Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Autoriteit Persoonsgegevens wil bewaartermijn van 15 jaar voor medische logdata

De Autoriteit Persoonsgegevens denkt eraan om zorgaanbieders verplicht te stellen vijftien jaar lang de gegevens te bewaren over wie in medische dossiers heeft gekeken. Een richtlijn voor hoe lang bijvoorbeeld ziekenhuizen loggegevens moeten bewaren, moet er snel komen.

Dat schrijft dagblad Trouw. Het lijkt de Autoriteit Persoonsgegevens logisch als zorgaanbieders de loggegevens vijftien jaar lang bewaren, omdat het medische dossier ook zo lang opgeslagen moet blijven, meldt Trouw. Of de richtlijn er zo zal uitzien, is niet bekend, omdat de verantwoordelijke minister bang is voor een bulk aan data door die regel.

Ziekenhuizen bewaren loggegevens vaak nu al lang, blijkt uit een rondgang van het dagblad. Veel ziekenhuizen zitten rond vijftien of twintig jaar; een enkel ziekenhuis zit op twee jaar. Dankzij loggegevens kunnen patiënten opvragen wie wanneer toegang heeft gehad tot zijn of haar medische gegevens.

De Autoriteit Persoonsgegevens, het ministerie en onder meer de Nederlandse Vereniging van Ziekenhuizen zijn in gesprek over een richtlijn waarin een termijn zal staan. Die richtlijn moet er binnen een half jaar komen. De kwestie kwam mede op de agenda toen bleek dat tientallen medewerkers van een Haags ziekenhuis het medische dossier van een bekende Nederlander hadden bekeken zonder betrokken te zijn bij de behandeling.

Door Arnoud Wokke

Redacteur mobile

03-01-2019 • 14:06

93 Linkedin Google+

Submitter: Ask!

Reacties (93)

Wijzig sortering
Er wordt aardig wat bewaard, maar niet bij een migratie.

Ik werk regelmatig aan dergelijke projecten en deze wettelijke bepaling is echt nodig. Wat ik zie dat het hele dossier zeer zorgvuldig wordt overgezet, maar log data gaat niet mee. Om de simpele reden dat het niet moet.

Een ziekenhuis stapt 1x in de 10-20 jaar over op een nieuwe leverancier, en dan begint men met een schone lei. Door de vele meeste fusies en de slag om het beste EPD het laatste decennium zijn er extra veel partijen overgestapt (vaak naar Epic of Chipsoft).

De hoeveelheid data valt zeker mee, maar definieer maar even 'dossier'! Dit is een verzamelnaam voor correspondentie, vragenlijsten, uitslagen, orders, financiële administratie, medische registratie etc etc. Bij een migratie zal het niet makkelijk zijn om deze data mee te migreren in de juiste context.

De oude applicatie/database 15 jaar in de lucht houden is een enorme tijd en ook niet echt toegankelijk.
Er zijn voor lange termijn opslag een legio aan oplossingen. Uiteindelijk is het vaak allemaal een database met inhoud waar men wat mee moet.
Cloud, BI, onderdeel van migratie, verzamel DB met duidelijke views en stored procedures.
En dat is met 1min er over denken.

De focus is echter vaak de medische en NAW informatie, maar logging is een onderwerp waar men vaak niet aan wilt omdat het geld, tijd en moeite kost. Het is een zakelijke beslissing om het wel/niet mee te nemen.

De diverse wetgeving zegt dat logging wel degelijk bewaart moet worden, ook bij migratie.
Kijk maar naar de NEN7510:2007 normering of uberhaupt de AVG, WGBO of wet op cliënten rechten.
Allen melden zeker dat men logging moet bewaren en samen is dat helemaal een must voor een ziekenhuis of zorg instelling.

Ik hoop in ieder geval dat een overheid vastgestelde minimaal termijn een verplichting zal worden voor de diverse instellingen zodat men er niet meer om heen kan, mar dat het meegenomen wordt als recht van een patiënt om die data nog in te zien, 2 of 5 of 10 jaar later. Een recht wat men nu al heeft overigens.

Je zou het maar gebeuren, al je info bij je buren op tafel of een rancuneus persoon en die plamt het even op facebook. Lijkt me wel dat men dit bewaart en aansprakelijk gesteld kan worden.

[Reactie gewijzigd door Desmoos op 3 januari 2019 19:57]

Dat het goed verloopt betekent niet dat een wettelijke bepaling duidelijkheid kan bieden voor komende generaties die het daar bijvoorbeeld zal managen.

Nu zijn er duidelijk richtlijnen hoe lang medische gegevens bewaard moeten worden. Ik vind dat de logdata bij mijn gegevens hoort. Niet medisch, maar is daar wel aan gelinkt.
Er is dus een enkel ziekenhuis die het maar twee jaar bewaard. Dat vind ik best schokkend.
Als daar misbruik van gemaakt wordt komt dat vaak pas later aan het licht, zeker als het niet gaat om bekende Nederlanders zoals het voorbeeld in het artikel, juist in je eigen familie, vrienden of kennissen.
Het is dan wel een enkel, maar zullen er dan ook ziekenhuis zijn die aan 5 of 10 jaar doen?

