Skip to main content

Vormen automatiseringssystemen een risico voor artsen?

5 maart 2020

Op 4 maart jl. verscheen in het nieuws een bericht over een medewerker van het Flevoziekenhuis in Almere die een (onbeveiligde) USB-stick met gegevens van 4325 patiënten had verloren op een parkeerterrein. Op de USB-stick stonden de naam, geboortedatum en patiëntnummer van de patiënten en korte, inhoudelijke aantekeningen over de aard van botbreuken en de wijze van behandeling. Het bestand bevatte geen adresgegevens, bsn nummers en geen overige medische, zo liet het ziekenhuis geruststellend weten. Volgens het ziekenhuis had een medewerker deze patiëntgegevens ongeoorloofd op de USB-stick gezet met het doel om de effectiviteit van de behandeling later te kunnen analyseren.

Gelukkig ziet het ziekenhuis in dat dit niet de bedoeling is en heeft zij maatregelen genomen. Zo heeft het ziekenhuis de richtlijnen omtrent het bewaren van patiëntgegevens verscherpt. “ “ Het is voortaan verboden om USB-sticks te gebruiken voor het opslaan van herleidbare persoonsgegevens. Het Flevoziekenhuis heeft alle medewerkers opgeroepen om onbeveiligde USB-sticks die nog aanwezig waren, in het ziekenhuis in te leveren.”

Als advocaat zie ik het belang in van het hebben van duidelijke regels. Maar tegelijkertijd weet ik ook dat het stellen van regels niet betekent dat daarmee ook veiligheid wordt vergroot of geborgd. De kracht en veiligheid die van regels uit gaat staat of valt bijvoorbeeld met de mensen die de regels moeten opvolgen. En daar ligt nu juist het probleem. Waarschijnlijk was deze medewerker zich van geen kwaad bewust toen hij de gezondheidsgegevens (dus bijzondere persoonsgegevens in de zin van de AVG) onversleuteld op een onbeveiligde USB-stick kopieerde. Door de regels aan te scherpen wordt deze situatie niet voorkomen. Het gaat om bewustwording, en dat vereist communicatie en aandacht voor dit onderwerp.

Maar de vraag die misschien wel belangrijker is, is hoe het kan dat een medewerker, kennelijk heel eenvoudig, de gegevens van maar liefst 4325 patiënten kan downloaden uit het systeem van het ziekenhuis? Je kunt je afvragen, als dat zo makkelijk gaat, of de technische en organisatorische beveiliging van het systeem op orde is. Zelfs als deze medewerker rechtsgeldig toegang heeft tot, nota bene, niet-geanonimiseerde medische dossiers van maar liefst 4325 patiënten (waar ligt hier de noodzaak?) ligt het voor de hand om in het systeem in te bouwen dat gegevens niet gedownload kunnen worden zonder ten minste de medewerking van 2 of meer personen. Het lijkt er op dat het systeem van het Flevoziekenhuis een dergelijke organisatorische en technische beveiliging niet bevat. Een dergelijke oplossing voorkomt veel meer de kans op herhaling dan het aanscherpen van regels. Natuurlijk ben ik geen automatiseringsdeskundige, maar uit onze praktijk weet ik wel dat automatiseringsystemen onvoldoende waarborgen bieden om (on)bewuste datalekken zo veel mogelijk te voorkomen.

De verantwoordelijke artsen van het Flevoziekenhuis op wie de wettelijke dossierplicht en geheimhouding rust zouden zich naar mijn mening best zorgen mogen maken over de maatregelen die het ziekenhuis volgens dit bericht genomen heeft om herhaling te voorkomen. Als arts kan je je namelijk niet altijd verschuilen achter de wijze waarop de organisatie waar je aan verbonden bent, systemen heeft ingericht. De arts heeft ook een eigen plicht om zich er van te vergewissen dat zijn persoonlijke beroepsmatige wettelijke plichten voldoende gewaarborgd zijn. En zeker na een datalek als deze wordt het lastig om uit te leggen aan een medisch tuchtcollege waarom de betreffende arts er op mocht vertrouwen dat het ziekenhuis waar hij/zij aan verbonden was de veiligheid van medische dossiers voldoende heeft gewaarborgd. U bent gewaarschuwd.

Pascal Willems
Advocaat

Gepubliceerd op: LinkedIn, 5 maart 2020

Nieuws & Kennis

AlgemeenWorkshops en opleidingen
28 augustus 2024

LUSTRUM – WVO EVENT 10 oktober 2024!

JTVCc2hvd3NjYXRzJTVEVanwege de vele aanmeldingen, komen nieuwe aanmeldingen op dit moment op een wachtlijst.
AlgemeenArbeidsrechtSamantha Kranenburg
4 november 2024

Belastingdienst publiceert een toelichting op de beoordeling van de arbeidsrelatie

JTNDaDMlMjBzdHlsZSUzRCUyMmNvbG9yJTNBJTIwJTIzMDA4YzliJTNCJTIyJTNFJTVCcG9zdF9wdWJsaXNoZWQlNUQlM0MlMkZoMyUzRQ==JTVCc2hvd3NjYXRzJTVEIn een eerder aangenomen motie was de eis dat de belastingdienst voor 1 november 2024 een duidelijk afwegingskader voor handhaving…
AlgemeenArbeidsrechtSamantha Kranenburg
1 november 2024

Dilemma Vrijdag 😎

JTNDaDMlMjBzdHlsZSUzRCUyMmNvbG9yJTNBJTIwJTIzMDA4YzliJTNCJTIyJTNFJTVCcG9zdF9wdWJsaXNoZWQlNUQlM0MlMkZoMyUzRQ==JTVCc2hvd3NjYXRzJTVE𝐃𝐞 𝐚𝐫𝐛𝐞𝐢𝐝𝐬𝐨𝐯𝐞𝐫𝐞𝐞𝐧𝐤𝐨𝐦𝐬𝐭 𝐭𝐮𝐬𝐬𝐞𝐧 𝐰𝐞𝐫𝐤𝐠𝐞𝐯𝐞𝐫 𝐞𝐧 𝐰𝐞𝐫𝐤𝐧𝐞𝐦𝐞𝐫 𝐢𝐬 𝐦𝐨𝐧𝐝𝐞𝐥𝐢𝐧𝐠 𝐨𝐯𝐞𝐫𝐞𝐞𝐧𝐠𝐞𝐤𝐨𝐦𝐞𝐧 𝐞𝐧 𝐧𝐨𝐨𝐢𝐭 𝐨𝐩 𝐩𝐚𝐩𝐢𝐞𝐫 𝐛𝐞𝐯𝐞𝐬𝐭𝐢𝐠𝐝. 𝐎𝐩 𝐝𝐞 𝐥𝐨𝐨𝐧𝐬𝐭𝐫𝐨𝐤𝐞𝐧 𝐬𝐭𝐚𝐚𝐭 𝐝𝐚𝐭 𝐝𝐞…