Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Minister: toegangslogs van medische dossiers moeten vijf jaar bewaard blijven

Zorginstellingen en ziekenhuizen moeten voortaan minimaal vijf jaar blijven loggen wie er toegang kreeg tot medische dossiers. Minister Bruins van Medische Zorg gaat daarin niet mee met de aanbeveling van de Autoriteit Persoonsgegevens, die vijftien jaar voorstelde.

Bruins schrijft dat in een brief aan de Tweede Kamer. Hij reageert daarmee op Kamervragen die volgden naar aanleiding van een bericht in NRC. Daarin staat dat het voor veel patiënten moeilijk is om op te vragen wie er in een medisch dossier heeft gekeken. Bruins voegt de eis toe aan het Besluit Elektronische Gegevensverwerking door Zorgaanbieders. In het besluit staat dat zorgaanbieders minimaal vijf jaar een log moet bijhouden van welke medewerkers op welk moment toegang hebben gehad tot het medisch dossier van een patiënt. Zulke aanbieders mogen ook langer loggen als zij dat willen.

Bruins neemt de aanbeveling van de Autoriteit Persoonsgegevens daarbij niet over. De privacywaakhond adviseerde om de logperiode op vijftien jaar te zetten. "De ervaring leert dat de meeste verzoeken voor inzage in de logging binnen een termijn van vijf jaar worden gedaan", schrijft Bruins. Ook zegt hij dat de kosten een rol spelen. Als logs langer bewaard worden zijn de kosten van opslag hoger, redeneert de minister.

Onder zowel de oude Wet Bescherming Persoonsgegevens als de AVG is het verplicht om toegangslogs bij te houden voor medische info, maar er was nog geen verplichte duur voor. Volgens Bruins is het 'belangrijk dat mensen regie hebben over hun gegevens', en kunnen zij met de logs zien of 'verwerkingen in het medisch dossier rechtmatig hebben plaatsgevonden'. De Autoriteit Persoonsgegevens gaf eerder dit jaar al een boete aan het Haagse Haga Ziekenhuis omdat dat het autorisatie- en logbeleid niet goed op orde had.

Door Tijs Hofmans

Redacteur privacy & security

02-12-2019 • 10:02

56 Linkedin Google+

Reacties (56)

Wijzig sortering
Nu moet de minister het dan ook nog eenvoudig maken om die logs ergens te kunnen opvragen. Dan kjun je dat iedere 5 jaar doen en zelf een log aanhouden.
Deels kan dit al, je kunt via Volg Je Zorg kijken met wie je medische gegevens zijn gedeeld via het LSP (Landelijk Schakelpunt), een onderdeel van het EPD.

Zo ben ik recent geopereerd (goedaardige hersentumor), en daar zijn diverse keren onderling gegevens uitgewisseld tussen beide betrokken ziekenhuizen. Je kan dan precies zien welk ziekenhuis wanneer gegevens opgevraagd heeft, en bij welke partij (ziekenhuis, apotheek etc). Iedere keer dat dat gebeurt krijg je netjes een mailtje :)
Wist ik niet, dank je. En dan zie je dat ook dat niet volledig is. Ik loop momenteel in twee ziekenhuizen. Scans van de ene heb ik bij de andere zelf terug gezien, maar daar is geen spoor van terug te vinden in dat Volg je Zorg. Ik zie wel de apotheek en de huisarts terugkomen ... Het zal nog in de kinderschoenen staan denk ik dan ...
Ik denk dat die informatie dan buiten het LSP om is gedeeld, bijvoorbeeld via XDS of (EPIC) Care Everywhere. Het landelijk medicatie dossier loopt wel via het LSP, maar bv. beeldmateriaal wordt vaak nog op een andere manier uitgewisseld.
Inderdaad, die info kan je dan weer opvragen bij het ziekenhuis zelf (in mijn geval Bravis in Roosendaal, en ETZ Elisabeth in Tilburg). Daar zie je dingen als bloeduitslagen, onderzoeksverslagen, brieven die naar o.a. je huisarts etc gestuurd zijn. Daarvoor heeft elk ziekenhuis weer zijn eigen systeem, met een eigen inlog (bij Bravis bijv DigiD, bij ETZ via een verificatie-mail).

