CBP: zorginstellingen zijn onzorgvuldig met epd's

Het College bescherming persoonsgegevens oordeelt na onderzoek bij negen ziekenhuizen dat de beveiliging van elektronische patiëntendossiers niet in orde is. Hierdoor loopt de privacy van patiënten gevaar. De toezichthouder wil dat de instellingen de situatie snel verbeteren.

In het CBP-rapport Toegang tot digitale patiëntendossiers binnen zorginstellingen wordt beschreven hoe negen ziekenhuizen de interne beveiliging hebben ingericht. Daarbij gaat de aandacht vooral uit naar elektronische patiëntendossiers. Deze mogen volgens de wet alleen worden ingezien door personen die een directe behandelrelatie hebben met een patiënt. Het CBP concludeert echter dat geen van de onderzochte ziekenhuizen zich volledig aan de normen houdt.

Volgens de toezichthouder wordt in veel gevallen niet structureel via logging bijgehouden wie wanneer een bepaald elektronisch patiëntendossier opvraagt, terwijl toegang tot bepaalde gegevens is gebaseerd op de functie van een medewerker. In sommige gevallen zouden de technische mogelijkheden voor logging ontbreken. Ook zouden sommige zorginstellingen vrezen dat software te veel wordt vertraagd door logging in te schakelen.

Het CBP stelt vast dat er in de zorgsector te weinig urgentie wordt gegeven aan een goede interne beveiliging van epd's, terwijl de privacy bij bijvoorbeeld bekende Nederlanders of leden van de raad van bestuur wel goed gewaarborgd zou zijn. Het CBP wil dat de onderzochte instellingen snel stappen zetten om de beveiliging van epd's intern te verbeteren. Hoewel de toezichthouder de mogelijkheid heeft om dwangsommen op te leggen, is dat nog niet gebeurd.

IT-banen

Reacties (47)

the_shadow 18 juni 2013 16:20

Ik moet zeggen dat het rapport wat als bron voor dit artikel genoemd wordt niet bijzonder uitgebreid er uit ziet. Bijvoorbeeld:

Het onderzoek strekte zich uit tot negen zorginstellingen, waaronder algemene ziekenhuizen, ggz-instellingen en huisartsenposten.

9 zorginstellingen? Sorry, maar dat is onmogelijk representatief te noemen voor alle zorginstellingen in Nederland. Er zijn alleen al 348 ziekenhuizen, meer dan 100 GGZ instellingen en 8747 huisartsen in Nederland.

Zeker in het geval van een huisartsenpost denk ik dat de door het CBP aangehaalde Burgerlijk wetboek artikel 7:457, lid 1 en 2 ook op analoge manier niet te garanderen is. Het is waar dat het digitaal makkelijker is om bij gegevens te komen, maar dit artikel zegt dat het onmogelijk moet zijn om bij de patientengegevens te komen, iets wat op papier al niet het geval was. Hier moesten beleids- en gedragscodes voor zorgen. Het CBP constateert dat dat ook in sommige gevallen zo is bij de digitale systemen (onder de afweging van goede patientenzorg door het bestuur van de zorgsinstelling), maar dat dit op geen manier technologisch wordt afgedwongen.

Een punt waar ik het wel mee eens ben, is het feit dat er in sommige gevallen niet structureel gelogd wordt, iets wat voor nacontrole natuurlijk critisch is, maar het merendeel van de instellingen doet dit wel netjes.

Het CBP is zelf ook niet altijd duidelijk, aangezien er in de eigen regels gesproken wordt over "passende beveiliging". Ze melden in deze publicatie het volgende:

Het CBP heeft inmiddels
ook in de publicatie Richtsnoeren beveiliging van persoonsgegevens aanbevolen om ter
bepaling van hetgeen in een concrete situatie ‘passend’ is in de zin van artikel 13
Wbp, gebruik te maken van algemeen geaccepteerde beveiligingsstandaarden.

Tsja, lastig om te voldoen aan richtlijnen die pas na afloop van een onderzoek komen.

De conclusies die het CBP trekt zijn in mijn ogen, gezien de vrij minimale steekproef, niet representatief voor de volledige zorgsector in Nederland. 9 van de ongeveer 9000 instellingen onderzoeken, 0.1%, dat kan je toch moeilijk als groot onderzoek beschouwen. Gezien de claims die gemaakt worden had het het CBP gesierd om meer (geannonimiseerde) informatie te geven over de instellingen die onderzocht zijn.

flabber @the_shadow • 18 juni 2013 17:29

Ik moet zeggen dat het rapport wat als bron voor dit artikel genoemd wordt niet bijzonder uitgebreid er uit ziet. Bijvoorbeeld:

[...]
9 zorginstellingen? Sorry, maar dat is onmogelijk representatief te noemen voor alle zorginstellingen in Nederland. Er zijn alleen al 348 ziekenhuizen, meer dan 100 GGZ instellingen en 8747 huisartsen in Nederland.

Uiteraard is 0,1% niet representatief voor de hele sector, maar 9 van de 9 is wel meer dan zorgwekkend.
Als je 0,05% van de chirurgen en OK-medewerkers zou onderzoeken is dat belachelijk weinig, maar als al die onderzochte artsen nooit hun handen wassen voor een ingreep, dan maakt mij het percentage niets uit. Dan moet er actie ondernomen worden!

Zeker in het geval van een huisartsenpost denk ik dat de door het CBP aangehaalde Burgerlijk wetboek artikel 7:457, lid 1 en 2 ook op analoge manier niet te garanderen is.