Als het al gedaan wordt, dan is er toch niks mis mee om dat vast te stellen zodat er ook geen misbruik gemaakt van kan worden. Is wachten tot het fout gaat, en het dan alsnog invoeren. Zonde.
Ik vraag me ernstig af of wat er gelogd wordt überhaupt enige waarde heeft. Ik weet niet of dit in alle ziekenhuizen zo gebeurd, maar als ik op volgjezorg.nl kijk naar opvragingen vanuit het St. Antonius ziekenhuis (meerdere locaties), dan staat daar altijd maar één en dezelfde naam bij van de opvrager (R.A.J. Kuiper). Op die manier is het natuurlijk volslagen onduidelijk door wie en waarom er gepoogd is in mijn dossier te kijken.
Deze opvragingen worden vaak gedaan door de ziekenhuis apotheek, geautomatiseerd om actuele medicatieoverdrachten te hebben zodra een patiënt zich meldt. Wordt vaak ‘s nacht gedaan voor de patiënten die de volgende een afspraak hebben,
Deze systemen, net als die van de huisartsenpost, doen dat met mandaat van een zorgverlener, vaak de apotheker of een medisch directeur (huisarts). Een systeem kan niets opvragen via het LSP, een zorgverlener met de juiste rol/rolcode wel.
Ik snap wat je zegt, maar in dit geval is het zo dat alle opvragingen vanuit alle vestigingen van het St. Antonius steevast door dezelfde 'persoon' gedaan worden. Dit terwijl ik voor verschillende zaken bij verschillende specialisten op verschillende locaties geweest ben. Moet ik werkelijk geloven dat er niet één specialist ook maar ooit op eigen naam mijn dossier heeft geopend, maar dat de ziekenhuisapotheek tig keer per jaar mijn dossier heeft opgevraagd (waarbij de opvraging niet beperkt was tot enkel het medicatieoverzicht)?

Het feit dat ik op deze manier geen enkel zicht heb op wie mijn dossier in wil zien bevestigt mijns inziens de juistheid van mijn toenmalige besluit om niemand toegang te verlenen.
Ja, alles wordt onder mandaat van ziekenhuis apotheker gedaan en die naam zie je. Hij/zij (en assistenten) controleren het binnengehaalde overzicht, halen evt dubbelen eruit, en andere niet-medicatie die wel binnenkomt. De specialisten die jij spreekt, zien uiteindelijk het opgeschoonde overzicht.
Het feit dat ik op deze manier geen enkel zicht heb op wie mijn dossier in wil zien bevestigt mijns inziens de juistheid van mijn toenmalige besluit om niemand toegang te verlenen.
Ik hoop dat je nooit buiten bewustzijn op een spoedeisende hulp terecht komt...

[Reactie gewijzigd door Gophlin op 4 januari 2019 19:09]

Ik werk voornamenlijk voor de overhe[I/a]d en daar gelden al langer wettelijke bewaar termijnen. Wat er bij een migratie dus op neerkomt dat de actuele gegevens naar de doel database getrokken worden, en de oude omgeving een raadpleeg wordt voor de historische data. Die ouwe meuk wordt dan bevroren, geen patches meer, geen opnderhoud, en dus een stuk goedkoper dan productie software.
omdat de verantwoordelijk minister bang is voor een bulk aan data door die regel.
Ik ben niet gehinderd door kennis van zaken, maar zoveel data wordt er toch niet gegenereerd door een registratie van "persoon X heeft op datum zoveel in jouw dossier gekeken"? Tenzij ze daar misschien weer een heel nieuw softwarepakket voor nodig hebben?

/edit: Wat een hoop reacties! Veel goede informatie van jullie :) Het is toch niet zo eenvoudig als dat ik dacht. Komen nog een hoop extra parameters bij kijken. Je zit inderdaad ook nog met gegevens van de persoon die heeft gekeken en dergelijke.

Interessante materie, dat zeker :)

[Reactie gewijzigd door Vrijdag op 3 januari 2019 14:41]

Je moet niet alleen bijhouden wie de persoon is maar ook wat zijn verantwoordelijkheden op dat moment waren. Geloof me, dat is allemaal best lastig en een forse administratie. Zeker als het gaat om studenten die binnen een paar maanden door een aantal afdelingen gaan. Of ingehuurde krachten etc.

Om kort te gaan moet je als instelling over 15 jaar nog precies kunnen vertellen dat de arts assistent die nu een paar dagen invalt op de afdeling vaatziekten recht had om vandaag een bepaald dossier in te zien. Ik kan je verzekeren dat geen enkele instelling dat op dit moment kan beloven. Wellicht een kwalijke zaak maar er is geen enkele instelling die de mankracht heeft om alles bij te houden en er is niemand die daarvoor betalen wil. We willen dat artsen mensen beter maken en niet dagelijks toegang moet vragen of doorgeven dat ie toegang niet meer zou mogen hebben.

In een goot Academisch ziekenhuis kan je matrix met alle toegangsrechten soms tot ongekende omvang groeien. Tot aan tienduizenden individuele 'rechten' toe (natuurlijk vaak wel in bundels). Als een afdeling veranderd, samengevoegd word etc levert dat enorme problemen op.

Dan krijg je in 2030 dingen als "de Deense arts assistent die in de eerste twee weken van Jan 2018 stage liep op de afdeling vaat van het ziekenhuis dat nu niet meer bestaat (omdat het gefuseerd is). De afdeling vaart is sinds 2022 verdwenen en nu deels onderdeel van Interne Geneeskunde en de toegangsrechten zijn op dat moment gesplitst tussen verschillende afdelingen".
Volledig eens met je standpunt. Het technisch implementeren van zo'n maatregel is het probleem niet; dat zit in de meest gebruikte EPD's in Nederland al lang ingebouwd (HiX en EPIC) en is ook gewoon een eis van NEN 7510. In het centrum waar ik werk is niet eens een actief mechanisme dat deze logs verwijdert. Enige technische hurdle is dus de conversie naar een nieuw EPD gedurende de bewaartermijn.

