Hoe ga je om met ongeoorloofd raadplegen van EPD?
Stel, een Bekende Nederlander wordt opgenomen in een ziekenhuis. Enkele professionals aldaar zijn nieuwsgierig wat haar mankeert. Vooral die ene verpleegkundige die een relatie heeft met een journalist van een roddelblad. Het Elektronisch Patiëntendossier (EPD) bevat een inlog-app: Alle professionals van het ziekenhuis die met een UZI-pas inloggen op het dossier van de BN’er worden met naam en toenaam bijgeschreven in het EPD.
Inlog-app
Deze casus legde ik voor aan deelnemers tijdens een 3,5 uur durend college over digitale innovatie. Dat vond plaats op de Business Universiteit Nyenrode tijdens een collegereeks van de Zorgvisie Academy. Ik vroeg de deelnemers wat er moet gebeuren met de gegevens die de inlog-app automatisch bijschrijft in het EPD. Bovendien vermeldt de inlog-app of er wel of niet een behandelrelatie is Ik kreeg de volgende antwoorden:
- De case manager van de patiënt neemt de inloglijst door. Zij stuurt een mail naar de inlogger en stelt de open vraag: met welk belang heeft u ingelogd?
- De inlogger ontvangt automatisch een mail met de vraag: waarom heeft u ingelogd in het elektronisch patiënten dossier?
- De patiënt, in dit voorbeeld de BN’er, ontvangt automatisch een overzicht van de zorgverleners die hebben ingelogd. Zij attendeert haar hoofdbehandelaar op onterechte inloggers.
- Het ziekenhuis richt een afdeling internet beveiliging op, die dagelijkse lijstjes van (on)terechte inloggers doorneemt en maakt hierbij gebruik van opsporingssoftware
- Het ziekenhuis doet niets. Elke maatregel is een teken van wantrouwen naar haar professionals en leidt tot bureaucratie.
Een aparte vraag is welke sanctie er staan op het schenden van privacy van patiënten door inloggers die niets te zoeken hebben in het dossier. Ontslag op staande voet? Alleen een berisping? Of iets daar tussenin?
Wat vind jij?
De tijd ontbrak om te komen tot een afweging van de beste beveiligingsaanpak. Graag leg ik die nu voor aan jullie als lezers van dit bericht. Voor welke aanpak kies jij voor jouw eigen zorginstelling? En wat zou de straf moeten zijn bij misbruik van de inlogmogelijkheden? Hieronder graag je reactie.
Dit onderwerp komt ook aan de orde op het E-health-congres van de Guus Schrijvers Academie op 10 november 2017. Save the date!