Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

HagaZiekenhuis gaat in beroep tegen hoogte van AVG-boete

Het HagaZiekenhuis in Den Haag gaat in bezwaar tegen de hoogte van de boete die het van de Autoriteit Persoonsgegevens heeft gekregen. Wel gaat het ziekenhuis de veiligheidseisen rondom medische dossiers verder aanscherpen.

Het ziekenhuis gaat niet in beroep tegen de hele boete, maar wel tegen de hoogte ervan. "Die vinden we te hoog", bevestigt een woordvoerder. Het besluit werd dinsdag genomen door de Raad van Bestuur van het ziekenhuis. Het ziekenhuis kreeg dinsdag een boete van 460.000 euro omdat het de beveiliging van medische dossiers niet goed op orde had. Medewerkers bekeken vorig jaar het medisch dossier van realityster Samantha de Jong, waarop de Autoriteit Persoonsgegevens een onderzoek instelde.

Het ziekenhuis zegt maatregelen te nemen om de toegang tot medische dossiers beter te beveiligen. Zo was er al tweestapsverificatie verplicht voor toegang tot medische dossiers, waarbij naast het wachtwoord ook een persoonlijke personeelspas of een pincode nodig is die iedere vier uur opnieuw moet worden ingesteld. De privacywaakhond vond dat niet veilig genoeg. Het ziekenhuis gaat die tijdsperiode daarom inkorten. Daarnaast verhoogt het ziekenhuis de frequentie waarmee logs worden gecontroleerd. Er werden wel toegangslogs aangemaakt, maar die werden niet vaak genoeg gecheckt. Het HagaZiekenhuis hekelt het feit dat de Autoriteit Persoonsgegevens niet duidelijk maakt hoe vaak de logs bekeken moeten worden voordat de waakhond dat classificeert als 'systematisch.'

Het ziekenhuis zegt met de nieuwe maatregelen te voldoen aan de eisen van de AP. Dat moet ook wel, want die legde ook een last onder dwangsom op waardoor het ziekenhuis nog eens een boete zou krijgen als het de regels niet vóór 2 oktober dit jaar zou verbeteren. "Hiermee voldoet het ziekenhuis - zoals door de AP geëist - aan de vereiste technische en organisatorische maatregelen voor de interne beveiliging van patiëntendossiers", schrijft het ziekenhuis in een reactie. Daarin schrijft het ook dat er aan vier andere eisen, zoals toegangscontrole, een register voor datalekken, voorlichting over privacy en goede logging, wél voldoet.

Het ziekenhuis wil onder andere software gaan inzetten om het controleren van de logs te versnellen. "Dat doen we tot nu toe handmatig en dat is tijdrovend. Daar zoeken we nu slimme software voor om het sneller en vaker te kunnen doen", schrijft directievoorzitter Carla van de Wiel. Ze vindt het 'zuur' dat het bedrag van boete nu 'niet aan patiëntenzorg kan worden besteed.'

Door Tijs Hofmans

Redacteur privacy & security

17-07-2019 • 17:38

196 Linkedin Google+

Reacties (196)

Wijzig sortering
Blij dat ze niet tegen de boete an sich in beroep gaan, maar enkel tegen de hoogte. Op deze manier ontstaat er snel wat jurisprudentie en weten we ook in de toekomst waar je een beetje vanuit moet gaan. Dat biedt niet alleen comfort voor de consument wiens privacy beschermd wordt (of moet worden), maar biedt ook een stukje zekerheid aan bedrijven welke risico's ze wel/niet lopen.

Wat het bedrag betreft, ik kan niet vinden om hoeveel patienten het gaat. Wat mij betreft is een boete van 250-400 euro per consument best een mooi bedrag. Gelekt of niet, als je als bedrijf zorgt dat het niet adequaat beveiligd wordt kan je wmb dezelfde boetes krijgen als wanneer het wel gelekt is. Het gaat er om dat je het risico neemt, niet of er uiteindelijk iets lekt.
@Freeaqingme: Het ging om de medische gegevens van één vrouw, bekend van de tv onder de naam "Barbie".
Thanks. Je kan zeggen 'het ging om slechts 1 persoon' van wie de gegevens door ~80 werknemers onterecht ingezien zijn. Aan de andere kant, dat was alleen mogelijk doordat er geen (goede) controle (voor- of achteraf) was op wie welk dossier opende. De kans is dan ook ruim aanwezig dat dit bij nog meer patienten het geval is (bijv. de verpleegkundige die zijn buurman tegenkomt in het ziekenhuis en besluit even te kijken of er iets interessants in z'n dossier staat). En doordat die controle gebrekkig was, was er in ieder geval het risico dat er nog veel meer patientendossiers zouden lekken.

Je kan dus zeggen dat het maar om 1 patient ging. Maar ik denk dat de insteek van de AP is dat die ene patient aanleiding gaf het gegevensbeschermingsbeleid (3x woordwaarde!) van het ziekenhuis te bekijken, en dat het daarbij de conclusie trok dat het ziekenhuis slordig omgesprongen is met de dossiers van alle patienten.
Maar dat wil natuurlijk niet zeggen dat de rest van de patiëntengegevens niet evengoed (te) eenvoudig op te vragen waren.
waarvan we het weten ja....
kan ik hier uit concluderen dat jij je eigen medische gegevens 250-400 euro waard vind?
Ja, dat kan je hier uit concluderen. Nee, zo ervaar ik het niet. Het zijn dingen waar je eigenlijk geen geldbedrag aan kan verbinden, maar als iemand mij morgen een miljoen euro geeft dan wil ik best een machtiging afgeven om het bij m'n huisarts op te vragen en op internet te zetten.

Je redenering kan je ook verder doortrekken. Autorijden met (te)veel alcohol op is verboden omdat de kans gewoon groot is dat je een ernstig ongeluk veroorzaakt c.q. iemand doodrijdt. Moeten we dan maar op iedere overtreding 'de prijs van een mensenleven' zetten*? Da's lastig rekenen omdat je niet kan zeggen wat voor bedrag dat dan moet zijn. Daarom pakken we in ieder geval een forfaitair bedrag om te zorgen dat je 't in je portemonnee voelt als je de regels overtreedt.

offtopic:
* Wat mij betreft zouden we na 2 of 3 keer iemand best kunnen vervolgen voor poging tot doodslag als 'ie met teveel alcohol achter het stuur wordt aangetroffen, maar dat is weer een andere discussie (denk ik).
1 miljoen is wat anders dan 400 euro. :) Als iemand je 400 euro geeft voor al je medische gegevens zeg je dan ook nog ja?
Nah, waarschijnlijk niet. Maar je negeert tegelijkertijd wel alles van wat ik verder zei. Omdat je het kennelijk alleen maar heel zwart/wit wil horen: Nee. Als een ziekenhuis 100 patientendossiers laat lekken vind ik niet dat ze daarvoor 100 miljoen moeten betalen.
In dit geval hebben ze het niet gelekt maar waren een hoop personeelsleden nieuwsgierig wat er aan de hand was met Samantha en hebben daarom even haar medisch dossier doorgelezen. Prima dat hier boetes op staan, ze zouden tegen de personeelsleden die het dossier onnodig hebben opgevraagd ook maatregelen moeten nemen.

Daarnaast moet een dossier voor al het personeel toegankelijk zijn. Als er iets met een patiënt is moet je direct kunnen handelen en niet eerst aan iemand toestemming moeten vragen om hier inzage in te krijgen.
Dossiers zijn niet voor al het personeel toegankelijk. Er bestaat echter wel een noodprocedure zodat je als medewerker de beperkingen kan omzeilen. Hier moet je een gegronde reden voor hebben en die toegang wordt ook direct gevlagged en gecontroleerd.
Rijden met alcohol op kan je scharen onder poging tot doodslag. je weet het gevaar lijk mij.
Dat is inderdaad een hele andere discussie.

[Reactie gewijzigd door 0xygen500 op 17 juli 2019 18:20]

Het heeft eigenlijk geeneens met beveiliging te maken, maar vooral met de mentaliteit van het personeel. Beveiliging is geen oplossing voor het probleem. Als er een BN-er ligt kan informatie nog altijd door bevoegde mensen worden opgevraagd, die dat vervolgens deelt met onbevoegden (wat hier dus gebeurt was). Je kunt onbevoegden ook naar je scherm laten kijken. En daarnaast heeft medisch personeel de eed afgelegd waarin ze beloven op de juiste manier met informatie om te gaan. Kennelijk is het personeel in het Haga ziekenhuis niet professioneel genoeg.
"trust, but verify"

Ik ben het met je eens dat het enerzijds een mentaliteitsprobleem is. Echter, zolang er 0 controle is op welke personeelsleden welke dossiers allemaal bekijken, dan ligt de drempel om dat puur uit nieuwsgierigheid te doen vrij laag. Als je middels technische maatregelen kan zorgen dat de 'pakkans' verhoogd wordt dan verhoog je die drempel en zal het personeel zich makkelijker kunnen conformeren aan de integriteitsregels.

[Reactie gewijzigd door Freeaqingme op 17 juli 2019 18:05]

Soms is het “rechten” technisch onmogelijk om iemand geen toegang te geven, denk aan de ICT afdeling, die moet eigenlijk bij meer kunnen dan nodig is, want ik moet in feite alles kunnen openen wordt er dan snel gezegd. Maar voor mijn werk te doen hoef ik niet alles inhoudelijk te kunnen zien. Niet alle software pakketten hebben dit netjes op orde. Of doen daar vrij lang over dit op orde te krijgen en als jij slechts afnemer bent dan kan het soms ook wel eens heel lang duren voordat het gefixt is. Tussentijds moet je iets, maar schijnbaar is de drempel om zomaar ergens in te gaan kijken niet aanwezig en dat is een gedragsprobleem want zoiets behoor je niet te doen. In principe waren die mensen allemaal wel “bevoegd” om dossiers in te zien, maar alleen van diegenen die zij behandelden. Tenminste zo zou het systeem moeten werken, want als stage01 overal bij kan is er wel meer werk nodig dan alleen wat strakkere regeltjes. Of t allemaal klopt vs de wet en regelgeving is een heel ander verhaal.
Binnen een ziekenhuis is het inderdaad lastig om de beveiliging goed te regelen. Aan de ene kant zijn gegevens soms snel nodig voor verpleging en artsen. Aan de andere kant staat de privacy. Een vervelende situatie is ook dat de gegevens in een ziekenhuis soms heel snel nodig zijn.

In geval van een calamiteit moet ook een niet behandelend arts bij de gegevens kunnen. Verpleegsters die op een afdeling rondlopen moeten ook toegang hebben tot de medische dossiers van de patiënten op de afdeling. Het aanbrengen van scheidingen wie wel en wie geen toegang heeft tot de gegevens is lastig. Zelfs het koppelen aan werkroosters zodat alleen de dienstdoende verpleging van de afdeling toegang heeft is riskant. Het gebeurt vaak genoeg dat iemand van een naastgelegen afdeling even overneemt.
De toegang beperken tot alleen de computers van een afdeling is ook riskant. Als iemand wordt overgebracht naar een andere afdeling moet er weer veel aangepast worden. Voor een geplande transfer is dat te doen, maar als iemand met spoed naar intensive care moet worden gebracht is dat een risico.

