Waar wilt u heen?
085 06 08 419
085 06 08 419
info@zcur.nl
Advies  Algemene beveiliging  Informatie beveiliging

Logging in de gezondheidszorg: verplichtingen, controle en privacy

Logging in de gezondheidszorg: verplichtingen, controle en privacy

Logging van medische dossiers is verplicht voor zorginstellingen, maar roept veel vragen op: wie mag de logging inzien? Hoe lang moet je deze bewaren? Moet je iemand toegang geven tot logging? Moet je daarbij ook namen van medewerkers delen?

In dit artikel delen we informatie over wat logging in de gezondheidszorg inhoudt, wat de verplichtingen zijn volgens NEN 7513 en de NVZ gedragslijn. Ook gaan we dieper in op hoe je als zorginstelling op een goede, informatieveilige manier uitvoering geeft aan logging (controle).

Waarom is logging verplicht?

In de ‘Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg’ staat dat patiënten of cliënten recht hebben op een overzicht van wie informatie in hun elektronische medische dossiers hebben ingezien. Dus tot de logging op hun dossier.

Medische informatie is vertrouwelijk en daarom mag je als patiënt of cliënt altijd weten wie in je dossier heeft gekeken en ook waarom. Logging stelt een patiënt of cliënt in staat om te zien wie in zijn/haar dossier heeft gekeken. De patiënt of cliënt kan vervolgens beoordelen of dat ook noodzakelijk (lees: rechtmatig was).

Logging: twee belangrijke documenten

Naast het algemene kader van de AVG en WBGO zijn er 2 belangrijke documenten over logging.

Het eerste is de norm NEN 7513, genaamd: ‘Vastleggen van acties op elektronische patiëntdossiers’.

Een tweede document is de ‘Gedragslijn toegangsbeveiliging digitale patiëntendossiers 2.0’ van de NVZ, de Nederlandse Vereniging van Ziekenhuizen. De gedragslijn geeft praktische handvatten voor het inrichten van logging.

Op beide documenten gaan we hieronder (kort) in.

NEN 7513

De NEN 7513 is in 2018 ontstaan vanuit de groeiende behoefte aan controle en verantwoording in een tijdperk waarin digitale patiëntendossiers de standaard zijn geworden. Het doel is om te zorgen dat elke handeling in een dossier – van inloggen tot gegevensuitwisseling – traceerbaar is. Dit beschermt niet alleen de patiënt of cliënt, maar ook de zorgverlener en de instelling zelf.

De norm is erg lastig om te lezen. Deze lijkt vooral bedoeld als naslag voor ontwikkelaars van elektronische patiënten- en cliëntendossiers. Er staat bijvoorbeeld precies in welke velden moeten worden gelogd. Je kunt de norm hier – kosteloos – krijgen.

De NEN 7513 is geen wet, maar toch verplicht. Dat komt omdat het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ bepaalt dat de logging van gezondheidszorginstellingen moet voldoen aan de eisen in NEN 7513.

NVZ Gedragslijn toegangsbeveiliging digitale patiëntendossiers 2.0

Meer praktische eisen staan in de NVZ Gedragslijn toegangsbeveiliging digitale patiëntendossiers 2.0. Dat is een gedragslijn die is uitgebracht om de regels voor ziekenhuizen concreter in te vullen, maar ook naar aanleiding van enkele ‘schandalen’, zoals het verhaal rondom Barbie. Of meer recentelijk het spieken in een dossier van een ex-profvoetballer. Hierin staan ook eisen met betrekking tot logging. Dit document kun je hier vinden.

Logging en het inzagerecht van cliënten

Net zoals bij logging, is het doel bij het uitoefenen van een inzagerecht ook om te controleren of de gegevens van een patiënt of cliënt (het medisch dossier) op de juiste manier zijn verwerkt. En ook of de toegang daartoe rechtmatig was.

Vaak kunnen patiënten of cliënten via portalen als MijnZiekenhuis of Caren(zorgt) beperkte loggingsinformatie zien.

Veel organisaties combineren het inzagerecht met een rechtmatigheidscontrole. Het is verstandig om goede procedures te hebben voor inzages en logging en die op elkaar af te stemmen. Net zoals bij inzages is het slim om de vraag concreter te maken, bijvoorbeeld door te vragen om welke dagen of periode het gaat.

Wat moet je aan logging aanleveren?

Nadat je hebt vastgesteld dat de juiste persoon toegang zou moeten krijgen tot de logging, laat je de logging inzien of lever je de logbestanden aan. In veel gevallen is het verstandig om de logging toe te lichten, want voor de meeste leken zijn dit soort bestanden moeilijk te lezen (begrijpen). Het gaat meestal om lange Excel lijsten.

Een veel voorkomende vraag is of je de namen van medewerkers dient aan te leveren. Het korte antwoord daarop is ja.

