Vergroot contrast

Huisartsenposten verbeteren beveiliging na onderzoek CBP

​Het College bescherming persoonsgegevens (CBP) heeft tijdens onderzoek bij drie verschillende huisartsenposten geconcludeerd dat deze onvoldoende technische maatregelen troffen om te zorgen dat alleen bevoegde personen toegang hebben tot hun patiëntgegevens. De drie steekproefsgewijs gekozen huisartsenposten handelden hiermee in strijd met de Wet bescherming persoonsgegevens (Wbp).

Deze huisartsenposten hebben inmiddels naar aanleiding van het onderzoek maatregelen getroffen om de overtredingen te beëindigen. Uit het onderzoek bleek dat de onderzochte huisartsenposten niet alle benodigde beveiligingsmaatregelen hebben genomen om te voldoen aan de eisen die te maken hebben met de beveiliging van de toegang tot patiëntgegevens. Hierdoor ontstond het risico dat medewerkers medische gegevens kunnen inzien van mensen met wie zij geen behandelrelatie hebben. Het CBP zal de komende tijd controleren of alle overtredingen zijn beëindigd.

​Uit het onderzoek bleek dat de drie huisartsenposten niet aan alle eisen voldeden die gelden voor een adequate beveiliging van patiëntgegevens. Dat geldt bijvoorbeeld voor de eis van unieke gebruikersidentificatie (bijvoorbeeld een pas op naam) en voor de eis dat sprake moet zijn van zogeheten twee-factor authenticatie (bijvoorbeeld een chipcard in combinatie met een pincode) voor toegang tot het systeem.

Centrale Huisartsenpost Nightcare BV

Bij de Centrale Huisartsenpost Nightcare BV in Heerlen was in strijd met de eis van twee-factor authenticatie uitsluitend een wachtwoord vereist om in te loggen. Bij deze huisartsenpost was ook sprake van te ruime toegang tot patiëntgegevens. Er bestond de mogelijkheid tot inzage in patiëntinformatie van alle patiënten in de regio en niet alleen van patiënten die op dat moment bij de huisartsenpost in behandeling zijn. De Centrale Huisartsenpost Nightcare BV heeft deze overtreding inmiddels beëindigd. Ook heeft de huisartsenpost maatregelen getroffen om de overtreding met betrekking tot twee-factor authenticatie te beëindigen.

Coöperatieve Huisartsendienst Twente-Oost U.A.

Bij de Coöperatieve Huisartsendienst Twente-Oost bleken hulpverleners in strijd met de eis van unieke gebruikersidentificatie in te kunnen loggen in het huisartseninformatiesysteem van een bij de huisartsenpost aangesloten huisarts met een algemene leenpas. Dit gebeurde in gevallen waarin hun pas op naam defect was. De huisartsenpost heeft deze overtreding inmiddels beëindigd.

Stichting Gezondheidscentra Haarlemmermeer

Bij de Stichting Gezondheidscentra Haarlemmermeer bleken hulpverleners in te kunnen loggen onder de naam van een ander en was in strijd met de eis van twee-factor authenticatie uitsluitend een wachtwoord vereist om in te loggen. Verder werden bij deze huisartsenpost raadplegingen van de patiëntendossiers wel bijgehouden (gelogd), maar werden deze zogenoemde loggegevens niet regelmatig gecontroleerd op onbevoegde raadplegingen. Stichting Gezondheidscentra Haarlemmermeer heeft diverse maatregelen getroffen om de overtredingen te beëindigen.

Medische gegevens

Medische gegevens zijn zeer privacygevoelig. De beveiliging van dergelijke gegevens moet dan ook aan de hoogste normen voldoen. Mensen moeten erop kunnen vertrouwen dat met de medische gegevens die zij toevertrouwen aan een zorgverlener zorgvuldig wordt omgegaan. De toegangsbeveiliging van medische gegevens binnen zorginstellingen zal de komende tijd een belangrijk punt van aandacht van het CBP blijven.