Het echte probleem zit 'm in het zinvol verwerken van deze gegevens. Een patiënt die via de Spoedeisende Hulp wordt opgenomen, later weer ontslagen en een paar keer de poli bezoekt, krijgt zonder het te weten te maken met tientallen medewerkers:
- Triagist op de SEH: iemand kijkt het dossier in om te beoordelen voor welk specialisme de nog-niet-gearriveerde patiënt moet worden ingeschreven. Dit is een verpleegkundige die dus inhoudelijk het dossier moet inzien.
- Betrokken SEH-verpleegkundige.
- Dienstdoende arts voor het betreffende specialisme; op het scheiden van de dienst vaak een andere arts dan degene die de patiënt fysiek ziet.
- De arts die de patiënt fysiek ziet.
- Consulent-artsen die vaak alleen 'op papier' meekijken en een gevraagd advies formuleren.
- Opnamecoördinator (verpleegkundige) van de afdeling waar de patiënt gaat komen.
- Tijdens de opname: 3 dienstblokken * (2 verpleegkundigen + 1-2 leerling-verpleegkundigen) * aantal opnamedagen + (verschillende zaalartsen). Bij een multidisciplinair overleg en de voorbereiding daarvan moeten ook meerdere aanwezige specialismen het dossier inzien om hun input te vormen.
- Bij ontslag: apothekersassistenten die medicatie controleren, vaak ook bij opname.
- Bij inplannen van de poli-bezoeken: radiologie-planning en poli-assistenten, radiologen, etc. die de aanvragen inhoudelijk op urgentie moeten beoordelen.
- En dan de poli-arts en co-assistent nog.
Tel daar nog bij elk specialisme een supervisor bij op.

In de praktijk telt dit op tot meer dan 100 zorgverleners die met een gegronde reden een dossier ingezien hebben, terwijl de patiënt maar een paar gezichten 'ziet'. Het is voor ons al ondoenlijk om 'terecht' versus 'onterecht' te onderscheiden. Een frequent opgenomen patiënt die zijn 'Inzagelog Dossier' via zijn zorgportaal inziet (dat kan bij ons) krijgt dus inderdaad een lijst meer dan 1000 namen te zien.

Het moge duidelijk zijn dat dit soort maatregelen dus een wassen neus zijn en alleen enige meerwaarde hebben in het kader van een uitgebreid onderzoek naar onterechte inzage bij een individuele patiënt (voorbeelden als Holleeder en Barbie). Maar een sluitend mechanisme voor alle patiënten zal het nooit zijn.

[Reactie gewijzigd door intoxicated op 3 januari 2019 15:51]

Daar komt nog eens bovenop dat niet alleen gelogged wordt WIE het dossier inziet, maar er wordt doorgaans ook gelogged WAT er vervolgens in het dossier bekeken is. Dit laatste is voor de patiënt (binnen de portalen die ik ken), niet inzichtelijk, maar draagt wel bij aan de gigantische bulk aan data die wordt gecreeerd met deze registratie over een termijn van 15 jaar.

En de vraag is natuurlijk, is dit echt noodzakelijk om dit dusdanig lang te bewaren? Of is dit gewoon doorgeslagen registratiedrang? Gaat iemand het ooit nog controleren of dossiers 10 jaar geleden mogelijk onterecht zijn ingezien, en wat er dan is bekeken?

En dat zijn nu dan nog overwegend menselijke interacties. Hoe gaat dit straks zijn als er een AI systeem door grote delen van het dossier heen raast? Wordt dit ook allemaal vastgelegd?

Het aantal database records is extreem. En technisch zeker niet onmogelijk, maar de vraag waarom wordt wel steeds groter.

Zodra het namelijk registreren om te registreren wordt, en er nooit iets met deze data wordt gedaan, is het niets anders dan een zinloze kostenpost binnen een sector die aan budget niet toegestaan is ongelimiteerd te blijven groeien. En dit soort extra opgelegde kosten zullen dus weer elders verhaald dienen te worden, en zoals jammerlijk genoeg zo vaak binnen de gezondheidzorg gaat dit laatste dan al snel ten koste van waar het uiteindelijk echy om zou moeten draaien, de patient.
De hoeveelheid data is nihil in vergelijking met het medisch dossier zelf. Zeker als je het over beeld materiaal gaat hebben. Een goede technische oplossing is dan bijv. bij een migratie geen overbodige luxe.
Daar kan men dan met zekerheid werken, wetend dat alles goed opgeslagen wordt.

Lange termijn opslag is ook qua kosten geen nekbreker. Zeker niet in de zorg waar veelal data ruimte heeft om te groeien. Bedenk dat 4 radiologie beelden vaak de grote hebben van een EPD qua data formaat.
Pathologie is nog een schaal groter (denk petabytes groei per jaar).

Als men, denkend aan BI, cloud of puur tier3 storage, de data neemt welke al verplicht gemaakt wordt in zorg systemen (NEN normering en huidige wetgevingen) en makkelijk opvraagbaar maakt, dan moet dit geen issue worden of zijn.

Het geld in de zorg gaat zitten in consultants en inhuur krachten die managers moeten zeggen wat ze moeten doen, terwijl in huis personeel dat al jaren doet maar er geen budget voor krijgt.

Zonder overdrijven kan er miljoenen per jaar bespaart worden als men meer gebruik maakt van kennis en expertise in huis, dan inhuren voor het zelfde antwoord en vaak een minder stabiel en minder lang houdbaar resultaat om 3 jaar later hetzelfde te doen, want tja, out of support.
De hoeveelheid data is niet het probleem, maar de inhoud wel. Een radiologie beeld is 1 object dat moet worden gemigreerd, het enige waar je daar rekening mee moet houden is de migratietijd en eventueel een bestandsformaatconversie, maar het blijft daarbij 1 object.

Een logfile met alle relevante informatie kan een hele ingewikkelde matrix zijn. Je krijgt dan ook nog leuke bijkomstigheden dat je persoonsgegevens van medewerkers moet gaan opslaan die wellicht al jaren weg zijn (of misschien zelfs zijn overleden). Daar zal een jurist ook nog wel wat van kunnen vinden.
Zoals al gezegd, technisch zeker niet onmogelijk, maar waarom? Omdat het kan zou niet het antwoord moeten zijn. De opslag van radiologie en pathologie data is begrijpelijk, dit ter vergelijk bij toekomstige diagnostiek is van ongekende waarde.