ICT is weer een ander probleem zei hebben geen toegang toet patiënten gegevens nodig, maar een aantal ICT medewerkers moet dat wel voor iedereen kunnen regelen. Daarmee kunnen ze zichzelf ook toegang verschaffen.

Kortom beveiliging en privacy zijn lastig in een ziekenhuis. Nu ken ik de situatie niet waar door mensen onterecht in de gegevens hebben gekeken, maar een aantal zaken zijn natuurlijk not-done. Het onbeheerd en ingelogd achterlaten van een computer moet bijvoorbeeld niet kunnen.

Hoewel de privacy in dit geval duidelijk niet goed was gewaarborgd, en de boete terecht zal zijn, is het goed dat er wat jurisprudentie gaat ontstaan. Wet en regelgeving is mooi, maar het zijn uiteindelijk toch de rechters die bepalen hoe de regels geïnterpreteerd moeten worden.
Is het dan niet beter om een "achteraf"-systeem op te zetten, dan? Iedereen hier zoekt een technische oplossing, maar aansprakelijkheid en verantwoordelijkheid zijn in de echte wereld ook geen technische concepten, maar morele/juridische/sociale aspecten.

Mijn idee:
Je stelt privileges in, geeft signalen wanneer iemand binnen of buiten zijn privileges treedt, maar laat het personeel wel de privileges direct overtreden wanneer dat direct nodig is. Maar je geeft wel met een groot rood bericht aan dat iemand dat doet.

Dit log je, en dan ga je achteraf kijken of dit terecht was, of de privileges misschien uitgebreid moeten worden, of misschien wel iemand berispt moet worden. Je moet niet te streng zijn, want personeel moet niet bang zijn om in serieuze gevallen buiten privileges te treden, maar je moet wel consequent de gevallen aanpakken waarbij het overduidelijk was dat iemand er niks te zoeken had.

Het voordeel hiervan is dat er actief terugkoppeling plaatsvind tussen iemands acties, en dat deze persoon zich moet verantwoorden. Het brengt het bewustzijn terug over wat wel of niet moreel is, en waarschijnlijk zorg je daarmee impliciet al dat mensen zich meer bewust zijn dat ze niet even nieuwsgierig moeten gaan rondneuzen. Het voordeel is dat bij deze oplossing de techniek niet in de weg staat van goede, maar wel de sociale orde terugbrengt. De sociale orde en controle is dan de oplossing, en de techniek het hulpmiddel. Daarmee pak je de bron van het probleem aan.
Het loggen van toegang en het vlaggen als "verdacht" is ook een prima techniek. Het is echter wel afhankelijk van wat er met die meldingen wordt gedaan. Als er verder niet naar gekeken wordt, of "verdachte" toegang wordt niet nader onderzocht, dan is het nutteloos.
In dit specifieke geval oordeelde de ACM echter dat dossiers zijn bekeken door mensen die daar geen toegang toe mochten hebben. In dit geval denkt de ACM dat het beter was om te voorkomen dat deze mensen toegang tot de dossiers hadden. Als het om administratieve medewerkers gaat, dan zal had het ziekenhuis dat inderdaad moeten voorkomen, bij verplegend of behandelend personeel is de toegang zelf verdedigbaar, maar mogelijk onterecht gebruikt.
Het is inderdaad lastig te bepalen of het rechten zijn of dat het binnen een software pakket ligt. Bij een software pakket kan er eigenlijk veelal wel veel afgevangen worden, denk aan AFAS, SalesForce, OBI4WAN etc... alleen hoe uitvoerbaar is iets? Is het voldoende om te weten dat ik als patiënt bloedgroep A heb, allergisch ben voor honden en bijensteken en ook onder behandeling ben bij psycholoog Arie Koekoek als ik op de SEH binnenkom met een uitwendige beenbreuk? - gevalletje 'even Apeldoorn' bellen wil je als ziekenhuis OOK weer niet met de uitleg; ja, de AVG verbood het dat men kon zien dat meneer helaas-overleden die medicijnen niet toegediend mocht krijgen.

Wat in mijn ogen wel een fail is: BN-er X komt op de afdeling en halve streek en omliggende ziekenhuizen weten dit. Zowel op professioneel als persoonlijk vlak wil jij (behandelde personen in kwestie) ook niet dat half Nederland inzage krijgt als jij te horen krijgt dat je god weet ik welke ziekte krijgt. Stevig gesprek en bij de volgende keer toch maar even ergens anders aan de slag in mijn optiek als je het niet kan nalaten om te snuffelen tussen gegevens waar men niets te zoeken heeft.
Ander voorbeeld is inderdaad de niet gelockte computer, of "even iets opzoeken onder een ander account" terwijl iedereen hetzelfde account/rechten zou moeten hebben binnen op bepaalde niveaus.

Ik laat een collega achter mijn terminal ook niets doen, zonder dat ik met mijn neus er bovenop zit. Simpel omdat wij met klantgegevens werken en ik als laatste op die server bezig ben geweest wil ik ook netjes in de logfile kunnen vermelden wat ik daar gedaan heb.

Dat zo'n geldboete misschien in mijn ogen te hoog is, burger betaald hem uiteindelijk - mee eens. Denk dat management hiervoor verantwoordelijk gesteld mag gaan worden bij herhaling, waarschijnlijk gebeurd er dan meer mee, dan alles op de algehele hoop werpen. Want dat is men over een half jaar allang vergeten als het niets doet met de mensen die daaraan meegewerkt hebben.
De hoogte van de boete maakt mij in dit geval niet zoveel uit. Hij is in elk geval hoog genoeg om in beroep te gaan.
Ik denk dat velen zitten te wachten op een duidelijke uitleg van de wet door een rechter. Zeker bij ziekenhuizen en zorginstellingen is het lastig om een weg te vinden tussen privacy en (mogelijk) noodzakelijke toegang. Een gerechtelijke uitspraak van alleen dit geval zal geen totale duidelijkheid brengen, maar wel beter aangeven wat in elk geval niet mag. Het grijze gebied wordt daardoor wel iets kleiner.
Het zou helemaal mooi zijn als deze zaak aangepakt wordt om er een bodemprocedure van te maken. Dan heb je in één keer voldoende jurisprudentie om veel onduidelijkheden weg te nemen. Daar een bodemprocedure vaak eindigt in een (on)schuldig verklaring zonder boete, zou de boete van € 450 000 hier best in geïnvesteerd kunnen worden. Grote kans dat er aan de eind van de rit nog geld over blijft.

Dat het publiek de boete uiteindelijk moet betalen is niet helemaal terecht. De boete gaat naar de ACM en komt daarbij weer in een ander publiek potje terecht.
Maar is dat niet ook juist 1 van de kritiekpunten van de AP, dat het loggen/ checken van die logs niet voldoende is gebeurd?

Van belang is dat mensen zich bewust zijn van privacy, daarnaar handelen en dat er bewust nagedacht wordt over nut- en noodzaak. En helaas is vertrouwen dan volgens de wet niet genoeg, dus gestructureerd auditten moet ook goed geregeld zijn - en vervolgens ook acteren op afwijkingen.
Dat achteraf systeem is er. Dat heet "Break the Glass" (BtG) daarmij krijg je toegang tot de patiënt informatie die op dat moment noodzakelijk is voor de juiste zorg. BtG wordt natuurlijk gelogd en je moet ook een reden opgeven. Alle die BtG acties worden bekeken en indien noodzakelijk wordt de gebruiker om extra uitleg gevraagd. Vaak kan je aan de gebruikers en afdeling al zien wat de kans is dat iemand terecht of onterecht toegang heeft gekregen tot het dossier. Sommige personen worden als extra risico gevlagd en daar wordt de toegang ook extra gecontroleerd.
Wat je niet moet vergeten is dat bij een patiënt met een complexe, langdurige aandoening er ontzettend veel zorgmedewerkers toegang nodig hebben voor hun werk. Ze zijn er ondertussen allemaal wel van op de hoogte dat even het dossier van je buurvrouw bekijken om te zien hoe het met haar gaat niet meer kan. Dit onderwerp komt ook in de verplichte AVG e-learnings aan de orde.
Je zou daarvoor kunnen denken aan een scheiding van functie met bijpassende accounts. Dus niet standaard werken met je admin account. En dan een gerichte controle van alle “beheer” accounts. Maar ja dan moet je wel consequent controleren. En inderdaad principe van least privilege toepassen. Zou toch gek zijn als iedere arts/verpleger/medewerker overal bij kan.
Als ICT’er kun je altijd overal bij lijkt me. Jij hebt verantwoordelijk voor de backups immers, en hebt in 9/10 gevallen ook toegang tot de credentials van het backup service-account, 1+1=2.

Ook al kun jij er dus met jou persoonlijke useraccount niet bij, er is altijd wel een manier om alsnog de data te zien als ICT’er.
Dat hoeft niet noodzakelijkerwijs zo ingericht te worden, alleen is dat meer werk om op te zetten.
Een professional moet dat op een platform kunnen regelen.

Password van root/admin in een kluis in verzegelde envelop. Voor de noodgevallen.
De wachtwoorden envoloppe (en bestanden) ook elke 2 maanden veranderen en opnieuw instellen.

Passwords minimaal 30 tekens (liefst random gegenereerd) voor alle accounts waarbij meer dan gemiddelde toegang nodig is.
Elke omgeving moet zodanig opgebouwd kunnen worden dat niet dagelijks ADMIN rechten nodig zijn.
En voor zover er administrators zijn dan niet een anoniem admin account, maar op naame gestelde admin accounts.
Wachtwoord rotatie voegt niet genoeg veiligheid toe door de neiging van mensen om maar zo min mogelijk te veranderen aan het wachtwoord wanneer rotatie vereist wordt.