Dingen als MRI-scans etc zie je op die site overigens ook niet. Die kan je wel op CD-ROM laten branden door de afdeling, heb ik ook gedaan.

Het zou fijn zijn als er één landelijk systeem zou komen waarin *alles* te zien is. Van alle zorgverleners, inclusief wie wanneer welke gegevens bekeek.
Dat was oorspronkelijk de bedoeling van het EPD toch? Maar dan stuit je weer op een single-point-of-failure ... dat alles in één systeem staat betekent ook extra veel risico + dat álles en iedereen in één systeem moet komen.

Ja dat zou voor de cliént handig zijn, maar organisatorisch best wel een probleem vormen.
LSP gaat alleen over huisarts en medicatie gegevens https://www.volgjezorg.nl/het-lsp/welke-gegevens dus alleen de 1e lijn. Scans (CT/MRI/PET) gaat via een ander (ziekenhuis->ziekenhuis) systeem (IHE-XDS) maar nog heel vaak gewoon door het branden van beelden op een CD-ROM.

Edit: typo's

[Reactie gewijzigd door cryinson op 2 december 2019 10:35]

Aanvullende op @cryinson & @RogerDad ,

Wellicht kan je online inloggen op je medisch dossier van de desbetreffende ziekenhuis.
Je kan dan wel zien dat er gegevens zijn geïmporteerd van ziekenhuis B tbv diagnose etc.
Dit was bij mij ook het geval, met ziekenhuizen uit het buitenland en Nederland.
@cryinson & @RogerDad
Klopt. Bij het ziekenhuis zelf (en bij die andere ook) kan ik inderdaad via DigiD inloggen en zijn er wat uitslagen terug te vinden, de laatste van bijna 2 maanden geleden terwijl ze afgelopen donderdag nog in me hebben lopen prikken. Dat loopt wat achter dus. CT/MRI/PET zijn inderdaad niet terug te vinden, zal wel iets met de hoeveelheid data te maken hebben. 'k Zal het lokale ziekenhuis eens vragen hoe ze de data binnenlepelen van het academisch ziekenhuis en wat de frequentie van updaten is, wat het beleid is rondom het delen van data. Toch zit ik er duaal in. In mijn geval nu is het wel fijn dat informatie over me breed bekend is, wat tegelijk ook een valkuil is. Als er wat gehackt wordt in een ziekenhuis of wat dan ook, dan ligt dat potentieel op straat. Nu is er niks bij wat het daglicht niet kan verdragen, maar daar gaat het ook niet om, ik bepaal liever zelf wat ik wel en niet wil delen.

In mijn lokale ziekenhuis kan ik overigens loepzuiver terugvinden wie in mijn dossier heeft lopen neuzen, op een dag met behandelingen kom ik moeiteloos aan een mens of 20 ...

[Reactie gewijzigd door Houtenklaas op 2 december 2019 16:50]

Als je een complexe aandoening hebt en langere tijd multi-disciplinair behandeld wordt, dan zullen het honderden mensen zijn die toegang tot je dossier hebben gehad. De kans dat iemand zomaar uit nieuwsgierigheid het dossier heeft geopend is natuurlijk heel klein. Voor de gevallen waar nieuwsgierigheid wel een risico is (bekende Nederlanders, aparte aandoeningen, familie, enz.) zou het ziekenhuis een risico gebaseerde logcontrole moeten hanteren.
Welk ziekenhuis? Niet welk persoon in dat ziekenhuis?
Nee, in "Volg je Zorg" zie je volgens mij alleen welk ziekenhuis de info opvraagt, ik zie iiig geen specifieke namen. Zou denk ik ook weinig toevoegen, want dat zijn meestal toch niet de doktoren zelf. En zou ook privacy-issues voor die mensen op kunnen leveren denk ik zo.