De opslag van data binnen het EPD is deels al meer discutabel. "Vroeger" werd het medisch dossier bewaard. In veel ziekenhuizen werd omtrend het besparen van ruimte, en simpelweg het feit dat toch vrijwel geen arts dit later ooit nog doorleest, het paramedisch dossier direct na opname vernietigd. Al die verpleegkundige notities, zo door de papierversnipperaar. Tegenwoordig wordt ook dat 'eindeloos' opgeslagen.

En hierbij geld eigenlijk al de vraag, waarom?

Maar zeker bij het eindeloos opslaan van logdata is al helemaal de vraag waarom. In de praktijk is het namelijk zeer onwaarschijnlijk dat er over zo een termijn iets mee gedaan wordt. En ook hoewel het mogelijk is, is het door de hoeveelheid opgeslagen data is het totaal inefficient om te analyseren. In het ziekenhuis waar ik nu werk heeft zich ook een privacy akkefietje voorgedaan. En hoewel het om inzage van een dossier ging over een periode van 1 dag, heeft het ruim 2 maanden geduurd voor de privacy commissie om de gegenereerde logs van wie het dossier heeft ingezien, wat ze hebben ingezien, te controleren voor legitiemheid of niet. En dat is dan 1 episode van onrechtmatige dossier inzage, data van 1 dag, wat door een team van 6 mensen 2 maanden heeft gekost om te analyseren. Om uiteindelijk tot een collectieve tik op de vingers, "niet meer doen, ok?" boodschap te komen.

Het wordt in de praktijk dan ook niets anders dan een enorme hoop aan extra data waar uiteindelijk niets mee gedaan zal worden.
Het lijkt me vreemd dat men bij migraties wel kan gaan uitzoeken hoe de medische data moet worden overgezet maar dat de audit trails dan ineens een onmogelijkheid zouden zijn. Lijkit me dat leveranciers van de software dat toch gewoon moeten meenemen in hun migratietrajecten.

En sluitend zal je zoiets inderdaad moeilijk kunnen maken, maar als er een noodzaak is om ongeoorloofde toegang te onderzoeken moet die mogelijkheid er gewoon zijn. En dan is dit dus geen wassen neus, maar net een noodzakelijk iets.
De data is ook nu al prima inzichtelijk (duizenden regels per patiënt), alleen het achterhalen of inzage geoorloofd was is een handmatige klus, daarvoor is geen enkel automatisch mechanisme. Ook niet in het huidige voorstel van de AP.
Het zou niet uit moeten maken of het technisch haalbaar is of niet. Of dat het veel data betreft of niet.
Het is een recht van een patiënt om te weten wie er bij zijn dossier info is geweest.
Een recht waar men nu te weinig mee doet of waar te weinig druk achter zit om er iets mee te doen vanuit instellingen.

Het klopt idd dat een patiënt gedurende de tijd in een ziekenhuis bijv met een groot aantal personen te maken hebben, maar om nu te zeggen dat het wassen neus is, is erg kort door de bocht.
Er is altijd een log trail dan beschikbaar en altijd een verantwoording mogelijk voor de patiënt waarom een bepaalt persoon bij zijn info was geweest of heeft bewerkt.

Zodra dit niet meer mogelijk is, dan is het een probleem.
En nu dat er geen richtlijn is kan het zeker voorkomen dat, naast het recht van een patiënt, er ook geen recht wordt gedaan aan wetgeving of gevoel van een patiënt bij vertrouwen enz in zijn behandelaar of instelling.
Het is een bult data. Op de een of andere manier lijkt dat nooit een probleem te zijn bij maatregelen waarbij de privacy van de burger in het geding is, terwijl het nu blijkbaar wel een probleem is als de maatregel juist ten goede komt aan de privacy van de burger.
Daarom is het nu zo geregeld dat heel veel zorgverleners in een ziekenhuis het technisch gezien MOGEN bekijken. Dit wordt dan gelogd, en met die logging is voor induviduele gevallen uit te zoeken of het terecht was.

Dus als bekende mannelijke nederlander wordt opgenomen in een ziekenhuis, en vervolgens kijkt iemand van de afdeling gynacologie in zijn dossier.. dan mag die dat komen uitleggen. En daar kan best een goede reden voor zijn, maar het wordt achteraf getoetst, niet vooraf.

en ... als in de komende 15 jaar 1 van de systemen wordt vervangen, dan moet dus de logging mee gemigreerd worden.
Ik ken 1 Nederlandse softwareleverancier in de thuiszorg die dit doet. Het kost hun een ENORM cluster aan elasticsearch machines, dus er zijn zorginstellingen die dit op dit moment wel kunnen.
Het betekent tegelijkertijd wel dat ook de naam/herleidbare identificatie van de persoon die gekeken heeft, ook zo lang bewaard moet worden.
En men niet onder elkaars accounts moet gaan werken.
dat is natuurlijk sowieso al niet de bedoeling, of zou het toch niet moeten zijn.
Feitelijk dus de langdurige opslag van persoonsgegevens, iets wat in het kader van de privacy toch niet gewenst is? En krijgen de personen wiens persoonsgegevens opgeslagen worden ook het recht om die gegevens in te zien?
Je hebt altijd het recht om je eigen persoonsgegevens in te zien. Of je het recht hebt om in te zien wanneer je een dossier hebt ingezien staat los van je eigen persoonsgegevens. Maar aangezien je niet zomaar de patient z'n gegevens in mag zien (als deze geen actieve patient meer is) zul je waarschijnlijk wel mogen zien wanneer je dossiers hebt ingekeken, maar niet de inhoud van de dossiers.
Dat lijkt mij niet zo'n probleem. Wie een onderzoek wanneer heeft uitgevoerd wil je toch nog altijd terug kunnen zien, dus medewerkeraccounts disablen wij altijd en verwijderen we nooit.
Bekijk de reactie van Zer0 hierboven. Waarschijnlijk mag je de naam die 15 jaar bewaren, omdat dat een legitiem belang is / doel van de bewaring. Maar tegelijkertijd gaat het wellicht in tegen het idee dat juist niet alles maar oneindig bewaard moet worden.