[Reactie gewijzigd door AceAceAce op 18 juli 2019 08:00]

Dit gaat over admin accounts.
Gebruikers zijn 1 ding. ICTers die zich niet aan de regels kunnen houden zijn een ander ding.
Dan heb je meer problemen.
De meeste ICTers houden zich voornamelijk bezig met dingen maken of in de lucht houden en hebben zo veel mogelijk schijt aan security, en zoeken dus zo vaak mogelijk de weg van de minste weerstand, of dat nou mag of niet.
Ze worden betaaald om dingen in de lucht te houden of nieuwe dingen te maken, security voegt zo weinig toe in de ogen van een product owner, directeur en/of klant. Dát is het eigenlijke probleem. Zaken als mvp of snel een eerste versie dragen daar vaak niet aan bij..
Dus moet de directie nu alsnog betalen voor de keuze van het besparen op Security...
Klopt, maar @AceAceAce gaf aan dat de meeste ICTérs zich er juist niet mee bezig houden maar dat dat vaak niet hun keuze is, en de verantwoordelijk gaat dan door naar de leidinggevende en eventuele hogere functionarissen.
Dan is er fundamenteel wat fout....
En is het of er ooit een boete komt, alleen maar wanneer hoe later hoe hoger...
Bij 'ons' huis wordt er standaard alle toegang gelogd tot de medische dossier. Daarnaast worden bekendheden extra gecontroleerd. Indien je geen behandelend arts ben kan je er standaard al niet bij (uitzonderingen enkel voor supervisors van transfer afdelingen daar gelaten).
In onze software loggen we ook toegang tot medische dossiers. Je kan nog zoveel loggen, maar als er geen aangewezen rol is die deze gegevens naloopt, dan heb je er nog niks aan. Daarnaast is alles altijd achteraf.
Ook wij kennen het probleem van de "behandel-relatie" met een patient. Wanneer begint je behandel-relatie en wanneer eindigd deze in het geval van een apotheek medewerker? De relatie begint wanneer er een recept van een arts binnenkomt. Maar eindigd deze als je het recept hebt afgeleverd aan de patient aan de balie? En wat als hij na een dag terugkomt vanwege vervelende bijwerkingen. Moet je dan een nieuwe behandelrelatie beginnen of was de vorige nog niet afgelopen?

Het is helaas allemaal niet zo heel zwart-wit.
Heeft de overheid hier een soort 'best practice' voor? Discussieruimte/wiki voor ziekenhuis-sysadmins met hoe en waarom bepaalde rechten in te stellen? Tutorials voor de meestgebruikte /complexere pakketten?
Lijkt me dat het zonde van de tijd en energie is om deze problemen overal apart op te lossen? (En evt ook bij aankoop kunnen sturen op nieuwe instellingen als pakketten niet voldoen aan de eisen.)
Nee, de overheid is geen organisatie die je bij de hand meeneemt. Zij stellen de regels, controleren jou en bestraffen eventueel.

Ziekenhuis sysadmins (waar ik ook onder val overigens) doen dat in sommige gevallen wél in groter verband. Wij proberen b.v. lering te trekken uit verhalen van andere ziekenhuizen en vergelijkbare organisaties, maar zoals Sircuri aangeeft, het is allemaal niet zo zwart/wit en de overheid wil dat wel omdat dat "makkelijk" is.

Uiteraard wordt hier ook alles gelogd én hebben we hier al jaren two-factor (ook met een time-out periode waarna je opnieuw je, complexe, wachtwoord moet invoeren), maar wat ze dan vergeten is dat het geheel wel werkbaar moet blijven voor het zorgpersoneel, dat zijn immers geen ICT'ers, maar het belang van privacy steekt daar volgens de overheid bovenuit met als gevolg dat de druk op het zorgpersoneel, helaas, steeds hoger wordt om ook een soort halve ICT'er te worden.

Dáár zou eens een goede oplossing voor moeten komen want die mensen willen gewoon andere mensen helpen en met al ons privacy geneuzel maken we ze dat steeds lastiger. Dat merk ik b.v. ook in de waakdienst als er weer eens iemand belt die zijn of haar wachtwoord niet kan wijzigen wegens (eigenlijk stom) beleid op de complexiteit.

Enfin, privacy is een groot goed, daar sta ik 110% achter, maar soms slaan we met z'n allen een beetje door. Dat is dan denk ik ook met name een kwaal die je bij de mensen tegenkomt die zich daar mee bezig houden :)
Soms slaan mensen door? De aanleiding voor het onderzoek was dat de pesoneelsleden van het Haga ziekenhuis massaal in het dossier van een bekende Nederlander keken en de medische details naar de pers lekte.

Dat de het ziekenhuis hier niet over praat, dat lijkt me duidelijk, het is om je kapot voor te schamen. Dus gaat men in op de details van de boete die opgelegd werd.

Overigens is 2FA prima te regelen met een token generator. Hoeft het personeel alleen de eigen PIN code te onthouden en het token altijd bij zich te hebben.

[Reactie gewijzigd door wiseger op 18 juli 2019 10:57]

Ik denk dat @WhizzCat bedoeld dat toegang tot gegevens te ingewikkeld en gebruiker onvriendelijk wordt, niet dat het ziekenhuis zich niet moet schamen.

Dit is een kern van alle beveiligingsproblemen die vaak wordt genegeerd. Als je overal maar time-outs, MFA en super complexe wachtwoorden op gaat zetten wordt ten eerste de beveiliging er soms helemaal niet beter op. Iemand kan immers nog gewoon deze informatie delen met een collega. Ten tweede zorg je voor een enorme barrière waardoor informatie gewoonweg niet bekeken wordt (zo'n gedoe, laat maar, we kijken later wel).

Beveiliging hoort in de eerste plaatst transparant en eenvoudig te zijn (persoonlijke mening). Een goed voorbeeld is FaceID of Windows Hello. Het werkt zonder gebruikers interactie en verhoogt de beveiliging enorm.

Als jij 6 patiënten in een kamer hebt en ieder gesprek opnieuw moet authenticeren met je MFA token en wachtwoord briefje krijg je dat mensen maar gewoon niet meer kijken in het dossier met mogelijk medische missers.
Enig idee van de kostenpost van tokens voor 3500 man? Vast niet :) Als je wil dat de zorg nóg duurder wordt moet je vooral zulke zaken gaan implementeren.
Ja, beveiliging kost geld. Gebruik dan gewoon 2FA via TOTP ofzo, dat kun je op je mobiel installeren.

Enyweej, je zult geen boete krijgen als je de regels anders geinterpreteerd had of als ze onduidelijk zijn, of discutabel, zoals bij de unten die Sircuri aangeeft. Je krijgt een boete wanneer je er duidelijk geen moeite voor hebt gedaan om gegevens te beschermen. Dat is een ander verhaal.

Ik vind het dan ook erg 'zuur' om te lezen wat de bestuursvoorzitter had te zeggen:
<snip> schrijft directievoorzitter Carla van de Wiel. Ze vindt het 'zuur' dat het bedrag van boete nu 'niet aan patiëntenzorg kan worden besteed.'
Daar wordt ik een beetje giftig van. Even voor de duidelijkheid: ziekenhuizen zijn onafhankelijk en moeten zelf winst maken. Als je als ziekenhuis de keuze maakt om geen/te weinig moeite te doen om de data die patienten aan je toe vertrouwen te beveiligen, en dan een boete krijgt, dan moet je echt niet aankomen met "goh door die boete kunnen we geen goede zorg leveren". Je had daaraan moeten denken toen je besloot niet goed te beveiligen. (of, waarschijnlijker, besloot dat het gezeur van de IT mensen over slechte beveiliging geen aandacht waard was)
En wat dacht je van infra, beheer, licenties ... ? Het gaat heus niet om alleen dat token. Dat is gewoon echt te kortzichtig.
Spreek ik zeker niet tegen, er komt meer bij kijken. En volgens de inspectie/AVG instantie kwam hun inzet duidelijk tekort. Da's triest.
je krijgt een boete wanneer je er duidelijk geen moeite voor hebt gedaan
Precies, klinkt logisch, maar ze hadden al 2FA:
Zo was er al tweestapsverificatie verplicht voor toegang tot medische dossiers, waarbij naast het wachtwoord ook een persoonlijke personeelspas of een pincode nodig is die iedere vier uur opnieuw moet worden ingesteld. De privacywaakhond vond dat niet veilig genoeg.
Ik begrijp niet hoe nóg meer beveiliging het probleem van lekkende personeelsleden op zou moeten gaan lossen.
Vreemd, zoals ik het persbericht van de Autoriteit Persoonsgegevens interpreteer maakten ze helemaal nog geen gebruik van 2FA:
Beveiliging van patiëntendossiers
Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn. Het HagaZiekenhuis heeft op twee onderdelen onvoldoende beveiligingsmaatregelen getroffen:

Het ziekenhuis moet regelmatig controleren wie welk dossier raadpleegt. Op deze manier kan het ziekenhuis tijdig signaleren wanneer iemand onbevoegd toch een dossier raadpleegt en daartegen maatregelen nemen.

Bij een goede beveiliging hoort authenticatie waarbij ten minste twee factoren betrokken worden. De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas.
Misschien kan @Tijs Hofmans dit verhelderen?
maar als die logs bestaan uit:

--Arts x heeft <medische informatie> voor patient y opgehaald.
--verpleegkunidge z heeft <medicijnen> voor patien y gescanned.

etc etc,

Dan kun je iemand wel aan die log zetten, maar in de zee van informatie is het vrijwel onmogelijk foute regels te vinden.

Loggen is 1 ding, data goed opvraagbaar maken is een hele applicatie. Omdat het blijkbaar zeer moeilijk is de rechten vooraf te regelen, is het probleem dat die rechten achteraf moeten worden vastgelegd zeker zo moeilijk.

Ja, als er aanwijzingen zijn dat er iets fout gegaan is. (BN'er) zeker, maar het kan veel subtieler waar b.v. de verzekeraar maar een kleine subset van de gegevens mag opvragen.
Daar is op zicht best iets voor te schrijven. Je hebt meer data (afdeling van de arts en patient etc) en je kunt zelfs, wed ik, relatief simpel een neuraal netwerk trainen om je te waarschuwen als er iets geks gebeurt.

Hier een blog van een van onze ontwikkelaars hierover: https://blog.wuc.me/2019/...ious-login-detection.html

Natuurlijk is dit probleem wat ingewikkelder (je hebt meer data punten) maar ik wed dat een beetje PHP dev hier in een paar weken wat voor kan bouwen. Er is tenminste 1 ziekenhuis wat je er voor zal willen betalen...
Als er werknemers van een totaal andere afdeling in het dossier kijken als waar de patiënt lag of kwam voor onderzoek, ben je al een heel eind.

Aan de andere kant kunnen die nog steeds hun mond voorbij praten of een ander mee laten kijken en dat voorkom je daarmee niet. Dus dit probleem is niet zo zeer technisch en ook bijna niet met techniek op te lossen.
(wat hier dus gebeurt was)

Moet zijn, zal hier ook vast wel gebeurd zijn, maar daar gaat dit niet om, Het probleem hier was dat in elk geval 85 onbevoegden het dossier opriepen en inkeken.
Dit snap ik niet. Doordat ze niet tegen de boete in beroep gaan ontstaat er toch juist minder jurisprudentie?
Ja, zo kan je het ook benaderen ja :)

Ik denk dat onder de AVG het vaak wel duidelijk is wat er wel en niet mag*. Wat juist helemaal niet helder is, is wat voor bedragen horen bij wat voor vergrijpen. Daar denk ik dat dit jurisprudentie over kan opleveren.

