat het om de interne toegang tot dossiers, bijvoorbeeld bij ziekenhuizen.

Volgens het rapport van het CPB ontbreekt het bij een aantal instellingen aan de technische middelen om aan de privacyeisen van de Wet Bescherming Persoonsgegevens (Wbp) te voldoen. Zo moet bij digitale patiëntendossiers worden bijgehouden wie er toegang heeft tot de dossiers en wanneer.

Soms ontbreekt het aan technische mogelijkheden om toegang bij te houden, in andere gevallen geven zorginstellingen aan te hebben afgezien van het gebruik van de technische mogelijkheden, omdat gebruik van logging mogelijk de werking van IT-systemen zou vertragen. Ook het gebrek aan IT-capaciteit wordt als regen gegeven waarom toegang tot patiëntendossiers niet is geregeld.

De autorisatie om digitale patiëntendossiers in te zien gebeurt in een aantal gevallen alleen op functierol. Op deze wijze wordt niet vereist dat een medewerker die een dossier inziet een behandelrelatie heeft met de patiënt.

Het CPB eist van de onderzochte instellingen dat zij in september met voorstellen komen waarmee de toegang tot patiëntendossiers wordt verbeterd. Het College wil vooral de problemen oplossen en is niet overgegaan tot het opleggen van sancties. Het CPB verwacht dat de aangetroffen problemen breder spelen onder zorginstellingen.

Aanmelden voor onze nieuwsbrief