Privacy in de zorg is een kwestie van taakverdeling

Door B.J. de Vries en J.A. van der Wel, ICTZorg, maart 2008, Hier in PDF.

Door de toepassing van ict kan informatie steeds gemakkelijker door steeds meer medewerkers worden ingezien. Goed autorisatiebeheer is daarom belangrijk voor privacy in de zorg. Aandacht voor de taakverdeling tussen de vele partijen binnen de zorginstelling levert daarbij de meeste winst op.

Wat is er gebeurd?

Toen in oktober vorig jaar George Clooney na een motorongeluk in een Amerikaans ziekenhuis belandde, bleken 27 medewerkers die niets met de behandeling te maken hadden, in zijn medisch dossier te hebben gekeken. Iets dergelijks was in Nederland al eerder gebeurd. “Agenten azen op dossier Van Persie”, kopte RTL-nieuws op 12 oktober 2005. Hier betrof het geen zorgdossier maar het procesverbaal met betrekking tot een vermeende verkrachtingszaak, toch ook wel privacygevoelig. Deze nieuwsberichten roepen de vraag op hoe vaak persoonlijke dossiers worden ingezien, zonder dat het ontdekt wordt.

Door de toepassing van ict kan informatie steeds gemakkelijker door steeds meer medewerkers worden ingezien. Belangrijk, want dat spaart werk en voorkomt fouten. De keerzijde is echter dat meer aandacht nodig is voor toegangsbeveiliging om te zorgen dat personeel correct om blijft gaan met patiëntgegevens. Leverde vroeger de geheimhoudingsplicht van de zorgverlener afdoende garanties, door de toenemende toegankelijkheid van infor- matie wordt het steeds belangrijker om goed in beeld te hebben wie met welke gegevens mag omgaan en waarom. Iedereen in de zorg ziet het belang van autorisatiebeheer.

Autorisatiebeheer is belangrijk

Toch komt fatsoenlijk autorisatiebeheer in de praktijk maar moeizaam van de grond. Dit heeft te maken met een combinatie van factoren. Allereerst is er de lastig te beheren ict-techniek. Daarnaast is er vaak sprake van een suboptimale samenwerking tussen de ict-afdeling en zorgafdelingen. En dan is er nog de vage privacyregelgeving die nog maar aan het begin staat van aanpassing aan het geautomatiseerde tijdperk.

Te vaak worden rechten niet ingetrokken

Het beheer van de ict-techniek is lastig omdat zorginstellingen een groot aantal informatiesystemen hebben. Een ziekenhuis heeft gewoonlijk tussen de 50 en de 200 informatiesystemen waarin medische informatie is opgeslagen. In omvang variëren deze van het centrale ziekenhuissysteem dat op iedere afdeling wordt gebruikt tot kleine systemen specifiek voor een specifieke afdeling. Voor de grotere systemen zijn de proce- dures voor de toegangscontrole gewoonlijk wel in orde maar verreweg de meeste van de kleinere systemen kennen nauwelijks formele procedures. Daarmee onttrekt de autorisatie van het leeuwendeel van de privacygevoelige medische informatie zich aan de formele bevoegdheden van de medisch directeur. Het autorisatiebeheer is bovendien arbeidsintensief doordat de meeste applicaties eigen lijsten van gebruikers en rechten hebben en een aparte inlogprocedure. Dit is lastig voor de behandelaar die meerdere gebruikersnamen en passwords moet onthouden. Het is helemaal lastig als de behandelaar op meerdere plekken werkt en het inloggen in de systemen één of meer minuten bedraagt. Men moet dan ook niet verbaasd zijn dat iemand op een afdeling ‘s ochtends inlogt waarna andere medewerkers van die afdeling de rest van de dag gebruik maken van die ingelogde terminal.