* Oke, niet alle mogelijke situaties zijn tot in detail voorgeschreven (dat kan ook niet), maar er ligt wel een heel duidelijk raamwerk waar je aan moet toetsen en voldoen.
MAar kennelijk zijn er geen tot matige begrippenkaders met definities. Zoals het ziekenhuis al aangaf is er bijvoorbeeld geen definitie van hoe vaak je iets moet doen om het systematisch te mogen noemen. Ik kan ook systematisch 1 keer per jaar naar acceslogs gaan zitten staren, maar daar heb je natuurlijk geen drol aan.
Ik denk dat de Story of de Privé wel een veelvoud van die 400 euro betalen als je wat sappige details uit een dossier van een BN'er als Barbie voor ze vist..
Lijkt me dat het meer een soort ambtsmisdrijf moet zijn. En een boete voor de instelling.

Je zou zeggen dat je op de logs al een makkelijke eerste check kan doen doorbte checken of dokter / verpleger een behandel relatie heeft met de patiënt.
De betrokken medewerkers zijn al berispt. Het gaat nu om het feit dat het mogelijk was om die gegevens te bekijken.

Het is moeilijk om vooraf te zeggen wie er toestemming heeft. Stel dat er met spoed moet worden ingegrepen. Beetje vervelend als er dan eerst toestemming moet worden gevraagd aan een bevoegdhebbende.

[Reactie gewijzigd door DaManiac op 23 juli 2019 10:50]

Hoeft ook niet vooraf. Maar monitor de logs automatisch en af en toe met de hand. Als een algoritme checkt of iemand een behandel relatie heeft dan heb je al een eerste check. En dan moet er wel een redelijke straf op staan natuurlijk.

[Reactie gewijzigd door Mr_gadget op 23 juli 2019 19:18]

Boetes onder de AVG worden vastgesteld op basis van omzet, en kan in uiterste gevallen max 4% van de totale (wereldwijde) omzet van voorgaand boekjaar zijn. Daarnaast heet de AP zelf ook boetebeleidsregels transparant gepubliceerd op haar website (https://autoriteitpersoon...-boetebeleidsregels-aan). Ik denk dus dat we al een redelijk beeld moeten kunnen vormen over wat we in de toekomst verder kunnen verwachten van de AP. Deze boete lijkt mij ook niet onredelijk hoog als je kijkt naar de kaders.
Het artikel beschrijft welke maatregelen het ziekenhuis neemt om te voorkomen dat mensen van buitenaf in kunnen loggen. Is dat waar ze de boete voor hebben gekregen?

Het ging er toch juist om dat medisch personeel, dat op zich bevoegd toegang had tot de database, ging neuzen in gegevens van patienten die ze zelf niet behandelden. Daar helpen zaken als tweestapsverificatie of periodiek een pincode invoeren natuurlijk niet tegen.
Dit lijkt me heel simpel op te lossen zonder gigantisch tijdrovende en dichtgetimmerde systemen met toegangsrechten.

Dat gaat toch niet werken in een ziekenhuis mensen? Als jij een hartaanval krijgt terwijl je opgenomen bent en er moet een cardioloog bijkomen dan moeten mensen niet eerst zitten kutten met je toegang. Iedere medische specialist moet erin kunnen kijken als dat nodig is.

Je kunt toch gewoon werken met een alert systeem voor die logs? Iedere patient heeft een "vaste" groep mensen die als behandeld personeel bij een patient staan. Als iemand een dossier bekijkt zonder onderdeel te zijn van deze groep gaat er een alert uit. Dit alert kan dan afgehandeld worden door een team. De specialist kan ook, als men kijkt bij een patient waar zij niet op toegewezen zijn, een reden meegeven of "achteraf permissie vragen" dat door een "vast" persoon goedgekeurd kan worden. Hierdoor verdwijnt her alert ook. Als deze "achteraf permissie" binnen 24u niet is gebeurd kan het team dat de alerts moet afhandelen hier nog achteraan.

Een beetje workflow systeem kan permissies gewoon toewijzen op het moment dat er een "afspraak" gemaakt wordt. Bijvoorbeeld:
1. Patient is onder behandeling bij dokter X.
2. Dokter X schiet een "afspraak" in bij Radiologie.
3. De persoon die op het moment van de "afspraak" werkt bij Radiologie kan de opdracht goedkeuren en krijgt permissie voor de patient.

Laat aub ziekenhuizen geen bolwerk van bureaucratie worden. Ik hecht er meer waarde aan dat medici kunnen werken ipv administeren. Oeverloos geouwehoer over toegangsrechten lijkt mij totaal onnodig en hoeft helemaal geen moeilijke operatie te zijn voor de betrokkenen.
Van wat ik begreep waren er diverse mensen binnen verpleegpersoneel die sowieso toegang hebben tot patientendata. Dat kan ook eigenlijk niet anders. Dat één of meerdere personen dan vervolgens iets gevoeligs naar buitenbrengen is net zo sneu als dat een salespersoon zijn klantenbestand (waar hij/zij vrij toegang toe heeft) doorstuurt naar de concurrent en toekomstige werkgever.

Hoe ga je hier dan tegen beveiligen? Iets van de boete mogen ze ook doorbelasten aan de boosdoenders lijkt me dan.

Het is geen publiek systeem, de mensen die toegang hebben horen dit ook te hebben, of je moet ook je IT net zo bemoeilijken met onnodige processen zodat alleen personeel die direct met patient in verbinding staan voor dat moment op de dag, dan pas toegang krijgen. Leuk als er dan weer iets fout gaat en iemand sterft omdat de verpleging niet tijdig in het dossier kon...

Dit is niet echt een gevalletje AVG door IT maar een inhoudelijk lek door de mens. Tja... Hoe dan?
In principe is mag een verpleegkundige of specialist alleen een patiëntendossier raadplegen wanneer er een behandelrelatie is. Ja, dat moet dus worden geregistreerd en bijgehouden. Wanneer je onbevoegd bent, moet je nog steeds een dossier kunnen raadplegen (in geval van nood), maar wordt je vooraf gewaarschuwd dat dit wordt geregistreerd en indien onrechtmatig bevonden, consequenties kan hebben.

Het is heel erg omslachtig om dit allemaal te registreren en bij te houden, maar het is helaas wel nodig.
Sommige medisch specialisten zijn zich ook niet bewust dat ze iets fout doen, simpelweg omdat zij dit tijdens hun opleiding nooit mee hebben gekregen. Jonge specialisten hebben veel meer begrip voor dergelijke 'beperkende en controlerende' regels.
en indien onrechtmatig bevonden, consequenties kan hebben.
Maar hoeveel consequenties *kan* dit hebben, in een maatschappij waar structureel tekort is aan zorg personeel? Waar alle specialisten wachtlijsten hebben?
Gaan ziekenhuizen echt mensen ontslaan de eerste keer dat ze betrapt worden, of krijgen ze een waarschuwing? Zeker nu ze net die dure cursus hebben gevolgd, en je anders opnieuw mensen moet gaan trainen?
(En worden die waarschuwingen bijgehouden, want GDPR registratie ;-) )
Wat als personeel op een bepaalde afdeling dit soort roddels ziet als een soort secundaire arbeidsvoorwaarde, hoe ontdek je dat?

Het lijkt me naast technisch/juridisch dus ook een sociaal/economisch probleem.
en indien onrechtmatig bevonden, consequenties kan hebben.
Maar hoeveel consequenties *kan* dit hebben, in een maatschappij waar structureel tekort is aan zorg personeel?
Waarschijnlijk, de eerste keer inderdaad gewoon een gesprek met een aantekening in het personeelsregister, de tweede keer ontslag. Ik denk dat de meesten het niet op een tweede keer laten aankomen. Niemand vind het leuk om ontslagen te worden.
(En worden die waarschuwingen bijgehouden, want GDPR registratie ;-) )
Wat als personeel op een bepaalde afdeling dit soort roddels ziet als een soort secundaire arbeidsvoorwaarde, hoe ontdek je dat?
Indien iemand denkt dat inzage in patiëntendossiers uit nieuwsgierigheid een recht is dan hoort zo'n persoon niet in de medische zorg te werken. De werkgever controleert de logs, ziet de overtreding en zeker als het structureel is, neemt gepaste maatregelen naar het personeel toe.
Leuk als er dan weer iets fout gaat en iemand sterft omdat de verpleging niet tijdig in het dossier kon...
Heel simpele toevoeging aan het systeem:
U bent niet gemachtigd om dit dossier in te zien. Bent u er van overtuigd dat dit een fout in het systeem is, of handelt u uit nood en hebt u direct toegang nodig, klik dan hier om het dossier toch te openen.

LET OP: Bij het doorzetten van deze inzage wordt een melding centraal geregistreerd om achteraf geverifieerd te worden. Kunt u de inzage op dat moment niet redelijkerwijs verantwoorden, dan kunnen hier consequenties voor uw functioneren aan verbonden worden.
En klaar. Het hoeft ook niet moeilijk te zijn, heh?

[Reactie gewijzigd door R4gnax op 17 juli 2019 19:29]

schijnbaar wel, want het probleem nu is dat het wel word gelogged, maar dat niemand die logs checked. Dus alsnog kunnen mensen erin terwijl dat niet nodig was.
schijnbaar wel, want het probleem nu is dat het wel word gelogged, maar dat niemand die logs checked. Dus alsnog kunnen mensen erin terwijl dat niet nodig was.
Maar wat wordt er nu gelogd? Want als het gewoon een grote hoop aan alle inzages is, dan gaat echt
niemand het redden om daar tijdig doorheen te ploegen. Daarom is het belangrijk dat er een door het systeem aangeleverd filter is wat mogelijke excessen al voor markeert.
Sterker nog, dat zit al in het systeem. Probleem is toch vooral ethisch.

Hier een meer genuanceerd artikel van de Volkskrant: https://www.volkskrant.nl...-zijn-de-regels~b1065211/
In het geval van een ziekenhuis kan je dat inderdaad niet dichttimmeren.

Als het om leven of dood gaat moet privacy wijken, simpel zat. Je kan wel duidelijke regels stellen, dossierbenaderingen loggen en achteraf controleren of die terecht waren.

Het vervelende daarvan is dat je daarvoor moet registreren wie wanneer bij welke patient betrokken is. En als er nou een ding is waar ze in ziekenhuizen niet om staan te springen is nog meer administratie. Lijkt nog een lastige puzzel.
Identificatie per afdeling, en/or tertiaire Identificatie door de patient?
Op de afdeling bij het bed een code maken die uitgelezen moet worden, zodat invallende artsen/verplegers in ieder geval bewijzen dat ze fysiek contact met de patient hebben gehad. (als 80 man om een bed staat te dringen valt dat op)

Iedereen in Nederland moet toch al met met een ID-kaart met RFID rondlopen, kunnen we die niet gebruiken voor toegang tot medische systemen?
Hiermee zou je artsen/afdelingen kunnen machtigen dat ze info over je mogen opvragen.
Ambulance-hulpverleners hebben toch je ID nodig om te weten voor wie z data moeten opvragen, dus kan de pas ook dienen als 'bewijs' dat ze daadwerkelijk bij je zijn en niet van een willekeurig iemand informatie opvragen.

