Alleen BN’ers hebben privacy

Digitale patiëntendossiers zijn vaak toegankelijk voor te veel zorgverleners Dat blijkt uit onderzoek van het College Bescherming Persoonsgegevens Burgers klaagden daar al over

Hoewel Nederland met gevechtstroepen uitrukt, is Mali géén vechtmissie, benadrukten de ministers.
Hoewel Nederland met gevechtstroepen uitrukt, is Mali géén vechtmissie, benadrukten de ministers. Foto AFP

Verslaggever

Mensen die met depressies of paniekaanvallen kampen, zitten er misschien niet op te wachten dat buren, collega’s of vage bekenden daarvan weten. Als die buren iemand kennen bij de instelling waar zo iemand therapie volgt, dan horen ze er wellicht toch van. Dan kunnen ze direct ook vernemen welke vooruitgang tijdens de therapie wordt geboekt en of er medicijnen worden voorgeschreven. De digitale patiëntendossiers in ggz-instellingen (voor geestelijke gezondheidszorg), maar ook in ziekenhuizen en op huisartsenposten, blijken vaak toegankelijk voor meer zorgverleners dan alleen voor diegenen die bij de behandeling betrokken zijn. Soms kunnen ook administratiemedewerkers de dossiers inzien. Dat constateert het College Bescherming Persoonsgegevens in een gisteren verschenen onderzoek. Het CBP verwacht van de onderzochte (anonieme) zorginstellingen dat ze snel actie ondernemen om aan de privacyeisen te voldoen. „Bescherming van intieme informatie is volstrekt onderbelicht gebleven bij het inrichten van de systemen met medische gegevens”, zegt collegelid Wilbert Tomesen.

Wat was de aanleiding voor het onderzoek?

„Voor medische gegevens gelden strenge wettelijke eisen. Die staan bij ons dus hoog op de agenda. Bovendien ontvingen we klachten van burgers. Mensen merken dat onbevoegden soms bij hun gegevens kunnen. En dat raakt ze. In een veelal beroerde toestand vraag je zorgverleners om hulp. Die doen er alles aan om vervolgens de juiste zorg te bieden, maar ze begrijpen nog niet altijd dat bescherming van persoonlijke gegevens een nevengeschikt recht is voor de patiënt. Dat was aanleiding genoeg voor onderzoek bij in totaal negen ziekenhuizen, ggz-instellingen en huisartsenposten die samen ruim een miljoen patiënten per jaar behandelen.”

Wat heeft u ontdekt?

„Geen van de onderzochte instellingen voldoet aan de eis dat medische gegevens alleen toegankelijk zijn voor direct betrokken zorgverleners. De wet bepaalt ook dat zorginstellingen moeten bijhouden wie wanneer welk patiëntendossier heeft geraadpleegd. Dat gebeurt meestal ook niet. Omdat deze zorginstellingen een redelijke dwarsdoorsnede van de zorg in Nederland vormen, twijfelen we er niet aan dat de situatie op veel andere plaatsen hetzelfde is. Ook omdat koepelorganisaties dit beeld herkennen en burgers dit jaar alweer hebben geklaagd over misstanden bij andere instellingen.”

Is het technisch mogelijk om het wel goed te organiseren?

„Ja, dat blijkt als je ziet dat er binnen een van de instellingen een afdeling is waar alles in orde is. Daar heeft de leidinggevende zijn verantwoordelijkheid genomen. Bovendien blijken de gegevens van bekende Nederlanders, leden van de raad van bestuur en soms ook van medewerkers vaak wel goed beveiligd.”

Waarom gebeurt dat dan niet bij iedereen?

„Voor die mensen wordt een speciale regeling getroffen, zodat zorgmedewerkers die per se bij de gegevens moeten er ook bij kunnen. De systemen en de organisatie zijn er niet op ingericht om dat voor alle patiënten mogelijk te maken. Vaak wisselen de behandelaars elkaar af. De instellingen willen voorkomen dat medewerkers op cruciale momenten dan niet bij belangrijke medische gegevens kunnen. Maar als het om medische gegevens gaat, moeten iedereen als BN’er worden behandeld.”

Betekent de uitkomst van dit onderzoek dat we voorlopig maar niet aan het centrale elektronisch patiëntendossier moeten beginnen?

„Nee, dat kan je niet zeggen. Wij hebben nu gekeken naar de toegang die medewerkers binnen zorginstellingen hebben tot patiëntendossiers. Het centrale elektronisch patientendossier zou een landelijk schakelpunt zijn dat bijvoorbeeld toegang geeft tot iemands gegevens bij de huisarts. Uiteraard moet ook die toegang goed geregeld zijn en moeten ook die gegevens niet rondgaan in het ziekenhuis.”

Op welke manier gaat het CBP ingrijpen?

„Wij vermoeden dat deze misstanden op grote schaal voorkomen in Nederland. Daarom verwachten we van alle zorginstellingen dat ze nu gaan onderzoeken of ze aan de wettelijke verplichtingen voldoen. Omdat er bij de inrichting van de systemen nauwelijks aandacht is geweest voor de privacy zal het een forse investering vergen om alles goed te regelen. Daar hebben wij begrip voor. Van de door ons onderzochte instellingen verwachten we dat ze snel met plannen voor verbetering komen. Als wij vinden dat het te lang duurt, kunnen we uiteindelijk een dwangsom opleggen.”