'Nooit' iets verwijderen lijkt me in ieder geval niet gewenst.
Ik snap je punt. Maar in ons dossiersysteem zit van medewerkers enkel een naam + wachtwoord + functie opgeslagen dus het lijkt mij geen probleem dat 'oneindig' te bewaren. Functie wordt vaak zelfs op 'uit dienst' ingesteld.

Dat zal bij een groot ziekenhuis bijvoorbeeld wel anders zijn, waar planning en HRM etc ook vast daar aan gekoppeld zal zijn.
Maar in ons dossiersysteem zit van medewerkers enkel een naam + wachtwoord + functie opgeslagen dus het lijkt mij geen probleem dat 'oneindig' te bewaren.
Een naam (van een persoon) is een persoonsgegeven. Daarnaast zijn daar in logging ook nog eens de activiteiten van die persoon vastgelegd, en mogelijk zelfs (indirect) zijn of haar locatie op dat moment.

Oneindig opslaan lijkt me dus wel degelijk iets waar goed over nagedacht moet worden.
lijkt me qua dataopslag ook peanuts.. maar ik ben dan ook geen minister.
Lijkt mij ook maar 1 extra tabel in de database van het EPD van het ziekenhuis.
  • Ramdom primary key
  • Datum/Tijd
  • Patientnummer
  • medewerkersnummer
Lijkt mij dat 1 record dan dus nog geen 256 bits groot hoeft te zijn (en dan reken ik al met hele lange patient en medewerkers nummers), dus 1 MB schijfruimte biedt ruimte aan ruim 4000 records.
Het Radboutmc in Nijmegen is het grootste ziekenhuis van Nederland met 953 bedden. In 2016 hadden zij ook nog eens 33.000 poliklinische behandelingen (ofwel 93 behandelingen per dag).
De enige medewerkers die toegang mogen krijgen tot de dossiers zijn de medische staf (dus artsen, verpleegkundigen enzovoorts). Administratieve medewerkers behoren geen toegang te hebben.

Het volgende is dan wat natte-vinger-werk:
Een poliklinisch bezoek staat grofweg gelijk aan 4 inzage momenten in het dossier (voor het bezoek, tijdens het bezoek, na het bezoek en bij de ziekenhuis apotheek). Een bed zal minimaal 5 inzage momenten per dag hebben (bezoek arts, uitdelen medicijnen).
1 dag zou dan dus 372 records voor de poliklinische en 4765 records voor de bedden opleveren, dat is dus 5 MB data per dag, dus nog geen 2 GB per jaar.
Met wat groei erbij, zou 15 jaar data bewaren dus tussen de 50 en 75 GB aan storage kosten. Dat lijkt me niet schrikbarend veel.
Ik denk dat je je erop verkijkt hoeveel mensen inzage hebben in (een deel van) het dossier.
Administratieve medewerkers horen natuurlijk te kunnen kijken of er al een afspraak staat bij het specialisme waarbinnen ze werken. Deze informatie valt ook al onder het medisch beroepsgeheim, dus dat zou ook gelogd moeten worden.
Als een patiënt dan nog wil dat afspraken bij meerdere specialismen op één dag gecombineerd worden, dan moeten ze dus ook de gegevens van dat andere specialisme inzien (niet per se inhoudelijk dus, maar wel op het beroepsgeheim).

Zo kan ik nog wel even doorgaan, maar @intoxicated legt het hier al goed uit.
Daarnaast moeten ook alle gebruikergegevens van de medewerkers worden bewaard want medewerker x kan 14 jaar geleden al uit dienst zijn gegaan.
En wat als die medewerker destijds geen rechten had en nu wel (door verandering van functie of afdeling)?Dat moet je dus ook bijhouden. Anders kan je concluderen dat het allemaal goed is op basis van het medewerkersnummer.
En wat als die medewerker destijds geen rechten had en nu wel (door verandering van functie of afdeling)?Dat moet je dus ook bijhouden. Anders kan je concluderen dat het allemaal goed is op basis van het medewerkersnummer.
Als die medewerker destijds geen rechten had, had die medewerker überhaupt die gegevens al niet in moeten kunnen zien. Dat had het systeem al moeten weigeren.

Die use-case bestaat dus enkel als het systeem al per definitie zo lek als een vergiet is geimplementeerd. Op dat moment heb je denk ik een groter probleem. :)

[Reactie gewijzigd door R4gnax op 3 januari 2019 23:12]

Een geval zoals je schetst, gaat ook nog wel een keer voorkomen, daar hoef je geen glazen bol voor te hebben.
logisch gezien is dat geen probleem, echter ziekenhuizen vallen bij bosjes om en dataopslag is duur, ziekenhuis krijgen geld van verzekeraars, verzekeraars krijgen geld van de gewone man...

Ergo, als ziekenhuizen meer geld uit moeten gaan geven aan meer opslag zal de zorgpremie omhoog gaan.

Daarnaast gaat het niet alleen om wie maar ook:
Wanneer (belangrijk voor juridische vraagstukken)
Waarom (in veel huizen moet je een reden opgeven als je geen behandelrelatie hebt)
Waar (ziekenhuizen hebben meerdere locaties en ook dat kan van invloed zijn)
Welke (welke informatie heeft persoon x wel en niet ingezien. Medisch dossier bestaat uit een enorme kluwe aan data)

Bovenstaand zijn alleen nog maar de logfiles als je iets met ingezien. De changelog staat hier nog helemaal los van.
Een changelog hoeft toch ook niet veel data te kosten? Snapshots aanmaken en nieuwe/verwijderde data enkel toevoegen; dan kan je zo een “replay” doen van wat er allemaal veranderd is en dankzij het aanmeldlog ook door wie dat veranderd is en wanneer; je hoeft dat niet perse in aparte logs bij te houden lijkt me. Die data moet er toch in, die paar bytes metadata zullen geen ramp zijn lijkt me. Als bonus is alles dan nog tot de staat zoals t x jaar geleden was terug te brengen ook. Win-win.