Toch is dat in de meeste gevallen niet nodig en is de functie genoeg. Aan de hand van een functie van een medewerker is vaak al duidelijk of iemand toegang had moeten hebben tot een dossier.

Uiteindelijk moet je ook de namen van medewerkers beschikbaar stellen als patiënten of cliënten daar om vragen. Voordat je de namen van medewerkers aanlevert, maak je een privacy afweging. De Vereniging Gehandicaptenzorg Nederland merkt daarover op:

“Verstrekking van de namen van de medewerkers kan alleen worden geweigerd als het belang van de medewerker (als derde) bij de bescherming van zijn persoonlijke levenssfeer een overwegend karakter heeft ten opzichte van het inzagerecht van de cliënt/(wettelijk) vertegenwoordiger. Dit is de uitzonderingsgrond van het inzagerecht (…). Dit kan bijvoorbeeld aan de orde zijn bij daadwerkelijke dreiging of intimidatie.

De zorgaanbieder zal moeten aantonen dat het belang van de medewerker “een overwegend karakter” heeft. Dat betekent dat de zorgaanbieder moet aantonen dat de privacy van de medewerker in een specifieke situatie zwaarder weegt dan het recht van de cliënt om de naam van de medewerker te weten. In de regel zal dit niet snel het geval zijn. In de eerste plaats omdat het belang van de derde op grond van de parlementaire geschiedenis als uitgangspunt minder zwaar weegt dan het belang van de cliënt. In de tweede plaats omdat de medewerker in zijn hoedanigheid als ‘professional’ bij de zorgverlening betrokken is. Het hangt van de specifieke omstandigheden van het geval af of de zorgorganisatie kan weigeren de naam van de medewerker prijs te geven.”

Voor wat betreft de termijn voor het aanleveren van logging, wordt bij de termijnen aangesloten die voor de AVG gelden. Dus onverwijld, maar binnen een maand. Afhankelijk van de complexiteit van het verzoek kan die termijn indien nodig met nog eens twee maanden worden verlengd.

Logging controleren: hoe doe je dat?

Niet alleen de logging zelf is verplicht, maar zorginstellingen zijn ook verplicht om de logging te controleren.

Zorginstellingen kunnen dit doen door steekproeven te trekken op toegang tot de dossiers.

Bijvoorbeeld, als we kijken naar het dossier van De Vries. Door wie is dat dan allemaal ingekeken de laatste periode en is het logisch dat die medewerkers hebben gekeken? Het zou bijvoorbeeld vreemd zijn als een kinderarts in een geriatrisch dossier heeft gekeken.

De NVZ Gedragslijn schrijft daarnaast logging op gebruik van de ‘noodprocedure’ voor. De noodprocedure gebruik je als je geen automatische toegang hebt tot een dossier. Bijvoorbeeld omdat je niet op de afdeling van de betreffende patiënt of cliënt werkt of omdat er geen behandelrelatie bestaat. Om dan toch bij de gegevens te kunnen gebruik je noodprocedure. De noodprocedure wordt ook wel ‘breaking the glass’ of escalatie (in Nedap Ons) genoemd.

De NVZ schrijft het controleren van jaarlijks minimaal 60 (reguliere) + 60 (noodprocedure) dossiers voor. Het gaat dan om 120 dossiers per jaar of 10 per maand. Het advies is om maandelijks te controleren.

In de praktijk worden deze controles vaak uitgevoerd door een commissie die bestaat uit een applicatiebeheerder, een privacy functionaris en iemand met een medische achtergrond die kan vertellen of de toegang logisch en nodig was.

Je moet het bestuur minimaal 1x per jaar informeren over de bevindingen. In de praktijk zal dat vaker zijn, omdat je situaties kunt tegenkomen die verder onderzoek vragen.

Hoe geef je loggingscontrole vorm?

Naast het inrichten van een commissie is het slim om een beleid en werkwijze vast te stellen.

Denk daarbij aan het beschrijven van de stappen. Het gaat om praktische procedures rondom het selecteren van dossiers, een beschrijving van de onderdelen die je controleert, maar ook aan wie je de bevindingen rapporteert en hoe je die vastlegt.

Voor wat betreft de selectie van dossiers bieden EPD’s zoals HiX en EPIC, maar ook ECD’s, zoals Ons van Nedap, verschillende mogelijkheden om de controle van logging eenvoudiger te maken.

Je kan slimme detectieregels aanmaken door bijvoorbeeld de postcode van een hulpverlener te vergelijken met de postcode van patiënten of cliënten. Hiermee kun je bijvoorbeeld zien of iemand dossiers van buurtbewoners heeft geraadpleegd.

Wat is de bewaartermijn van logging

Er is lange tijd onduidelijkheid geweest over de bewaartermijn van de logging. Dus niet het medisch dossier zelf, maar de logging op het medisch dossier.

