Vergroot contrast

CBP: Interne toegangsbeveiliging patiëntgegevens RPZ-ziekenhuis onvoldoende

Het Ruwaard van Putten Ziekenhuis heeft onvoldoende beveiligingsmaatregelen getroffen om ervoor te zorgen dat uitsluitend bevoegde ziekenhuismedewerkers toegang hebben tot de elektronische patiëntendossiers. Dat concludeert het College bescherming persoonsgegevens (CBP) na onderzoek. Het ziekenhuis overtreedt hiermee de Wet bescherming persoonsgegevens (Wbp).

​Alleen medewerkers die rechtstreeks betrokken zijn bij de behandeling van een patiënt mogen toegang hebben tot diens medische gegevens. Andere medewerkers van het ziekenhuis mogen slechts patiëntendossiers raadplegen als dit noodzakelijk is voor de uitoefening van hun functie.

Uit het onderzoek blijkt dat het ziekenhuis de elektronische patiëntendossiers niet zodanig heeft ingericht dat onrechtmatige toegang door ziekenhuismedewerkers wordt voorkomen. Het ontbreekt bij het ziekenhuis aan maatregelen voor toegangsbeleid voor de patiëntgegevens volgens de wettelijk voorgeschreven beveiligingsnormen.

Het CBP is het onderzoek gestart nadat het begin 2012 van de Inspectie Gezondheidszorg (IGZ) een externe auditrapportage over de informatiebeveiliging binnen het Ruwaard van Putten Ziekenhuis ontving. Hieruit bleek dat het ziekenhuis tekortschoot op maatregelen inzake (toegangs)beveiliging van medische gegevens.

Het ziekenhuis heeft overigens naar aanleiding van de externe auditrapportage reeds verbeteringen aangekondigd. Deze aangekondigde verbeteringen, zo constateert het CBP, hebben nog niet geleid tot een adequate (toegangs)beveiliging van de medische gegevens.

Elektronische patiëntendossiers bevatten medische gegevens en deze zijn per definitie privacygevoelig. De beveiliging van dergelijke gegevens moet dan ook aan de hoogste normen voldoen. Het CBP benoemde eerder dit jaar ‘adequate bescherming van medische gegevens’ tot een van zijn speerpunten voor 2012. Dit is mede omdat het CBP diverse signalen ontvangt over te ruime interne toegang tot elektronische patiëntendossiers binnen zorginstellingen.

In 2007 heeft het CBP samen met de IGZ onderzoek gedaan naar de informatiebeveiliging in ziekenhuizen. De conclusie was destijds dat geen van de onderzochte ziekenhuizen aan de norm voor informatiebeveiliging voldeed. Dat heeft onder meer geresulteerd in een door het CBP opgelegde last onder dwangsom aan vier ziekenhuizen.

De IGZ heeft naar aanleiding van het gezamenlijk onderzoek alle Nederlandse ziekenhuizen verzocht om een verslag in te dienen van een onafhankelijk uitgevoerde beoordeling van de informatiebeveiliging. Uit de auditrapportage van het Ruwaard van Putten Ziekenhuis van begin dit jaar bleek dat er nog sprake was van tekortkomingen. De IGZ heeft de auditrapportage daarom aan het CBP ter hand gesteld.