Hoe ga je om met ongeoorloofd raadplegen van EPD?

Hoe ga je als zorginstelling om met medewerkers die ongeoorloofd snuffelen in een elektronisch patiëntendossier? En wat voor sancties staan erop?

Stel, een Bekende Nederlander wordt opgenomen in een ziekenhuis. Enkele professionals aldaar zijn nieuwsgierig wat haar mankeert. Vooral die ene verpleegkundige die een relatie heeft met een journalist van een roddelblad. Het Elektronisch Patiëntendossier (EPD) bevat een inlog-app: Alle professionals van het ziekenhuis die met een UZI-pas inloggen op het dossier van de BN’er worden met naam en toenaam bijgeschreven in het EPD.

Inlog-app

Deze casus legde ik voor aan deelnemers tijdens een 3,5 uur durend college over digitale innovatie. Dat vond plaats op de Business Universiteit Nyenrode tijdens een collegereeks van de Zorgvisie Academy. Ik vroeg de deelnemers wat er moet gebeuren met de gegevens die de inlog-app automatisch bijschrijft in het EPD. Bovendien vermeldt de inlog-app of er wel of niet een behandelrelatie is Ik kreeg de volgende antwoorden:

  1. De case manager van de patiënt neemt de inloglijst door. Zij stuurt een mail naar de inlogger en stelt de open vraag: met welk belang heeft u ingelogd?
  2. De inlogger ontvangt automatisch een mail met de vraag: waarom heeft u ingelogd in het elektronisch patiënten dossier?
  3. De patiënt, in dit voorbeeld de BN’er, ontvangt automatisch een overzicht van de zorgverleners die hebben ingelogd. Zij attendeert haar hoofdbehandelaar op onterechte inloggers.
  4. Het ziekenhuis richt een afdeling internet beveiliging op, die dagelijkse lijstjes van (on)terechte inloggers doorneemt en maakt hierbij gebruik van opsporingssoftware
  5. Het ziekenhuis doet niets. Elke maatregel is een teken van wantrouwen naar haar professionals en leidt tot bureaucratie.

Een aparte vraag is welke sanctie er staan op het schenden van privacy van patiënten door inloggers die niets te zoeken hebben in het dossier. Ontslag op staande voet? Alleen een berisping? Of iets daar tussenin?

Wat vind jij?

De tijd ontbrak om te komen tot een afweging van de beste beveiligingsaanpak. Graag leg ik die nu voor aan jullie als lezers van dit bericht. Voor welke aanpak kies jij voor jouw eigen zorginstelling? En wat zou de straf moeten zijn bij misbruik van de inlogmogelijkheden? Hieronder graag je reactie.

Dit onderwerp komt ook aan de orde op het E-health-congres van de Guus Schrijvers Academie op 10 november 2017. Save the date!

 

 

Eén reactie op “Hoe ga je om met ongeoorloofd raadplegen van EPD?”

  1. Carlo Knüppe

    In een huisartsenmaatschap met meer huisartsen en meer assistenten en POH-ers zou er een goed door iedereen erkend beleid moeten zijn mbt ongeoorloofd inloggen in het EPD; ook moet omschreven worden wat “ongeoorloofd” is. Als maatregel zou ik denken aan (tijdelijke en onmiddellijke )schorsing uit de functie, al of niet met inhouden van salaris, hangende het onderzoek; daarbij moet de onderzoekende partij een redelijke termijn aangeven waarbinnen het onderzoek moet zijn afgerond. Met de “overtreder” moet uitgebreid gesproken worden, en oa afhankelijk van diens reactie zou de schorsing verlengd moeten worden of moeten worden beeindigd, waarbij het streven is de strafmaatregel te beëindigen (overtreder is al voldoende gestraft, denk ik), en in het uiterste geval ontslag

    Beantwoorden

Geef een reactie

XHTML: U kunt de volgende tags gebruiken: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>