Dat ziekenhuizen omvallen door wanbeleid en verzekeraars die teveel macht hebben staat hier wmb overigens los van. Als dat een argument is, dan moet de overheid dat lekker oplossen ipv terughoudend te zijn vanwege de bizarre situatie die door eigen toedoen ontstaan is.

[Reactie gewijzigd door WhatsappHack op 3 januari 2019 15:59]

Dat is dan een pré in deze :+
Lijkt mij eigenlijk basis functionaliteit ik heb een aantal jaar gewerkt met software op het gebied van verzuim registratie en die hield keurig vanaf het begin (aanmaken dossier) een registratie bij wanneer en door wie het dossier was geopend/bewerkt etc)
Er is enig verschil tussen een tijdsregistratie en een systeem dat uiteindelijk 25+ miljoen mensen moet bijhouden over een periode van 15 jaar (er komen ongeveer 400k nieuwe Nederlanders per jaar bij en de sterftes moet je ook nog 15 jaar bijhouden).
Maar die komen lang niet allemaal bij hetzelfde ziekenhuis of in hetzelfde EPD.
Een EPD is niet centraal geregeld, ieder ziekenhuis (of ziekenhuis groep) heeft een eigen EPD (waarbij er een relatief beperkte keuze aan leveranciers is).
Ik denk dat een tijdregistratiesysteem van een supermarkt keten zoals de Albert Heijn (met in het totaal > 130.000 medewerkers) zeker niet onder zal doen voor het EPD van een enkel ziekenhuis als het gaat om aantal wijzigingen per dag.
Wie heeft het over tijdsregistratie?
Het goed bewaren op zich is nog wel een kunstje. Hoeveel zou je vandaag de dag kunnen met een 20 jaar oude harddisk? PATA, FAT32, 7 bits ASCII bestandsnamen van 8.3 tekens zonder spaties, 260 tekens totaal in directories en bestandsnaam. Je zult dus na moeten denken over een formaat wat mee te nemen is naar nieuwere hardware of technieken. Een beetje zoals de Archival PDF formaten (PDF/A). Maar: dat is best oplosbaar.
De data kan toch gewoon mee migreren met nieuwere technieken (indien nodig)? De data die ik op mijn oude FAT32 schijven had staan staan nu ook gewoon op mijn NTFS SSDs.
Unicode (UTF-8, of UTF-16 of zo), want je moet namen opslaan. In namen zitten niet noodzakelijk enkel ASCII tekens. Je kan altijd eens kijken hoe MIME voor E-mail dit oplost. Het is niet toevallig dat een goede MUA een E-mail kan schrijven naar een Chinees en dat de To-header dan gewoon juist is. Het is wel zo dat er veel MUA's zijn die het volledig fout doen (en spammers genereren hun E-mails vaak ook volledig fout).

De bestandsnamen zijn veel minder belangrijk (maar waarom je dat nog in ASCII 8 plus 3 tekens zou doen weet ik niet - beetje te veel MS-DOS meegemaakt misschien?). Heb je enorm veel bestanden op te slaan (meer dan dat je verouderde filesysteem per directory aan kan) dan zijn er ook truukjes. Bv. een aparte subdirectory per eerste karakter van de filename.

Wil je het opslaan? Natuurlijk gebruik je dan tar. Dat bestaat al decennia en dat zal blijven bestaan (ongeacht wat morgen de hype is om te archiveren). Tape drives is ook allemaal tar.
Om je aan te geven wat er veranderd in 15 of 20 jaar gaf ik je even aan wat 20 jaar geleden de norm was. Zelfs iets handigs als het BSN gebruiken om een dossier-folder te benoemen kon toen niet. 999999990.dossier als naam voor de folder met dossiers had niet kunnen werken vanwege technische beperkingen uit die tijd. Als jij weet wat over 20 jaar de norm is en waarom wat we nu doen tegen die tijd bizar antieke beperkingen lijkt heb je een mooie toekomst voor je.

Tar is betrouwbaar, ik gebruik het dagelijks, maar om log-events uit een archief te zoeken is het een draak. Je moet al je ponsbanden of tapes langs voordat je zeker weet dat je al je data gevonden hebt. Als je een paar honderd handelingen voor één patiënt in de logfiles van alle klanten van een ziekenhuis over een periode van een paar jaar bijeen moet zoeken ben je wel even bezig.
Stel dat we een directory structuur hebben als: m/mark.log (met dus de eerste letter als subdirectory-naam, zoals ik voorstelde). En stel dat de .log files lijnen hebben als "HANDELING - wat waar wie hoe". Dan doe je dit:

tar cf logs.tar m (om de logs.tar te maken natuurlijk)

En dan om er in te zoeken (zonder m/mark.log uit te hoeven pakken):

tar xf logs.tar m/mark.log -O | grep -v "handeling"

Lukt dat niet meteen op Windows, dan installeer je snel even Cygwin of msysgit of andere tools die tar en grep voorzien (er zijn wel wat opties).

ps. Ik ben er zeker van dat de PowerShell mensen hier ook een oplossing voor kunnen bedenken.
Het BSN gebruiken als naam voor een dossier-folder? Dat gaat pas echt in tegen de AVG. De IT-er die dat bedacht heeft (en de Functionaris Gegevensbecherming die het goedkeurt) moeten wat mij betreft op cursus.
De hoeveelheid data is niet altijd een probleem, maar het aantal regels soms wel.