[Reactie gewijzigd door mbb op 18 juli 2019 01:44]

"Ze vindt het 'zuur' dat het bedrag van boete nu 'niet aan patiëntenzorg kan worden besteed."
Wat een nonsens, een ziekenhuis is tegenwoordig niets meer dan een winstfabriek sinds de privatisering. Je hebt dus wat minder winstdeling uit te betalen. Neemt niet weg dat het zeker een hap geld is, maar de schaamteloosheid door in beroep te gaan is stuitend. Er zijn fouten gemaakt waar een hoop mensen bang voor waren. Die gevoelens waren dus best wel gegrond. Geef je fouten toe en neem je verlies, zorg dat het niet nog een keer gebeurt. Fouten moeten pijnlijk zijn, anders leer je niet.
Resultaat HagaZiekenhuis 2015-2017 van 3.5mln in de plus, naar 1.5 mln in de min op een omzet van 450mln. Da's minder dan 1%. Dan is zo'n boete al gauw 10-30% van je resultaat. En dat is best fors, ook al is dat dan weer maar 0,1% van je omzet.
Maximale boete die de Autoriteit op kan leggen is 10% van de omzet, dus ze boffen met een boete van 0,1%. Zeker omdat het hier gaat om medische persoonsgegevens.

[Reactie gewijzigd door djwice op 17 juli 2019 20:17]

Haga een winstfabriek noemen doet niet echt vermoeden dat je er iets van weet....
In 2016 en 2015 was er bij een jaarlijkse omzet van 400 miljoen ruim 3.5 miljoen winst, wat in 2017 niet meer gehaald is. Daarvoor bestond het nog niet.
Een winstmarge van minder dan 1% is niet veel. 1 grote investering of onverwacht grote kostenpost en je draait rode cijfers.
En daarom staat het ook op de lijst van ziekenhuizen die failliet kunnen gaan en niet zelfstandig grote uitgaven kunnen doen. Een MRI scanner kost makkelijk 20 miljoen.
En schrijf je ook niet in één jaar af.
Omdat een MRI scanner ook nog eens extra omzet genereert kan het voor een bedrijf met 'maar' 3,5 miljoen euro winst per jaar best een goede (en goed te betalen) investering zijn.
Waarschijnlijk een nulletje teveel, 2miljoen is reëler en dan heb je een deftig exemplaar van Philips/GE

Ik werk dagelijks met medische apparatuur (beheer) en ik kan mij geen apparaat bedenken wat 20 miljoen euro kost en in een regulier ziekenhuis staat. Al is die nieuwe CT (Philips iQon) die hier binnenkort komt wel een prijzige :+

[Reactie gewijzigd door vhal op 17 juli 2019 22:10]

mri-scanners zijn echte cashcows. Due worden ondertussen zelfs 24/7 geboekt
Wat een nonsens, een ziekenhuis is tegenwoordig niets meer dan een winstfabriek sinds de privatisering.
Oh en wat van die ziekenhuizen die failliet gaan? Die hebben geen winstdeling en alsnog onvoldoende geld om de deuren open te houden.

Aan de ene kant hoop ik dat de boete in stand blijft en ze geen water bij de wijn doen. Dat resulteert in alleen nog maar meer kosten voor het ziekenhuis. Wat mogelijk zou kunnen zorgen voor inderdaad negatieve cijfers en dat zou patiëntenzorg inderdaad kunnen korten. Maar dat maakt de Raad van Bestuur natuurlijk niets uit, die krijgen sowieso een salaris.

Wat ik me echter afvraag is of er in het geval van 'criminele' nalatigheid ook individuen beboet kunnen worden met de nieuwe regelgeving.
Ze hadden wel maatregelen en hebben er sindsdien nog meer getroffen, dan vind ik het wel een hele stap naar “criminele nalatigheid”.

Grote blunder, vervelend voor de persoon waar de gegevens van gelekt zijn, maar laten we het niet buiten alle proporties opblazen.
Geloof me, de ziekenhuizen in Nederland draaien sinds de privatisering alles behalve winstgevend.

Als je je afvraagt waar al dat geld blijft, moet je een keer opzoeken hoe onnodig groot het reserve potje van de zorgverzekeraars is.

Bron: Ik ben zelf bekend met de financiele status van vele ziekenhuizen in Nederland.
Dat potje word al ingezet om de kostenstijging van de premie in te dammen.
Misschien iets aan de onzinnige overhead die in de zorg is gecreëerd door alles maar te willen privatiseren en te meten?
Herinner het 5 minuten dagboek dat moest Worden bijgehouden, de detaillering die artsen tegenwoordig bij declaraties naar de zorgverzekeraar moeten meesturen, etc. Minder tijd voor zorg, veel meer tijd voor registratie (en hoe meer registratie hoe meer overhead = mensen die registraties moeten controleren, beoordelen => hogere kosten).
Tja, en als er dan te weinig wordt geregistreerd waardoor er meer fouten gemaakt worden omdat dossiers niet volledig zijn, er geen analyses uitgevoerde kunnen worden hoe zinvol bepaalde behandelingen etc. zijn is het land ook weer te klein. In die zin kan je ook weinig goeds doen op dat gebied vrees.

Grootste risico is dat registratie een doel wordt i.p.v. een middel
Deels eens. Op dit moment schieten we echter negatief door. Een van de oorzaken ligt overige s in onszelf: misbruik van voorzieningen is onder andere een oorzaak dat er teveel wordt geregistreerd.
Bron: Ik ben zelf bekend met de financiele status van vele ziekenhuizen in Nederland.
Dan kan je dat vast staven met bronnen?

Ik vind bijvoorbeeld dit artikel waarin staat dat bestuurders van zorgaanbieders wel hun manieren hebben om zichzelf te bevoordelen.
Geloof me, de ziekenhuizen in Nederland draaien sinds de privatisering alles behalve winstgevend.

Als je je afvraagt waar al dat geld blijft, moet je een keer opzoeken hoe onnodig groot het reserve potje van de zorgverzekeraars is.
Kun je er ook bij vermelden hoe groot de omzet is in de zorg? Kun je er ook bij vermelden dat wanneer ze nergens cash hebben of vermogen en alles op krediet doen torenhoge rentes gaan betalen? Het is een belachelijke quote geworden zonder enige nuance. Het zijn enkele miljarden, maar het is letterlijk wisselgeld. Zowel op het geheel, als daadwerkelijk wisselgeld.
Bron: Ik ben zelf bekend met de financiele status van vele ziekenhuizen in Nederland.
Het grote geheim van ziekenhuizen is dat personeelskosten wordt opgeëist door een kleine groep. Dat zijn artsen die niet in loondienst werken en een hogere vergoeding afdwingen, en talloze managers met ruim 2x modaal.
In het verleden werden daarbij regelmatig exorbitante bedragen uitgegeven voor apparatuur dat zelden werd gebruikt.

Dat zijn geen gegevens die je zomaar boven tafel krijgt, doen moeten er letterlijk worden uitgeperst.
Winst is een boekhoudkundig begrip. Winst heeft geen voordeel voor een ziekenhuis (eerder een nadeel) dus er is geen enkel incentive voor een ziekenhuis om niet een of andere inleen/inhuur/licentie truuk te doen om de winst 0 te maken.
Bekend met de cijfers ben je wellicht wel, maar begrijpen doe je ze in ieder geval niet. Een onderneming heeft niks aan winst, dat kost alleen maar geld. Aan enkel de winst kan je niet zien of een onderneming goed draait.
Hoeveel winst maken de ziekenhuizen dan? En over privatisering: de meeste ziekenhuizen zijn nooit van de overheid geweest.
Winstfabriek? Buiten het feit dat het echt een enorme uitzondering is als ziekenhuizen grote winsten maken, mogen ziekenhuizen (net als een select aantal andere zorginstellingen) helemaal geen winst uitkeren. Privatisering van de zorg is juist een manier geweest om de kosten te beteugelen.
Denk dat jij ver van de realiteit staat als jij denkt dat een ziekenhuis een winstfabriek is.. En 4 ton is een behoorlijk aanslag op het budget van een ziekenhuis, die 4 ton is beter besteed aan zorg dan aan een onzinnige boete die uiteindelijk niet helpt.
Los van het privacy deel, een ziekenhuis een winstfabriek noemen vind ik belachelijk respectloos tegenover alle mensen die daar dag in dag uit bezig zijn om levens te redden. Ga eens naar Amerika, daar is het een winstfabriek en mag je nog zelf dokken ook, echt je moet niet voor lief nemen wat je hier hebt.
De mensen aan het bed dat zijn HELDEN!!!!!!!!!!!!!!!! Maar daar gaat het niet om als je ziekenhuizen winstfabrieken noemt. het gaat om de aandeelhouders die willen dat ziekenhuizen zo veel mogelijk winst moeten genereren. De mensen die de uiteindelijke zorg geven, die treffen geen blaam in dezen.
Ik zal wel de advocaat van de duivel spelen, die ruim 100 mensen personeel die in het dossier gekeken hebben staan aan het bed van mensen. Het is misschien een onpopulaire realiteit, maar het is wel een feit.
De opmerking dat het winstfabrieken zijn slaat wat mij betreft op voor wie de winsten bedoeld zijn die met een ziekenhuis verdient worden. Dat we hier in Europa er een oplossing voor hebben gevonden dat de patienten weinig van de kosten merken doet daar niets aan af. De vraag is eerder of de kosten doe ze door moeten berekenen reeel zijn en niet ten kosten gaan van de zorg zelf. En daar komen de kosten van dit soort boetes nog eens bij.
Zusters (zullen we verpleegkundigen zeggen) zitten in schaal 45/50 (of 55, na veel vervolgopleidingen op de SEH). Schaal 50 laatste trede is iets van 3500 bruto per maand, dus dat is echt geen vetpot. Artsen verdienen veel, maar als er 1 baan is waar je over verantwoordelijkheid over leven en dood praat, dan denk ik aan artsen. Jij praat alleen met de internist, maar die zit daar alleen omdat er een heel apparaat omheen zit (receptie, verpleegkundigen, radiologie, laboratorium, gipskamer, van alles en ja, ook ICT) - en die moeten ook betaald worden.

5 minuten bezig met een bloedmonster? Alleen al het prikken en transport naar het lab duurt langer. Bloedafnamemedewerkers verdienen overigens een stuk minder, en analisten komen ook niet altijd aan schaal 45. Dus wacht rustig af, over 10 jaar is er geen gek meer te vinden voor dat werk in de Randstad.

[Reactie gewijzigd door thunder7 op 18 juli 2019 12:55]

Eensch, alleen dat probleem doet zich nu al voor. Veel secundaire voorwaarden zijn de laatste jaren uitgekleed en loongroei bevroren in het kader van besparingen.