Meestal zijn het waarschijnlijk gewoon raadplegingen door assistenten die de gegevens geautomatiseerd opvragen en in je dossier stoppen. Gebeurt vaak op de dag voor je een afspraak hebt, zodat de dokter altijd de meest actuele info heeft.
Maar wat zegt mij het dan? Kan dus ook mijn buurman zijn die in het ziekenhuis werkt op een hele andere afdeling.


https://www.nporadio1.nl/...-kan-naar-de-tuchtrechter
Dat is *juist* de info die ik wil weten: dat een behandelend arts mijn info bekijkt snap ik, maar ik wil weten wie er daarnaast nog allemaal toegang tot heeft en dat bekijkt.
In het lokale ziekenhuisportaal kan ik WEL zien wie in mijn gegevens heeft gekeken. En daar zijn ze streng in, kortgeleden zijn er twee mensen ontslagen begreep ik die voor de lol hadden zitten neuzen in een bekende NL zijn file, dat volgt blijkbaar - terecht in mijn ogen - een zero tolerance beleid. Zonet nog even gecontroleerd, degenen die in mijn dossier gekeken hebben staan genoemd met hun werkomschrijving (bijvoorbeeld 1e Apoth assistent Backoffice of Medisch secretaresse) met daarbij de afdelingsnaam. Hun privacy is daarmee ook gewaarborgd, dat gaat immers twee kanten uit.
Wat ik daarnaast ook wil is een inzage wie in het ziekenhuis mijn gegevens heeft bevraagd. UIt ervaring weet ik dat medewerkers grasduinen in de medische dossiers.
Dat was ook het geval met Barbie en bijv. de politie bij de 'verkrachtingszaak' van van Persie.
https://www.nu.nl/algemee...an-persie-in-te-zien.html

Voor de BRP (Basisregistratie Personen) geldt volgens mij een bewaartermijn van vijftien of twintig jaar. En volgens mij is die termijn enkele jaren geleden opgerekt als gevolg van een uitspraak van een Europese rechter.

[Reactie gewijzigd door niki_lauda op 2 december 2019 21:07]

Als iemand in je dossier heeft gekeken is het kwaad al geschied daar zouden ze iets aan moeten doen, ik weet van iemand waarbij iemand in zijn dossier heeft gekeken. 8 jaar later kwam hij erachter doordat degene iets zei waarvoor hij dossierkennis zou moeten hebben, ze hebben het nagekeken en inderdaad er is door deze onbevoegde persoon in het dossier gekeken.
Voor hetzelfde geld was diegene nooit gepakt
Het klopt dat het kwaad geschied is wanneer men onterecht een dossier inkijkt.

Maar toch zal dit zinvol zijn omdat het preventief zal werken. Als iedereen weet dat het gelogd wordt en het kan nagekeken worden, zal men minder snel onterecht een dossier inkijken. Als men dan ook nog regelmatig een audit doet op de dossiertoegangen, zullen onterechte toegangen al snel (bijna) nooit meer gebeuren.
Acht jaar later is dan dus de log waarschijnlijk verwijderd.
De log was er nog.
Maar als er regelgeving voor vijf jaar komt waarschijnlijk niet.
Gaat het in dit artikel om mensen die toegang hadden gehad, of mensen die daadwerkelijk ingezien hebben? Dat is nogal een verschil...
De redenatie dat 15 jaar loggen te veel geld zou kosten kan ik niet helemaal volgen. Het is niet alsof de kosten voor opslag door de jaren heen duurder is geworden, eerder veel goedkoper. Dat terwijl de hoeveelheid logging waarschijnlijk niet gelijk zal toenemen. Ook de redenatie dat 5 jaar wel voldoende is omdat de meeste aanvragen binnen die tijd plaats vinden lijkt me niet logisch. Je doet het bewaren niet omdat er binnen een bepaalde tijd de meeste aanvragen komen maar omdat het noodzakelijk of wenselijk is om inzage terug te zien.