Je kan 4MB hebben in 1 foto, of dit verdeeld hebben over allemaal kleine stukjes.

Dat laatste is een heel stuk lastiger.
Heel veel records opslaan, daar is database software voor ontworpen, dus dat niet snel een probleem. Zelfs al zou het opvragen ervan op een gegeven moment niet meer te schalen zijn, dan kan je er ook nog voor kiezen om alles ouder dan x jaar te archiveren naar cold storage omdat daaruit slechts heel incidenteel nog iets moet worden opgevraagd. Maar zomaar weggooien is te roekeloos, zolang het gerelateerde medische dossier bestaat moet een log m.i. ook volledig bewaard blijven.
Vergeleken met de foto's in het dossier is dit peanuts.
Een foto is slechts 1 object zonder allerlei referenties.
Hmm. Even rekenen.Een mammografie dicom file is zo 50Mb groot. Als je een referentie aanlegt heb de key van het te relateren object nodig. Laten ze aannemen dat de makers nagedacht hebben en een UUID als ID hebben (16 bytes). Dan kan je in de ruimte van 1 foto ongeveer 3 miljoen referenties aanleggen. Lijkt me dat dat voldoende is voor een audit trail (wat zag je: 1 relatie, wie zag het: nog een relatie).
Zal wel in drievoud geprint moeten worden. :+
Dat hangt er helemaal van af wat er allemaal gelogd wordt.

Stel je eens voor dat er een probleem wordt ontdekt met een bepaalde medicijn. Je wil in zo'n geval weten wie dat medicijn allemaal heeft gebruikt. Daarvoor moeten dus alle dossiers (geautomatiseerd) worden gelezen. Dat levert minimaal 1 logregel op per dossier. En dat is alleen maar lezen.

Het kan handig zijn om bij te houden wat er allemaal aan het dossier gemuteerd wordt. Iedereen die wel eens op een Wikipedia edit-history heeft gekeken zal weten hoe veel data dat kan bevatten.

En dan krijg je te maken met usernames. Organisaties wisselen zo nu en dan van username conventies. Leuk als er in het log staat dat 12 jaar geleden user23 het dossier heeft geopend, maar tegenwoordig gebruikt de organisatie M-947843 voor dezelfde persoon. Je moet dus gaan bijhouden wie die user was. En je mag daar niet het BSN voor gebruiken.

Dit soort logs lijken simpel maar kunnen heel snel extreem groot worden.
Over het algemeen zijn ministers ook niet gehinderd door kennis van zaken :+
Dat hoeft ook helemaal niet. Een minister moet besturen. Voor inhoudelijke zaken heb je specialisten. Jij weet ook niet alles wat er bij jou op het werk gedaan wordt. Voor veel dingen gebruik je ook andere mensen die het wel weten. De minister hoeft alleen maar de wetgeving te regelen, en zich niet druk te maken over de technische implementatie.

[Reactie gewijzigd door keenan001 op 3 januari 2019 22:46]

De minister hoeft alleen maar de wetgeving te regelen, en zich niet druk te maken over de technische implementatie.
Deze lijkt me enigzins relevant: https://www.youtube.com/watch?v=BKorP55Aqvg
Heeft elk ministerie al de top specialisten in elk veld in huis, ook bij nieuwe projecten? En zo niet, zou jij een minister die niet weet wat een computer is als hoofd van de taskforce 'Cybersecurity' willen hebben?
Stel dat de minister aan de groep vraagt hoe het staat met de beveiliging van de IT van de Nederlandse ministeries en als antwoord krijgt dat 1 van de groepsleden op het 'hacker forum Tweakers' een keer heeft gelezen dat, zolang je zorgt dat je alle Windows updates geinstalleerd hebt, je redelijk veilig bent. En ze vervolgens de minister garanderen dat alle updates geinstalleerd zijn op de Windows 95 en 98 machines waar alle ministeries van gebruik maken. Op zo'n moment zou ik toch graag willen dat de minister enige basiskennis in het vakgebied heeft, en niet (zoals de kabinetsleden van Trump bijvoorbeeld) alles wat mensen zeggen voor waar aannemen of iedereen die hun ideeen tegenspreekt onslaat.
Wat mij betreft wordt een dergelijk systeem uitgebreid met een melding dat "iemand" je gegevens heeft bekeken. Nagenoeg iedereen heeft tegenwoordig een smartphone, Iedereen heeft een digiD, en dat hele systeem moet toch op redelijk eenvoudige wijze aan elkaar te koppelen zijn. Ik heb nog altijd het delen van mijn medische informatie niet toegestaan omdat ik geen controle middel heb of en wie er de gegevens in kunnen zien. Ook bij verzekeraars werken mensen met een BIG registratie, en verzekeraars hebben financiële belangen on dergelijke dossiers in te zien.
Geloof me: je gaat helemaal gek worden als je iedere keer een melding krijgt als iemand je gegevens heeft ingezien. In een modern ziekenhuis zijn zó veel mensen bij een behandeling betrokken, zij zullen allemaal vanuit hun functie iets met een deel van jouw gegevens moeten doen. Maar als jij dat wilt: be my guest :)

Op Volg je zorg kun je trouwens zien wie jouw gegevens via het Landelijk Schakelpunt (LSP) heeft opgevraagd bij welke zorgaanbieder. (ziekenhuis vraagt bijvoorbeeld een medicatieoverzicht op bij je apotheek). En ja, voor het opvragen moet je eerst toestemming hebben gegeven. Op VJZ kun je ook notificaties aanzetten, dan krijg je een mail als er een opvraging is gedaan.
[Rant verwijderd].
Alles wat nu in een computer wordt opgeslagen, wordt nooit meer verwijderd. Opslag is goedkoop genoeg. Wen er maar aan. Politici vinden het prima, want het kost ze niks, en ze krijgen alleen maar meer controle over zaken waar ze niks mee te maken hebben. Alle nieuwe data is er voor de eeuwigheid.