Medewerkers gaan daardoor een baan in een ziekenhuis bij hun in de buurt buiten de randstad zoeken omdat daar de woonlasten aanzienlijk lager zijn. Medewerkers die dat niet kunnen gaan bij een detacheringboer werken voor een hogere schaal/salaris of worden ZZP'er. Hierdoor hebben ziekenhuizen een chronische tekort aan mensen en zijn ze genoodzaakt om deze externen aan te trekken, die per kop ongeveer 3 zo duur zijn.

Onhoudbare situatie die door kortzichtige managers in gang is gezet om maar te besparen en mooiere kwartaal cijfers te kunnen tonen...
Helemaal eens, maar de voorzitter van de RvB kan de boete zo van zijn/haar jaarbonus ophoesten en daar hoor je niemand over...
"Ze vindt het 'zuur' dat het bedrag van boete nu 'niet aan patiëntenzorg kan worden besteed."
Decennia lang is privacy een ondergeschoven kindje in de ziekenhuizen. Zelfs na ruime media-aandacht voor Privacy afgelopen jaren heeft het Haga Ziekenhuis verzuimt degelijk beleid op te zetten. Dit vergt een cultuuromslag in beleid en uitvoering.

De Autoriteit Persoonsgegevens de "schuld" geven van de opgelegde boete is zoiets als de elektriciteitsrekening niet betalen en de rechter de schuld geven van een opgelegde boete.
Men speelt in op het sentiment, maar bestuur en directie is geheel zelf verantwoordelijk voor deze malaise. De uitspraak suggereert echter dat men zich hier nog steeds niet voldoende van bewust is.

[Reactie gewijzigd door ignitem op 17 juli 2019 18:07]

Ware het niet, dat ook al is je beveiliging helemaal up to date. Als mensen bewust misbruik gaan maken van hun machtigingen dan is het dus de vraag wie de boete moet krijgen? Misschien zou je alle medewerkers per direct (op staande voet) zonder recht op ww moeten ontslaan?

kleine tekstuele toevoeging

[Reactie gewijzigd door fortfort op 17 juli 2019 19:59]

Tuurlijk, maar helemaal geen machtigingen is erger dan geprobeerd hebben machtigingen op te zetten waar misbruik van wordt gemaakt. De boel niet enigzins dichttimmeren betekent dat je helemaal niks geeft om privacy; doe je dat wel en het gaat mis, dan heb je in ieder geval al het nodige gedaan dat je moest doen.
Wat ze precies wel en niet hebben geregeld moet nog duidelijk worden ik ben er in ieder geval zeer benieuwd naar, maar

"Zo was er al tweestapsverificatie verplicht voor toegang tot medische dossiers, waarbij naast het wachtwoord ook een persoonlijke personeelspas of een pincode nodig is die iedere vier uur opnieuw moet worden ingesteld."

Lijkt mij toch wel richting het bewust door een medewerker (met eventuele medische betrokkenheid) toegang verkrijgen tot medische gegevens en er niet per ongeluk door de schoonmaakster tegen aan gelopen.
Zo'n cultuuromslag bereik je niet met een paar ontslagen na een boete. Dat vergeet iedereen over twee jaar en over vier jaar komt er weer een brief door de bus. Het is beter om te zorgen dat misbruik snel herkend wordt en om te zorgen dat het duidelijk is dat misbruik snel aangepakt wordt.

Aan het eind van de dag bijvoorbeeld een overzicht van dossiernummers die je bekeken hebt mailen met de vraag eronder "zie je iets dat hier niet aan klopt? laat het onderzoeken door het securityteam" zodat je het kan laten overkomen als beveiliging ipv aanval. Daar hoeven geen namen bij te staan, maar daarmee kun je mensen wel laten controleren of er ineens een hele hoop dingen vanaf je account gebeuren.

Zo laat je 1) weten dat er wordt gemonitord 2) weten dat je dit serieus neemt en 3) de mogelijkheid er is om verdachte dingen te melden.

Als de pakkans te klein is of als mensen niet weten dat de pakkans er is, kunnen dit soort dingen gebeuren. Het controleren van de logs en het duidelijk maken dat er goed naar de logs gekeken wordt is dus de stap waar het hier mis gaat. Als ik een vinger zou moeten wijzen, zou ik denken aan een logcontrole die te weinig en niet grondig genoeg gebeurt (als je een hele maand aan logs moet doorspitten, zie je snel dingen over het hoofd).
Onze huis-arts en apotheek software levert real-time inzage in welke medewerkers, welke dossiers hebben geraadpleegd en hoevaak. Een apotheker kan zo al zijn assistenten in een apotheek controleren.
Nogal lastig, want wie had hier nou echt de schuld? Mischien hadden IT medewerkers dit a lang geflagged, maar deed management er niks mee want kost geld. Dan kun je moeilijk die IT medewerkers de schuld geven. Mischien wilde het IT Management er zeker wel wat mee doen maar dacht de directie, nah te duur.

Dit kun je pas echt zeggen naar gedegen onderzoek, wiens zijn schuld was dit echt, en is dit te verbeteren?
Juist, dat dus helemaal
Ontslaan op staande voet is waar jij op doelt en dat kan niet zomaar gegeven worden, zeker daarvoor niet.
idd dank voor de aanvulling, maar zeker juist daarvoor wel. Tenminste als het personeel redelijke wijs had kunnen weten dat het dus absoluut verboden is. Redelijkerwijs is bijvoorbeeld, kenbaar gemaakt tijdens bijscholing. Vergaderingen, notulen. Je kan iemand op staande voet ontslaan als deze een een Toiletrol meeneemt voor eigen gebruik. Omdat personeel redelijkerwijs mag weten dat dit ontvreemding is.
Maar dan ga je ervan uit dat zo iemand training heeft gehad, wat best een flinke aanname is.
maar ook zonder training wordt eenieder geacht de wet te kennen. Ik heb nog nooit training gehad om iemand niet te vermoorden. Is het dan een excuus om het wel te doen?
Dat is natuurlijk een dooddoener. De AVG / GDPR is wel even andere materie dan dat je iemand niet vermoord, denk je ook niet? :?

Het is niet alleen wat privacy is en hoe je dat beschermd, maar ook hoe je voorkomt dat er data lekt, wanneer iets een datalek is en wanneer en waar dat gemeld zou moeten worden.

Dus het behelst meer dan een simpel tekstje in de wet waarvan je verwacht die te kennen.
En dat maakt jouw vergelijking erg zwart-wit en naar mijn idee bovendien erg krom.

[Reactie gewijzigd door CH4OS op 18 juli 2019 00:53]

Die 85 mensen die onterecht het dossier hebben bekeken wisten echt wel dat dat niet mag.

Er zijn misschien complexe situaties denkbaar waarbij training gerechtvaardigd is maar dit is er niet één van
Ik vind dat wij daar niets over kunnen roepen zonder context. ;)
Sorry hoor, maar een arts heeft een eed afgelegd. Daarin staat dat je altijd zorgvuldig moet zijn. En zomaar willekeurige dossiers raadplegen valt daar denk ik niet onder.
Sorry hoor, maar een arts heeft een eed afgelegd. Daarin staat dat je altijd zorgvuldig moet zijn.
Die eed gaat vooral in op het medische aspect (van het vak) en bevat inderdaad ook een stukje over het medisch beroepsgeheim (zoals het nu heet immers), echter staat er ook iets in als dit:
Nooit zal ik een vrouw een instrument voorschrijven om een miskraam op te wekken.
Als je de eed dus heel zwart-wit ziet, zou een abortus dus ook nooit gemogen hebben, ik kan mij voorstellen dat er veel mensen zijn die daar toch echt heel anders over denken, ook die in de zorg werken. ;)

Daarnaast denk ik ook dat een arts, verzorger, verpleger of chirurg en dergelijken op een dag wel meer te doen hebben dan willekeurig wat dossiers gaan bekijken van patiënten die ze verder ook nog eens totaal niet kennen (en weet hebben dat er een lek is en hoe die dan vervolgens te misbruiken is). Zeker gezien de personele bezetting en de vraag die nodig is door de patiënten en cliënten.

Dergelijk personeel is blij dat ze weten hoe de PC aan/uit gaat, hoe de applicatie werkt die ze het meeste gebruiken en dergelijken. Die gaan niet verder kijkenvoor hoe er gelekt kan worden; ze oefenen, net als elk ander, het liefste hun eigen vak uit (daar hebben ze immers voor geleerd) en de computer is een hulpmiddel, meer niet.

Daarnaast staat er op de Wikipedia pagina echter ook:
Dit heeft op zich geen juridische betekenis.
Dus de eed is vooral een traditie en eer geworden, dat in ere gehouden wordt. Niets mis mee, maar het heeft juridisch gezien dus 0 meerwaarde.

Ook werken er meer mensen in de zorg dan medisch opgeleide mensen alleen. Denk bijvoorbeeld aan IT personeel, maar ook aan administratie en HR om wat voorbeelden te noemen, die mensen hebben geen eed afgelegd, mogen zij dan de wel de fout in gaan? :? Kortom; there's more than meets the eye. ;)

[Reactie gewijzigd door CH4OS op 18 juli 2019 01:14]

In andere stukken hier over stond dat 85 man personeel de fout zijn ingegaan, deze hebben allemaal een waarschuwing en een aantekening gekregen, gezien het voor iedereen de eerste keer was dat ze de fout in gingen is er niemand ontslagen.

En 85 man personeel ontslaan in een ziekenhuis op dit moment zal vele malen erger zijn dan de boete te betalen, alleen al aan wervingskosten kom je daar al aardig dicht bij, tel daar de gederfde inkomsten gezien er afdelingen gesloten moeten worden door personeels tekorten.
Nee onstlaan zullen ze niet zo maar doen dan moet het toch wel iets ergers geweest zijn.

Link naar het aantal bij nrc maar ik dacht het hier ook bij tweakers gelezen te hebben.
https://www.nrc.nl/nieuws...k-dossier-barbie-a1600992

[Reactie gewijzigd door bamboe op 17 juli 2019 21:47]

Privacy is een belangrijk onderdeel van de patiëntenzorg, een onderdeel waar ze bewezen meer aandacht, tijd en geld aan moeten besteden.

Zuur dat het Haga Ziekenhuis er voor kiest om in plaats daarvan hun aandacht, tijd en geld te richten op een hoger beroep. Geen enkele patiënt is daarbij gebaat.

[Reactie gewijzigd door djwice op 17 juli 2019 20:19]

Inderdaad. Dit geld van die boete kan niet naar de patiëntenzorg (hun woorden), maar die advocaten van hun werken voor niks zeker?
Je kan het ook anders zien ze zijn er nu serieus mee bezig zijn en daarmee zou de straf milder moeten kunnen zijn. Beter nog i.p.v. die boete te betalen hun verplichten dat bedrag in de verbetering van Privacy steken.

