Zorginstellingen en ziekenhuizen moeten voortaan minimaal vijf jaar blijven loggen wie er toegang kreeg tot medische dossiers. Minister Bruins van Medische Zorg gaat daarin niet mee met de aanbeveling van de Autoriteit Persoonsgegevens, die vijftien jaar voorstelde.
Bruins schrijft dat in een brief aan de Tweede Kamer. Hij reageert daarmee op Kamervragen die volgden naar aanleiding van een bericht in NRC. Daarin staat dat het voor veel patiënten moeilijk is om op te vragen wie er in een medisch dossier heeft gekeken. Bruins voegt de eis toe aan het Besluit Elektronische Gegevensverwerking door Zorgaanbieders. In het besluit staat dat zorgaanbieders minimaal vijf jaar een log moet bijhouden van welke medewerkers op welk moment toegang hebben gehad tot het medisch dossier van een patiënt. Zulke aanbieders mogen ook langer loggen als zij dat willen.
Bruins neemt de aanbeveling van de Autoriteit Persoonsgegevens daarbij niet over. De privacywaakhond adviseerde om de logperiode op vijftien jaar te zetten. "De ervaring leert dat de meeste verzoeken voor inzage in de logging binnen een termijn van vijf jaar worden gedaan", schrijft Bruins. Ook zegt hij dat de kosten een rol spelen. Als logs langer bewaard worden zijn de kosten van opslag hoger, redeneert de minister.
Onder zowel de oude Wet Bescherming Persoonsgegevens als de AVG is het verplicht om toegangslogs bij te houden voor medische info, maar er was nog geen verplichte duur voor. Volgens Bruins is het 'belangrijk dat mensen regie hebben over hun gegevens', en kunnen zij met de logs zien of 'verwerkingen in het medisch dossier rechtmatig hebben plaatsgevonden'. De Autoriteit Persoonsgegevens gaf eerder dit jaar al een boete aan het Haagse Haga Ziekenhuis omdat dat het autorisatie- en logbeleid niet goed op orde had.