Kan ik nog aangeven dat ik nirt wil dat mijn huisarts, tandarts, ziekenhuis, specialisten, zorgverzekeraar, etc, niet mijn gegevens met elkaar delen ? En zo ja, zouden ze zich er aan houden ?

[Reactie gewijzigd door gryz op 3 januari 2019 14:39]

Wij maken software voor huisartsen en apotheken. Reken maar dat wij gewoon een retention policy hebben op de data die we moeten bijhouden in het kader van de AVG/GDRP richtlijnen. Na zoveel jaar is de data gewoon weg.
Waarschijnlijk op de termijn die gesteld is aan de bewaartermijn van een medisch dossier.

Dat iedere zorgverlener de digitale variant langer zal bewaren is duidelijk, maar de papieren variant moet ook zolang bewaard worden. Hoe belachelijk soms ook. Recepten van een tandarts op thermisch papier. Zie die maar eens goed te bewaren gedurende 15 jaar...
Kun je de logging niet direct l/live doorsturen naar de patiënt?
Bijvoorbeeld zo:

Beste mevrouw/meneer P,

Op datum D werden de volgende items van uw medisch dossier geraadpleegd:

Tijdstip T1: Dhr/Mevr D1 (medische instelling M1, functie F1) item I1
Tijdstip T1: Dhr/Mevr D2 (medische instelling M2, functie F2) item I2
....
(Etc)

Klik op het itemnummer om het item zelf te lezen.
Log in met uw DigiD.

Hier zit vast een bezwaar aan, maar ik zie niet zo snel wat dat zou kunnen zijn.
Op één scherm kan erg veel informatie staan dus per item melden wordt lastig. De portalen van ziekenhuizen worden steeds verder uitgebreid, je kunt zelf al een deel van je medische gegevens en afspraken inzien. Het zou mij niet verbazen als het inzien van de raadpleeghistorie daar op termijn ook in gaat komen.

Wat dan wel weer voor ruis kan zorgen: "Bespreking van uw diagnose en behandelopties in het multidisciplinair overleg, aanwezig waren:" (en dan de namen van 20 medisch specialisten, arts-assistenten, physician assistants, de medisch secretaresse, etc...) ;)
Uit de namen en functies van de artsen die het dossier hebben ingezien, is al af te leiden wat voor kwaal iemand heeft. Die gegevens moet je dus niet zomaar naar de mogelijk slecht beveiligde smartphone van meneer of mevrouw P sturen.

Een patiënt vertrouwt er doorgaans op de juiste diagnose en behandeling te krijgen, waarom zou de patiënt er dan niet op vertrouwen dat zijn gegevens noet ten onrechte worden ingezien?
En dan stuur je dat via onveilige email (die kan onderschept worden) naar je gmail (kan Google ook lekker meelezen) en blijk je na een weekje ziekenhuisopname 1000 mailtjes te hebben.
Hier zit vast een bezwaar aan, maar ik zie niet zo snel wat dat zou kunnen zijn.
De inbreuk op de privacy van de raadplegers zou ik als bezwaar zien...
Laat maar weer zien dat (een deel van?) onze ministers nog altijd te weinig van data e.d. weten. Wat een knullig antwoord.
In eerste instantie lijkt het misschien niet zoveel regels te zijn, maar als je even kijkt naar de norm NEN7513 (specifieke norm gemaakt voor de zorgsector) zie je toch veel meer dan enkel een dokter/arts die in je dossier heeft gekeken.
Het betreft bijvoorbeeld ook welke rol, datum, tijd, wat voor actie (dus niet alleen inzien, maar ook kopieren, uitprinten etc. . Daarnaast niet alleen de arts, maar ook toezichthouders. Ook logging over wanneer er wijzigingen zijn aangebracht voor wie het dossier mag bekijken.. Daarnaast kan het filesystem gegevens op een inefficiente manier opslaan, waardoor logbestanden behoorlijk uitlopen.

Voor wie eens kennis wil maken met de norm:7510, -12 en 13 zijn gratis te downloaden via www.nen.nl :)
En vanaf wanneer kunnen we onze eigen medische dossier inzien?
Dan kan, bij iedere zorgverlener/zorginstantie. Dat is je wettelijk recht.
Dat kan al even... je moet er wel even wat moeite voor doen en de juiste weg zoeken op google...
Het grootste deel ervan kan je inzien. Er zijn ook gedeeltes van jouw medische dossier waar je niet de eigenaar van bent (bijvoorbeeld een psychiatrisch rapport), dus dan wordt het wel lastiger om inzage te verkrijgen.
Mijn vraag hierbij is vooral: hoe gaan ze zo'n applicatie 15 jaar beveiligen? Want zo lang data verzamelen maakt het natuurlijk erg interessant voor hackers en bovendien heb je al snel te maken met legacy code die onderhoud ook lastig maakt. En computers worden alsmaar sneller dus zaken encoden is over een tijd peanuts om te kraken
Is er werkelijk iemand die het interesseert wie er 15 jaar geleden zijn medisch dossier heeft ingekeken? Ik ben voor bescherming van privacy en zo maar dit is gewoon overkill.
Het inkijken is niet zo erg, maar als er dingen gewijzigd zijn kan dit vergaande gevolgen hebben. Ik ken iemand waarbij een arts een keer een totaal verkeerde diagnose had gesteld, en toen later onderzoek werd gedaan naar het hoe en wat, was er 2 pagina's uit het papieren dossier verwijderd. En niemand wist natuurlijk hoe dat kwam... Maar als je leven verkloot is door zo'n fout wil je toch wel weten wie de schuldige is.
Inderdaad. Het maakt het traceren van dit soort blunders alsmede de poging tot een cover-up vrij triviaal.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True