Daarbij komt wel dat de belastingdienst en de overheid algemeen hun zaken ook nog steeds niet voor elkaar hebben echter krijgen die geen boetes?
Als jij een boete krijgt voor het vasthouden van je mobiel op je fiets, zeg je dan ook: "Ik ben bezig om een telefoonhouder te kopen". "Jammer dat ik deze boete krijg, dat geld had ik beter kunnen investeren in een telefoonhouder". "Geef me nu geen boete, dan ga ik een telefoonhouder kopen, beloofd".

Dat ze er nu serieus mee bezig zijn, is mosterd na de maaltijd. Een boete is een straf. Een straf dat ze veel te laat zijn begonnen met het correct implementeren van de AVG. Laat dit vooral een les zijn voor andere bedrijven en instanties. Meer boetes zullen ongetwijfeld volgen.
"Ze vindt het 'zuur' dat het bedrag van boete nu 'niet aan patiëntenzorg kan worden besteed."


Dan houden ze het toch in op de beloningen van de betreffende falende bestuursleden!?!?

Zijn de patiënten ook niet de dupe
In veel gevallen waarbij een organisatie of bedrijf een boete opgelegd krijgt zou men, wat mij betreft, deze boete juist moeten opleggen aan het bestuur persoonlijk eventueel aangevuld met andere verantwoordelijke personen. Geld van het bedrijf of instelling wordt minder hard gevoeld dan een persoonlijke boete.
Zelf werkzaam in een ziekenhuis en eerder in ander ziekenhuis gewerkt. Bekend met beide pakketten die men hier gebruikt. Laat me het zo zeggen, vanuit het oogpunt van gebruikers zal men dit niet fijn vinden. Imprivata i.c.m. Chipsoft HiX is al een beperkende factor voor vele gebruikers. Daarnaast heeft Chipsoft weinig echte beperkende maatregelen om dossiers in te zien of het zit zeer omslachtig verstopt. Ik ben dan ook juist verbaasd dat het ziekenhuis de boete krijgt en niet de leveranciers.
"Ik ben dan ook juist verbaasd dat het ziekenhuis de boete krijgt en niet de leveranciers."

Want de leveranciers hebben de ziekenhuizen gedwongen tot aankoop van deze pakketten?
Helaas heb je in Nederland als ziekenhuis geen keuzes tot het kiezen van een epd. 95 procent van de ziekenhuizen heeft Chipsoft als EPD pakket. De overige zijn academische ziekenhuizen die zelfbouw of EPIC als EPD hebben. EPIC levert niet aan de normale ziekenhuizen.
Amphia draait met Epic

https://www.zorgvisie.nl/...ic-in-gebruik-zvs011438w/

...als een van de weinigen, de rest zit bij Chipsoft.
Ik wil bovenstaande beweringen over epic even rechtzetten.

Radboud, OLVG, Spaarne gasthuis, VU/Amc, ETZ, Amphia, UMCG, Antonius draaien epic. Wordt dus in meer intellingen dan de Academische gebruikt. Epic houdt zich gewoon aan de nederlandse wetgeving.

Binnen epic kan de toegang tot een dossier worden beperkt op het hebben van een behandelrelatie, alsmede op vele andere manieren zoals bij patienten die naar een SOA poli gaan. Verpleegkundigen kunnen bv worden gelimiteerd via: de verpleeggafdeling waarop ze inloggen, ligt de patient op een afdeling waar de verpleegkundige werkt, voor artsen bv gelimiteerd op tijd, enz. enz. Binnen ons ziekenhuis wordt er actief gemonitord.
Wat men hier boven beweert is eigenlijk een beetje suf.
Exact. Het ziekenhuis informatie systeem dat Haga gebruikt, HiX van ChipSoft, doet vrijwel hetzelfde. Op het moment dat je als patient wordt doorverwezen naar bijvoorbeeld een cardioloog, dan kan alleen die bewuste cardioloog bij de patientgegevens binnen het EPD van die patiënt. Ben je die cardioloog niet maar moet je wel bij het dossier, wordt inderdaad de noodzoekprocedure (break the glass methode) gevraagd. Die reden wordt altijd gelogd, samen met welke informatie je hebt ingezien. Het is letterlijk mogelijk om elke klik en scherm terug te halen die de medewerker heeft ingezien. Het gaat hier niet om de beperkingen van het EPD/ZIS, maar het niet adequaat interpreteren van de gelogde data en het daarop volgend handelen.
Lijkt mij niet meer dan logisch dat iedere EPD-leverancier moet voldoen aan de Nerderlandse wetgeving. Zou wat zijn als opeens andere regels gelden omdat de leverancier toevallig uit de VS komt.

Overigens denk ik eerder dat onderstaande beweringen niet helemaal kloppen maar dat terzijde ;)
Dat wist ik niet, dan is je stelling wat beter te begrijpen ja. En het is dus ook niet mogelijk om EPD software uit het buitenland aan te schaffen? (als dat er überhaupt is, geen idee)
EPIC is Amerikaans en volgt de Amerikaanse regels. Chipsoft is Nederlands en volgt de Nederlandse regels. Ik ben verder niet bekend met EPIC behalve dat men zegt dat dit meer moeilijkheden geeft en dat er meer personeel voor benodigd is.
Binnen Nederland zijn er geen andere aanbieders op het algemene EPD vlak. Philips heeft omtrent specifieke zaken zoals radiologie een eigen systeem maar die is niet geschikt voor het gehele ziekenhuis.
Sorry, maar dat klopt niet. Je mist SAP, Cerner en Nexus. Daarnaast werkt Pink ook aan een alternatief en zijn er ook nog wat kleine spelers uit Zuid Europa. Ziekenhuizen hebben nog steeds te maken met Europese aanbestedingsregels, dat daar vaak een ChipSoft Of EPIC als winnaar uit de bus komen is dan wel weer correct.
Wat is de beperkende factor in dit geval?
Artsen en verpleegkundigen zien deze maatregelen als tijdrovend en men geeft al gauw de mening dat ICT de zorg eerder duurder en lomper maakt dan nodig is. Vanuit Zorggroepen wordt ICT dan ook vaker tegen gewerkt dan dat men hierop kan sturen.
Vanuit leveranciers wordt hierop ook niet goed gestuurd. Je dient dit als ICT organisatie dan ook zelf te bedenken en kunt niet van best practices uitgaan.
Een ziekenhuis is verantwoordelijk voor het naleven van de plichten die ze zelf hebben. Ze zijn dus ook verantwoordelijk voor de keuze, implementeren en eigen gebruik van software waarmee ze aan de eisen willen voldoen.

Aan welke eisen meen je dat de software leveranciers dan door de AP beboet moeten worden? Het aanbieden van middelen waarmee een koper/gebruiker niet aan zijn plichten kan voldoen (als daar al sprake van kan zijn dat je dat kan meten) lijkt me immers niet verboden.

Als er sprake is van een leverancier dan kan die mogelijk aansprakelijk worden gesteld door het ziekenhuis voor het niet leveren van wat is gevraagd. Maar dat lijkt me dan weer af te hangen van de contracten en bijbehorende uitzonderingen. Maar daar heeft de AP verder weinig mee te maken.

Ik ben wel benieuwd wat je bedoeld met dat Chipsoft weinig echte beperkende maatregelen heeft om dossiers in te zien. Wat zou bijvoorbeeld ontbreken?
De inkopers, samen met directie heeft de keus gemaakt voor 1 pakket.
Waarom zou dit ten koste moeten gaan van de patientenzorg. Misschien moet de raad van bestuur gewoon loon inleveren ?! Toch ?
Dat ligt er aan wat voor lonen die mensen hebben.

Het Haga is onderdeel van een stichting, die onder andere de raad van bestuur omvat. Het is helemaal niet gek als de vijf mensen die verantwoordelijk zijn voor de drie ziekenhuizen in die stichting een goed salaris hebben toch?
Waarom? Omdat het een stichting is en geen bedrijf? Ik wil niet zeggen dat het hier zo is en ik weet niet of die mensen een buitenproportioneel loon hebben, maar vaak zorgen de mensen hoog in de hiërarchie er wel voor dat ze er warmpjes bij zitten. Dat is opzich helemaal niet erg, genoeg functies die een enorme verantwoordelijkheid met zich meebrengen, maar het mes snijdt aan 2 kanten natuurlijk. Je hebt veel verantwoordelijkheid, daar hoort een mooi loon bij, maar ook de nodige risico's.
Waarom? Omdat het een stichting is en geen bedrijf?
Nee, zeker niet omdat het een stichting is. Ik doelde alleen maar op het feit dat, in dit geval de raad van bestuur niet alleen voor dit ene ziekenhuis is, maar voor een paar ziekenhuizen. Dit maakt hun werk (waarschijnlijk) complexer en hun verantwoordelijkheden (en dus ook risico's zoals je al aangeeft) groter.

Ik vind het altijd erg vervelend als er direct wordt geroepen "Ja, en de directeur maar cashen!" als er is een keer iets mis gaat in een bedrijf, of als er een reorganisatie nodig is, zonder dat er bekend is hoeveel die directeur daadwerkelijk verdiend. (Even puur praktisch en zonder emotie: Al zou een directeur een miljoen per jaar verdienen, dan is dat ongeveer 20 - 40 werknemers, wat dus, puur zakelijk gezien, een schijntje is als er 1000 mensen de laan op moeten.)
Het is een vooroordeel inderdaad, maar de geschiedenis leert ons dat die vaak juist is. Dat rekensommetje is leuk en lijkt misschien niet zoveel, maar (let op: weer een vooroordeel) wanneer die 1000 mensen op straat komen te staan zijn het vaak diezelfde 1000 mensen die het meest eronder te lijden hebben. Waar is de directeur dan? Die vindt relatief makkelijk wel een ander royaal betaald baantje, zoals ik zei: dat soort mensen zorgt vaak goed voor zichzelf. Nog maar niet te spreken over de situaties waar diezelfde directeur de situatie moedwillig zo ver heeft laten komen en er zelf flink aan overhoudt. Krijgen die 1000 mensen dan ook een royale bonus voor het falen van de directeur? Meestal niet, zij mogen achter in de rij van grote schuldeisers en juristen aansluiten.
Daar heb je uiteraard gelijk in, daarom schreef ik er ook nadrukkelijk bij "puur praktisch en zonder emotie". Voor iemand die het slachtoffer is van een reorganisatie, is het natuurlijk heel zuur dat 'de hoge heren in hun ivoren torentje' lekker blijven zitten met hun lease-pontiac (ook weer vooroordeel :) ), maar als je als bedrijf daadwerkelijk kosten wil schrappen is het nou eenmaal een stuk 'praktischer' om duizend mensen de laan op te sturen, dan 1 directeur en 10 managers.
Even inhakend, voor de zorgsector en dus ook voor het bestuur van het Reinier Haga ziekenhuis geldt de Wet Normering Topinkomens. Kort door de bocht mag een bestuurder niet meer verdienen dan het salaris van een Minister.
Daarbij geldt ook dat het salaris gemeld moet worden in de jaarrekening, net als trouwens de vergoedingen aan de leden van de Raad van Toezicht. En als het salaris afwijkt van de WNT, moet ook dat gemeld worden, plus de reden waarom het salaris niet aan de WNT voldoet.