Op aanbeveling van de AP werd eerst een bewaartermijn van 15 jaar aangehouden. Die bewaartermijn van 15 jaar was toen gelijk aan de bewaartermijn voor het medische dossier zelf. Dat is logisch, maar ook een lange periode en dat levert grote hoeveelheid aan data op. Tegenwoordig bedraagt deze termijn minimaal 20 jaar.

De Minister voor Medische Zorg (hierna: ‘Minister’) heeft in 2018 in een besluit vastgesteld dat de bewaartermijn voor logbestanden minimaal 5 jaar bedraagt. Logbestanden mogen langer worden bewaard, maar niet langer dan de bewaartermijn van het medisch dossier. De termijn begint te lopen op het moment van het schrijven van de eerste ‘logregel’. Het is verstandig om deze bewaartermijn als organisatie explicit vast te leggen.

Bewustwording en sanctiebeleid

Zorgprofessionals weten allemaal dat medische informatie vertrouwelijk is. Toch is het ook belangrijk om als organisatie duidelijke kaders en richtlijnen te stellen rondom het gebruik van medische dossiers.

Zo moeten medewerkers weten wanneer ze wel, en niet, in een dossier mogen kijken.
Het begint hier vaak bij bewustwording. Geef medewerkers uitleg over de behandelrelatie en geef aan of ze wel/niet in hun eigen dossiers mogen kijken. Maak hen attent op logging. Ze moeten weten dat alles wat ze in een dossier doen, wordt gelogd door de organisatie.

Wijs medewerkers op de mogelijke gevolgen als zij zich niet aan deze afspraken houden door middel van een sanctiebeleid. Het hebben van een sanctiebeleid is tevens verplicht op grond vna de NEN 7510.

Gevolgen voor medewerkers

Het onrechtmatig inzien van dossiers door medewerkers kan leiden tot officiële waarschuwingen en zelfs ontslag op staande voet.

Een mooi overzicht van voorbeelden van onbevoegde inzages en hoe rechters daar in verschillende situaties over geoordeeld hebben, is hier te vinden. De auteur trekt op basis van dit overzicht de conclusie dat met name “het opstellen, periodiek bij medewerkers onder de aandacht brengen en consequent handhaven van duidelijke protocollen het verschil maakt”. Als je als organisatie maatregelen treft, sta je sterker ten aanzien van werknemers die onterecht dossiers hebben ingezien.

Gevolgen voor de organisatie

Patiënten en cliënten die geconfronteerd worden met onrechtmatige inzages, kunnen de instelling met succes (civiel) aansprakelijk stellen.

Een ziekenhuis in Brabant is veroordeeld tot betaling van € 2.000 omdat zij de logging-gegevens niet systematisch en consequent gecontroleerd heeft en de steekproefsgewijze controle onvoldoende toereikend werd geacht. De rechtbank veroordeelt het ziekenhuis tot betaling van een schadevergoeding. De rechter overweegt:

“Er was geen sprake van een door (het management van) Bravis vastgesteld controlebeleid. [naam functionaris] heeft zelf invulling moeten geven aan de controle van de logging en die controle was (naar de maatstaven die toen golden) onvoldoende. De logging van de patiëntendossiers die door medewerkers met onbegrensde toegang zijn ingezien, is in het geheel niet gecontroleerd. Verder werden er maandelijks steekproefsgewijs slechts twee patiëntendossiers gecontroleerd; [naam functionaris] selecteerde deze dossiers vanuit een Excel-bestand met zowel de logging van de reguliere als de noodknopprocedure. Daarmee is (evident) geen sprake van een systematische en risicogerichte controle. Bovendien was deze controle ook in omvang onvoldoende, gelet op de schaal van verwerkingen in het ziekenhuis.”

Herziening NEN 7513 in 2024

De NEN 7513 is eind 2024 herzien met enkele kleine aanpassingen. Zie hier. Deze zijn met name interessant voor leveranciers van softwarepakketten.

Vragen over logging?

Loggen is verplicht. Het is ook belangrijk dat collega’s bewust worden gemaakt van deze logging en wat van hen verwacht wordt. Als organisatie moet je actief controleren op misbruik van dossiers. Daar zijn handreikingen voor. Het is essentieel dat medewerkers worden gewezen op gevolgen van schendingen en om een sanctiebeleid te hebben.

En om antwoord te geven op de vragen in de inleiding:

  • Moet je iemand toegang geven tot logging? Ja.
  • Moet je daarbij ook de namen van medewerkers delen? Ja, maar meestal zijn de functies voldoende. Bij zwaarwegende privacybelangen mag je namen achterwege laten.
  • Hoe lang moet je logging bewaren? Minimaal 5 jaar.
  • Hoe controleer je de logging op een goede manier? Door gebruik te maken van de aanbevelingen in de NVZ Gedragslijn en slimme functionaliteiten in HiX, EPIC of Ons.

Nog vragen over logging, de controle daarop en hoe je dat praktisch vorm kunt geven? Bel dan met Remon (085 06 08 419) of stuur hem een mail via Remon@ZCUR.nl.