Het uitgangspunt dat logs minimaal zo lang bewaart moeten worden als de gegevens van de patient worden opgeslagen + een extra termijn om dat nog te kunnen herleiden lijkt me veel logischer en nuttiger en dan is die 15 jaar veel logischer dan 5 jaar vanuit een standpunt gericht op zogenaamd kosten besparen en zogenaamd vervallen van een nut na een zeer korte tijd over een van de meest gevoelige toegang die er bestaat.
Absurd dat opslagkosten als argument worden gebruikt om de logs niet langer te bewaren. Dat zijn toch wel de minste kosten op alles wat je toch al nodig hebt aan opslag (het hele dossier zelf, incl. scans, foto's, e.d.) en ICT-infrastructuur (software, technici, etc.). Dan maar voor de zekerheid telkens om de ca. 4.8 jaar inzage vragen in je volledige logs?
Dat valt flink tegen. Leveranciers rekenen voor het opslaan van deze logs via 'inkijk' licenties vaak tien duizenden euros. Gewoon een database backup ergens opslaan is vaak niet voldoende, omdat de gegevens dan niet meer goed in te kijken zijn en verbanden tussen de data weg.

Ben hier zelf meerdere keren tegenaan gelopen met vervangingsprojecten van oude ECD's naar nieuwe.

De opslag zelf kost geen drol, dat ben ik met je eens, maar de licentiekosten nekken je.
Dan moeten zorgverleners kiezen voor een leverancier die dat wel kan tegen lage kosten. Als de opslagkosten laag zijn en het puur in licenties zit, dan zijn dat kunstmatige kosten en die kunnen er prima uit. Het is alleen wachten op een leverancier die wel normaal doet.
Eh, dat kan niet in de praktijk. Neem bijvoorbeeld EPIC of HiX. Als je daar eenmaal aan vast zit, dan zit dat systeem door je hele ziekenhuis(!) heen verweven. Ik weet niet of je laatst die docu hebt gezien over de macht van ChipSoft als EPD leverancier? Dat is een niche markt. Er is gewoon geen keuze en je hebt het er maar mee te doen.

Dit is o.a. een oorzaak van de stijgende zorgkosten (en geloof me, die licenties zijn niet mals, ik weet wat 't kost).
En dus lijken die argumenten over de kosten meer een excuus om op kosten van de patient de situatie maar in stand te houden. Het staat de wetgever namelijk ook vrij om binnen de mogelijheden een oplossing via de wet in te bouwen om geen onevenredige kosten te hebben. In plaats daarvan kiest men er dus nu voor om de kosten als argument te gebruiken om het probleem op de patient af te schuiven zodat de zorginstellingen en leveranciers er geen last van hebben. De praktijk is wat de wetgever mogelijk maakt.
En precies daarom is die stomme marktwerking een prima idee geweest ... :)
Het is alleen wachten op een leverancier die wel normaal doet.
Dan moet die leverancier er wel zijn natuurlijk, en als je van 10 jaar geleden al vast zit aan een leverancier en je wilt overstappen heb je ook een issue.

Ik help je wachten, maar ik ben het met je eens!
Ook al stap je over, je blijft alsnog zitten met de bewaarplicht voor je oude systeem. De historische inloggegevens neem je, om logische en technische redenen, niet mee naar je nieuwe omgeving.

Zo zit je alsnog vast aan een mogelijk prijzige database-engine, de know-how om de gegevens eruit te halen en dus je oude leverancier (die waarschijnlijk helemaal niet toeschietelijk is als het om ex-klanten gaat).
Uiteraard kun je niet gewoon een backup opslaan. Maar als je dan toch software+database(s) hebt, dan zou 5 of 15 jaar kunnen opvragen weinig verschil moeten maken. Wellicht op organisatorisch gebied en qua compatibiliteit onderhouden, maar: 1. dat zijn geen opslagkosten, en 2. als je voor een heel land zoiets gaat regelen, investeer dan ook in goede software.
Dat kan op twee manieren opgelost worden: zorginstellingen onderhandelen beter en de wetgever legt ook leveranciers beperkingen op gezien het belang van de gezondheid boven winstbelang. Beiden lijken nauwelijks te gebeuren: zorginstellingen zijn blijkbaar niet heel goed in onderhandelen over prijs en kwaliteit om hun patienten te beschermen en de politiek geeft de voorkeur aan winst maken aan zorg in plaats van prioriteit op de kwaliteit en rechten van patienten te leggen. En door elke keer bij kritiek maar te gaan mekkeren dat je als zorginstelling, ingehuurde zzp-er etc weinig zou kunnen doen of als politiek steeds maar de voorkeur voor winst boven zorg te stellen gaat er inderdaad ook niet veel veranderen. Het ligt er dus maar net aan waar je zelf de prioriteiten legt als men echt zou willen voor het verdiende salaris.
Vergis je niet hoe veel data dergelijke logs kunnen veroorzaken en mogelijk een andere backup procedure nodig hebben dan de rest van de data die sowieso 5 jaar bewaard moet worden voor de belastingdienst (7 jaar in het geval van vastgoed).

