Onbevoegden die dossiers bekijken? Een groot risico!

Patiënten binnen ziekenhuizen kijken steeds meer in hun eigen dossier en stellen daar vragen over. Dat is hun goed recht, maar wat als blijkt dat tientallen onbevoegde medewerkers hun dossier bekeken? Best opmerkelijk als een patiënt ‘slechts’ zijn enkel brak. Dit is niet alleen ontzettend schadelijk voor de privacy van de patiënt, maar zorgt ook voor een fikse deuk in het imago van de zorginstelling. Om een informatieveilige omgeving te garanderen, moet het roer binnen veel organisaties drastisch om! In dit artikel zoomen we in op het probleem binnen ziekenhuizen, nemen we de bestaande regels onder de loep en bieden we uiteraard een oplossing.

Het ‘snuffelen’ in dossiers gebeurt vaker dan je denkt

Allereerst is dit artikel geen aanval op de functie van het elektronisch patiëntendossier. We begrijpen dat het elektronisch patiëntendossier van grote waarde is voor de patiënt en het personeel. In het systeem houdt bijvoorbeeld een ziekenhuismedewerker het patiëntendossier bij en is het mogelijk om gegevens te controleren. De patiënt ziet vervolgens weer wie er in zijn dossier keek. Het probleem zit hem in het feit dat dit systeem extreem misbruikgevoelig is!

Een veelvoorkomend probleem binnen ziekenhuizen is namelijk dat medewerkers spieken in dossiers van buren, bekenden, collega’s en BN’ers. Zo was er in 2018 een incident waarbij tientallen onbevoegden van het HagaZiekenhuis het ziekenhuisdossier van Barbie bekeken.

Maar spreken we inmiddels nog wel van een incident? Bij alle Gelderse ziekenhuizen werden vier jaar geleden al waarschuwingen uitgedeeld aan medewerkers die zonder toestemming een dossier inzagen. Sterker nog, het Rijnstate Ziekenhuis in Arnhem heeft hier twee keer een medewerker om ontslagen. Dan hebben we het nog niet over de GGD-medewerkers gehad. In 2020 keken enkele GGD-medewerkers ongeoorloofd in dossiers van twee bekende personen. De GGD meldde dit zelf op hun website.

Ook bij het Bravis Ziekenhuis in Breda was het in vorig jaar juli helemaal mis. Zes medewerkers kregen een officiële waarschuwing, omdat ze in een patiëntendossier keken terwijl dit niet mocht. Dit is te lezen in een artikel van Omroep Brabant.

Hoe voorkom je dat onbevoegden een dossier inzien?

Om op een juiste manier te werken met het elektronisch patiëntendossier is de Gedragslijn Toegangsbeveiliging Digitale Patiëntdossiers van de NVZ leidend. Daarnaast is het belangrijk dat de zorginstelling beschikt over een Information Security Management System. Dit managementsysteem bestaat voor een deel uit IT-onderdelen, maar ook komen gedrag van medewerkers, standaardprocedures en bedrijfsrichtlijnen aan de orde.

In de zojuist genoemde gedragslijn komen de woorden ‘autorisatie’, ‘logging’ en ‘bewustwording’ naar voren. Hieronder presenteren wij een uitgebreide lijst met vijf gerelateerde zaken die bijdragen aan een informatieveilige omgeving:

Een vastgesteld en geïmplementeerd beleid voor het verlenen van toegang tot informatie. Denk aan een procedure om te voorkomen dat onbevoegden toegang krijgen tot gegevens. Ook wordt er voorzien in een ‘breaking the glass’ procedure;
Authenticatie voor toegang tot persoonlijke gezondheidsinformatie. Dit beheersingsniveau zit minimaal op tweefactorauthenticatie. Afwijking van dit criterium is enkel toegestaan bij een onderbouwing van een risicoanalyse;
Toegang die gebruikers hebben verkregen tot persoonlijke gezondheidsinformatie wordt vastgelegd in logbestanden;
Het periodiek controleren van logbestanden op indicaties van onrechtmatige toegang of onrechtmatig gebruik van persoonlijke gezondheidsinformatie. Indien nodig onderneemt de verwerkingsverantwoordelijke actie;
Medewerkers krijgen op het gebied van informatiebeveiliging een passende bewustzijnsopleiding en regelmatige bijscholing van beleidsregels/procedures.

Bij het laatste punt ligt volgens ons de kern van het probleem, maar ook de oplossing. Medewerkers veroorzaken met hun gedrag maar liefst 70% van de incidenten! Het allerbelangrijkste is dus dat jouw collega’s weten hoe ze moeten handelen. Collega’s weten bijvoorbeeld vaak niet dat ze niet in hun eigen dossier mogen kijken. Investeren in kennis en kunde van collega’s is daarom essentieel. Volgens ons is gedragsverandering de sleutel tot succes.

Informatiebeveiliging begint bij bewustwording

Regels genoeg, maar hoe maak je medewerkers op een goede manier bewust van hun gedrag?

Het begint bij het vergroten van kennis en bewustwording van medewerkers. Denk aan bewustwordingsprogramma’s. Ook valt te denken aan informatiedagen gericht op informatiebeveiliging. Een gepersoonaliseerde e-learning is de meest gebruikte methode.

Informatiebeveiliging begint bij een gedragsverandering

We hopen jou met dit artikel een goed beeld te geven van de problemen, risico’s en vooral kansen op het gebied van informatiebeveiliging. Als de bewustwording rondom informatiebeveiliging binnen jouw organisatie niet vlekkeloos verloopt, is het tijd om actie te ondernemen. Wil jij meer bewustwording binnen jouw organisatie? Bel dan nu met Remon of Eric op 085 06 08 419 of stuur een e-mail naar info@zcur.nl.

Is jouw interesse gewekt en wil je zelf direct een stap in de goede richting zetten? Lees dan ons blogartikel over de implementatie van multifactorauthenticatie!

Cookie	Duur	Omschrijving
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.