Tot slot moet een jaarrekening van een zorginstelling gedeponeerd worden; veel jaarrekeningen zijn openbaar kun je gewoon inzien via de website https://www.desan.nl/net/DoSearch/Search.aspx.
een topdokter/chirurg verdient al snel 500K per jaar, wat zou de raad van bestuur in zijn totaliteit dan wel niet verdienen.
Als je naar de CAO's voor ziekenhuizen kijkt en daar de chirurgen bekijkt, kom ik op bedragen tot ongeveer 150k. Ik las ergens anders dat een ZZP-chirurg tot ongeveer 250k. Maar goed, er zullen ongetwijfeld uitzonderingen zijn.
Ik denk dat je daar niet zo veel over kan zeggen, als het niet gespecificeerd staat.
De totale loonkosten van het ziekenhuis (in 2017) waren ongeveer 140mln verdeeld over 3500 medewerkers en 320 medisch specialisten.

https://reinierhaga.nl/#bestuur
De raad van bestuur is zo te zien 'strikt' raad van bestuur en geen arts/chirurg meer (of de info op hun site is incompleet). Het is prima mogelijk dat hun loon lager ligt dan dat van een chirurg. Geen idee van eigenlijk.
Veel specialisten hebben tegenwoordig een maatschap opgericht waarbij zij niet meer direct hun loon krijgen van het ziekenhuis. Zij zijn technisch gezien ZZP-ers die meer vragen dan een ziekenhuis een personeelslid zou mogen betalen in hun positie. Maar juist omdat ze ZZP-er zijn kan zo'n constructie met bijbehorende bedragen dus weer wel...
Huffmeijer verdiende in 2011 322.743 euro plus een auto van 55K. Dat zal 8 jaar later niet minder zijn
Dan ga je er direct vanuit dat dat ook kan.. En dat je weet hoeveel de raad van bestuur kost..
Opvallende suggestie. Waarom zou dat niet kunnen?
Half miljoen afschrijven de komende 10j dat is 50K per jaar, dat gaat best lukken.
Dat is ook het algemene probleem met boetes aan instellingen en bedrijven.
Dat zijn namelijk niet meer dan een stapel stenen en een paar velletjes papier.
Nou, die gaan zich schamen hoor, als ze een boete krijgen!

De enige oplossing is om de complete raad van bestuur / CEO's domweg in het gevang zetten.
Zij zijn immers de verantwoordelijke personen (en daar worden ze dan ook flink voor betaald voor die verantwoordelijkheid, tenminste, dat zeggen ze altijd als er weer eens ophef is over hun salaris) voor de toko.

Moet je eens kijken hoe snel het probleem bij Hoogovens (Tata) is opgelost als bij iedere milieuovertreding de directie op water en brood achter de tralies verdwijnt.
[/einde rant]
Wat echt werkt is als de haagse bevolking naar andere ziekenhuizen gaat in de regio. Zo is Zoetermeer sneller te bereiken dan het westeinde als je ten noorden van centraal station woont ...
Misschien moet de raad van bestuur gewoon loon inleveren ?! Toch ?
Op welk punt moet jij loon inleveren als je fouten maakt of de verkeerde beslissingen neemt? Ik gok namelijk nooit. Als het mogelijk zou zijn, dan zouden ook de mensen die verantwoordelijk zijn voor de keuzes beboet moeten worden, das iets heel anders dan je loon inleveren zodat je bedrijf boetes kan betalen...
Het is niet ongewoon dat een bestuur van een organisatie ook (financiele) voordelen kan hebben als er goede resultaten zijn behaald. Zoals besparingen of behalen van bepaalde omzet of winst. Los daarvan zijn de vergoedingen voor bestuurders gewoonlijk ook vele malen hoger vanwege de verantwoordelijkheid die ze zouden hebben. En laat dat nu net ook verantwoordelijkheid zijn over behoorlijke gegevensbescherming, waar niet aan blijkt te zijn voldaan. Waarom zou het geld dan moeten komen uit de zorg en niet bij de personen die er verantwoordelijk voor zijn? Wel de lusten maar niet de lasten lijkt me een vreemd uitgangspunt als het een constructie is om vanwege de grote verantwoordelijkheid verdiensten te hebben.

[Reactie gewijzigd door kodak op 17 juli 2019 18:28]

Wel, als ik zo’n fout bega dan Ga ik daar wel voor opdraaien. Ofwel geen bonus dat jaar, geen opslag of zelfs ontslag.
Beleidsbeslissingen zijn geen fouten.

Zij hebben een beslissing genomen waardoor meer mensen dan absoluut noodzakelijk toegang hadden. Geen fout.
Deze mensen krijgen toch juist zo veel geld omdat ze zo belangrijk zijn en een verantwoordelijkheid moeten dragen?
De vraag alleen doen zij dit ook en nemen zij die verantwoording... ik heb in het verleden anders gezien namelijk.
Daarom is de loon-inlever-stelling ook zo gek nog niet. Het gaat niet om mensen die er direct door in de financiele problemen komen.

[Reactie gewijzigd door .oisyn op 17 juli 2019 18:45]

Een boete aan een ziekenhuis, of aan de politie b.v. geven, of aan een gemeente heeft inderdaad niet zoveel nut vind ik.

Hier moet gewoon het hoofd van dat ziekenhuis ontslagen worden en per direct vervangen door iemand die er meer verstand van heeft.
Idem voor die 85 mensen die in die dossiers gesnuffeld hebben. Ontslag per direct. Die zijn net zo schuldig als die directeur, niks meer en zeker ook niet minder.
Het is zo makkelijk altijd maar (alleen) de schuld bij een directie neer te leggen. Werknemers hebben ook hun eigen verantwoordelijkheid.

[Reactie gewijzigd door Arjant2 op 17 juli 2019 18:40]

tuurlijk, maar aan de directie om die intergriteit te beschermen. In dit geval is dat zo ernstig te kort geschoten dat je niet alleen de werknemers ervoor verantwoordelijk moet houden. Niemand houd men tegen om hun eigen personeel te testen, het feit dat er waarschijnlijk nooit een steekproef/verantwoorden van het neuzen laat zien dat privacy in het haga niet hoog staan.
Die hebben wel een officiële waarschuwing gekregen begreep ik. Wat erop neerkomt dat ontslag volgt als het nog eens zou gebeuren.
ik vind het ook een boete voor directie, die heeft de fouten en schade gemaakt. hun hele argumentatie achter waarom ze meer geld moeten krijgen is dat ze meer risico lopen, nou laat ze nou dan maar een keer echt meer risico lopen.
Ik vind het een beetje een vreemd verhaal.
Iemand z'n dossier is bekeken zonder dat daar blijkbaar noodzaak voor was. Het verweer is dat ze (nu) tweetrapsauthenticatie hebben en dat de pincodes korter geldig maken.

Al heb je twintig authenticatiestappen, men moet gewoon niet in dossiers gaan snuffelen als daar geen noodzaak voor is, en dat moet blijkbaar onmogelijk worden gemaakt voor één persoon. (vierogenprincipe?)

Verder klagen ze over dat de AP niet duidelijk is over 'systematisch'. Op de website staat hetvolgende:
https://www.autoriteitper...on-impact-assessment-dpia
In de lijst van soorten verwerkingen waarvoor een DPIA verplicht is, komen de begrippen ‘grootschalig’, ‘systematisch’ en ‘stelselmatig’ voor. Het begrip grootschalig is door de Europese privacytoezichthouders verder ingevuld.

Op Europees niveau zijn de begrippen ‘systematisch’ en ‘stelselmatig’ (nog) niet verder ingevuld. Waar in onderstaande lijst wordt gesproken over ‘systematisch’ of ‘stelselmatig’ moet u denken aan verwerkingen die volgens een bepaald systeem plaatvinden. Een verwerking van persoonsgegevens die is opgenomen in de systemen of in het beleid van de organisatie moet worden beschouwd als een systematische of stelselmatige verwerking. Gegevensverwerkingen die ad hoc of incidenteel plaatsvinden moeten niet beschouwd worden als systematische of stelselmatige verwerkingen.
Lijkt mij toch duidelijk wat de AP bedoelt als ze 'stelselmatig' schrijven? Hoe je het ook doet, dus in elk geval niet 'handmatig' zoals ze nu doen naar eigen zeggen. (voelt als 'ad hoc' of 'incidenteel')
Vierogen principe? Hoe zie je dat voor je? Verplegend personeel verdubbelen? Goede methode om de zorgkosten onbetaalbaar te maken.

Een IT systeem in een ziekenhuis is lastig als je het verplegend personeel niet onnodig moeilijk wil maken om bij de gegevens te komen die ze nodig hebben.
Dus je moet een balans vinden tussen toegangscontrole en 'gebruiksgemak'.
Dat betekent wel dat je dan moet loggen en actief die logs moet controleren. En hang daar maar aan vast dat het reden tot ontslag op staande voet is als je snuffelt in dossiers waar je niet in hoort te kijken.
Hoe zie je dat voor je? Verplegend personeel verdubbelen
Nee, er lopen op een ieder moment toch al mensen? Ik zeg niet dat het niet belastend is, maar een tweede persoon kan prima beoordelen op dat moment of het inderdaad nodig is. En als er bloedspoed is, kan je het overbruggen, maar dat er dan wel direct ergens een alarmpje gaat dat verpleegkundige Pietje dat heeft gedaan. Als het inderdaad spoed was, is er niks aan de hand.
reden tot ontslag op staande voet is als je snuffelt in dossiers
en daar kan je weer mee creëren dat mensen bij twijfel niet durven te kijken.

Geen één systeem is ideaal, maar eens in de zoveel tijd (of regelmatig) met de hand door logboekjes spitten is natuurlijk wel heel summier en je dan 'verbergen' achter, 'we hebben een tweetrapsauthenticatie is natuurlijk niks in dit geval. Het bevestigd alleen wie iets beter, en niet zo zeer het waarom.
In dit geval lijkt me het toch niet zo moeilijk.
Als je het dosdier van een patiënt wil bekijken die niet aan je is toegewezen, krijg je een melding dat je nogmaals moet bevestigen, je moet ook een reden opgeven dan dan pas krijg je toegang, die toegang krijg je dus automatisch. De melding wordt wel doorgegeven aan de verantwoordelijke voor desbetreffende patiënt die dit naderhand ook nog eens moet bevestigen .., redelijk fail-safe zou ik zo zeggen.
Stelselmatig kan ook handmatig gebeuren.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True