Daarnaast moet er ook een redelijkheid aan vastzitten en natuurlijk de privacy van de mensen die het benaderen. ;-)
Het zal best oplopen, maar een dossier wordt doorgaans niet voortdurend opgevraagd, alleen wanneer er mee gewerkt wordt. Kern van het probleem zit ongetwijfeld in de complexiteit van de software, zodat je bijvoorbeeld privacy kan garanderen. Maar als je dat eenmaal hebt gebouwd, dan maakt die 5 of 15 jaar toch relatief weinig uit. Of dat zou zo moeten zijn, als je dingen zelf onder controle hebt i.p.v. volledig afhankelijk te zijn van wurgcontracten van derde partijen, zoals in dit draadje gesuggereerd wordt. En dat geloof ik direct, maar dan is de oorzaak van hoge kosten dus de afhankelijkheid van andere partijen, niet de opslagkosten.
En dan zijn die logs ook nog is cold storage.
Nee dat zijn ze niet. Die logs zijn online nodig om de controleverzoeken af te kunnen handelen.

Bovendien zijn die log files net zo privacy gevoelig als de data zelf:
Log entry dag 1: Dokter X, geslachtsziekte specialist, kijkt in dossier van patiënt Y, bekende Nederlander.
Log entry dag 1: Assistente van Dokter X, kijkt in dossier van patiënt Y.
Log entry dag 2: Apotheker Z, kijkt in dossier van patiënt Y.

Die logs moeten dus op een soortgelijke manier, maar niet exact hetzelfde, beschermd worden als de originele data. Dat kost dus ook weer geld.
Maar het systeem om te loggen is er al. Het gaat hier om deze logs langer bewaren. De marginale meerkosten zijn dan nihil. Dat de leverancier daar wel veel geld voor vraagt is van de zotte.
Het nadeel is een beetje dat het niet zozeer om enkele records gaat.
De logging die bijgehouden moet worden gaat niet alleen om het feit welke gebruiker toegang heeft gehad, maar juist ook welk specifiek onderdeel.
Alle acties die gebruikers uitvoeren moeten daarin staan. Daarbij gaat het niet alleen om benadering van gegevens, maar ook het aanmaken, bewerken en verwijderen ervan.
Bij ons in de instelling zie ik ook dat dit gigantisch uit de hand loopt als je dit lange tijd wilt bewaren.
Er worden namelijk niet alleen personen gelogd, maar ook systemen die data raadplegen (data warehouse, controle mechanismes, berekeningen etc).
Ik vind het geen overtuigend argument dat storage hét probleem is, maar ik kan me volledig inleven met onze ervaring dat logging bijhouden in een SQL database, volledig geïndexeerd, een heftige klus is.
Bij ons in de instelling zie ik ook dat dit gigantisch uit de hand loopt als je dit lange tijd wilt bewaren.
Er worden namelijk niet alleen personen gelogd, maar ook systemen die data raadplegen (data warehouse, controle mechanismes, berekeningen etc).
Controle mechanismes / geautomatiseerde processen zijn zo uit de logging weg te halen zodat je enkel de relevante gebruikerslogging overhoudt.
Verdeel je data-gebruikers gewoon in (grofweg) 3 groepen :
- Mensen (altijd loggen)
- Automatische controles (niets loggen of slechts met minder retentie)
- Automatische data-uitwisselingssystemen (altijd loggen)
Dat is natuurlijk een mooi idee, maar er is door de standaardiseringsorganisaties vastgesteld welke records aangemaakt moeten worden en gebruikt moeten worden voor een goede trail.
Dit is allemaal vastgelegd in de frameworks waarvan hier een technisch voorbeeld: IHE profile ATNA
Je kunt daar natuurlijk een eigen implementatie van maken, maar als iedere zorginstelling zijn eigen implementatie heeft heb je nog niets...
Als je volgens deze weg de audits opbouwt, heb je grote hoeveelheden data, SQL servers, backups etc.
Dat kan ik me ook goed voorstellen, maar juist vanwege wat je beschrijft lijken opslagkosten me daar niet zo'n grote factor in, vergeleken met het opstellen en onderhouden van het datamodel zelf, en van de software, tests, etc. Ik kan me voorstellen dat het op de lange termijn extra werk geeft als je het datamodel wil veranderen, maar hoe snel gaat dat? Juist als het allemaal gestandaardiseerd is zou je verwachten dat e.e.a. niet al te snel verandert?
Helemaal mee eens, de standaardisatie is echt juist ervoor om dit houdbaar te krijgen over meerdere jaren.
Zo kunnen mensen deze informatie krijgen.
Ik ben er ook van overtuigd dat het opslag niet de doorslaggevende reden kan zijn, hoewel wij voor 1 dag logging 4 GB aan database nodig hadden.
Als je dan ook nog een zekerheid van opslag wilt bieden en backups wil draaien is het nu eenmaal veel, zeker voor logfiles. Als je dat 15 jaar gaat bewaren dan heb je nog wat moois aan de hand.

Al met al zijn dit nooit de grote kosten, maar het kan wel een lastige overhead zijn, zeker omdat je zaken aan het bijhouden/gebruiken bent die je juist wilt archiveren en niet actief hebt als een EPD of een ander 'actief' systeem.
Ik zou niet echt weten welke reden je zou verdoezelen hiermee?
Maak eerst maar een systeem dat de burgers zelf bij hun eigen medische dossier kunnen.. Gewoon via DigiD of iets dergelijks. Dan alles maar overal apart en dat je het zelf moet aanvragen bij de instellingen waar je ooit eens geweest bent.
Dat wordt nu uitgerold. Het VIPP is daarvoor gemaakt en in Juni 2020 moeten alle nederlandse burgers inzage hebben in het eigen dossier.
Daar zullen straks ook regels bijkomen om de logfiles te bekijken.
MedMij en VIPP omschrijft daar interessante verhalen bij
DigiD is grappig genoeg alleen voor overheidsinstellingen of organisaties die een overheidstaak uitvoeren. Is niet direct wat mis mee maar dat betekend dat je als softwareleverancier voor ziekenhuizen moet gaan vragen of elk ziekenhuis een DigiD koppeling wil aanvragen voor jou softwarepakket die je officieel niet mag hergebruiken tussen ziekenhuizen. Ben er helemaal voorstander van, weet alleen niet of het realistisch gaat gebeuren omdat digid hier dus zelf deels voor gaat liggen.
Ziekenhuizen kijken ook alleen maar naar je IDnummer. Moet kunnen lijkt me..
Sorry maar dit is fout. De logs zouden je hele leven + 5 jaar opgeslagen moeten zijn.
Stel je krijgt een complicatie nadat je 14 jaar geleden bent geopereerd. Dan kan het cruciaal zijn om dan op te zoeken wie je heeft geholpen.

Of een arts doet zijn werk niet goed.
Als mensen toestemming geven dan kan het onderzocht worden.
14 jaar is conform het advies van de AP. Jammer dat dat niet is overgenomen. Maar ik doelde eigenlijk op 'je hele leven + 5 jaar'.
Ik schreef 14 als rondom getal. Misschien was 15 jaar beter. Het zou je maar gebeuren dat je die informatie nodig hebt. Je kan je dan zien welke mails je 15 jaar geleden hebt verstuurd naar iemand. Maar niet meer wie aan je lijf heeft gezeten of voor je heeft beslist. En waarom dat is gedaan.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True