Dat staat los van dit onderzoek of van het CBP, deze toetst alleen de praktijk met de regelgeving en stelt vast dat die niet overeenkomen.
Als die bepalingen niet haalbaar zijn, dan moet een zorginstelling dat direct aankaarten op het moment dat men er zelf tegen aanloopt of als de regels veranderen.
Na het onderzoek roepen dat iets niet mogelijk zou zijn is mijns inziens een slap argument.

Het CBP is zelf ook niet altijd duidelijk, aangezien er in de eigen regels gesproken wordt over "passende beveiliging". Ze melden in deze publicatie het volgende:
[...]
Tsja, lastig om te voldoen aan richtlijnen die pas na afloop van een onderzoek komen.

Wederom, het CBP bepaalt de regels niet, die zijn al vastgelegd in de wet.
Passende beveiliging is juist een goed standpunt omdat situaties, mogelijkheden en implementaties kunnen verschillen. Iedere zorginstelling is dus vrij de invulling op zijn eigen manier te doen, mits het eindresultaat maar voldoet.
Liever deze formulering dan een in steen gebeitelde set regels.

[Reactie gewijzigd door flabber op 23 juli 2024 07:27]

incaz @the_shadow • 18 juni 2013 18:44

Het betreft overigens een steekproef onder algemene ziekenhuizen, daar zijn er zo'n 92 van, ggz (niet nagezocht) en huisartsenposten, daarvan zijn er 128 (cijfers 2010), dus niet losse huisartsenpraktijken.

Dat maakt de percentages in elk geval al anders, bovendien zijn dit de meest centrale instellingen, en betreft het dus een heel groot aantal patientgegevens.

proatjeboksem 18 juni 2013 15:29

jahoor, daar zijn we weer....

Het is erg makkelijk gesteld dat de ziekenhuizen hun epd maar goed moeten beveiligen.

"het epd" in de ziekenhuizen staat feitelijk nog in de kinderschoenen en daarnaast heeft men wel iets anders aan het hoofd / budget.

Het uberhaupt ontsluiten van het EPD en alle gegevens in een ziekenhuis is al lastig genoeg met de veelvoud van leveranciers en software binnen een ziekenhuis (gemiddeld 80 databases, volgens een oud onderzoek)

Daarnaast zijn er de zorgverleners (Huisarts, Apotheek, Tandarts, Fysiotherapeut, Psychiaters, etc, etc, etc) die het epd (van het ziekenhuis, niet het landelijke) willen raadplegen en dat geintegreerd willen zien in hun eigen houtje touwtje applicatie. (en niet bij ziekenhuis 1 zo inloggen en bij nr. 2 op een andere manier)

Die beveiliging zou geborgd moeten worden door open standaarden en een veilige infrastructuur
zaken die ziekenhuizen moeten kunnen afdwingen bij hun leveranciers d.m.v. wetten en samenwerkingsverbanden.

Laat het CPB daar maar eens hun lichtje opsteken.

Grrrrrene

@proatjeboksem • 18 juni 2013 16:15

Ik begrijp dat het EPD niet zo'n eenvoudig verhaal is en dat het moet samenwerken met legio zorgverleners met elk hun eigen stukje software / netwerk. Maar ik vind een zin als "Ook zouden sommige zorginstellingen vrezen dat software te veel wordt vertraagd door logging in te schakelen." echt zorgwekkend

Dus omdat de gebruikerservaring voor de zorgverlener minder goed wordt, moet de privacy van de patiënt (die mijns inziens VEEL zwaarder weegt) maar geslachtofferd worden? WTF man?

Gaat mijn bank straks ook onversleuteld met mij communiceren omdat de server zo druk is met en-/decrypten? Dan breid je de capaciteit toch uit? Zet er een paar nieuwe servers / PC's neer als het traag dreigt te worden.

Het probleem is mijns inziens dat een en ander er gewoon doorgedrukt is, tegen de wil van specialisten en de patiënten in. Zo'n groot project als dit moet je niet zo gehaast invoeren en al zeker niet al ICT'ers beginnen te stuiteren dat ze allerlei wazige netwerken en databases aan elkaar moeten knopen. Zorg dan eerst eens voor een nationale aanbesteding en verplicht alle zorgverzekeringen van de daaruit volgende software gebruik te maken.

[Reactie gewijzigd door Grrrrrene op 23 juli 2024 07:27]

Remz @Grrrrrene • 18 juni 2013 19:22

Ik heb zelf ervaring met het beheren van de servers van een EPD en weet wat voor servers hiervoor nodig zijn. Ik heb ervaring met 1 pakket wat door veel zorginstellingen wordt gebruikt. Dit pakket is zeer I/O intensief en de database server krijgt enorm veel te verwerken. Het is niet simpel gezegd dat je even een servertje er bij plaatst om meer capaciteit te krijgen om logging aan te zetten. Hierbij moet je naar meerdere aspecten kijken namelijk storage, netwerk, servers. Voor een gemiddeld ziekenhuis kost een extra servertje bijplaatsen al tonnen en het budget voor de ICT is altijd te laag.

Logging staat in de meeste gevallen aan of er zijn pakketten te koop bij derde partijen om deze logging mogelijk te maken. Maar het probleem ligt bij de controle. Van een aantal gevallen kan je wel raden dat er mensen gaan kijken(bekende nederlanders bv.) maar als het om bekenden gaat is het een stuk lastiger om dit op te sporen.

Waar de meeste mensen de fout in gaan bij het lezen van dit soort artikelen is dat ze denken dat het EPD het projectje van de overheid is. In dit artikel gaat het EPD over ZIS(Zorg informatie systeem). Er zijn meerdere leveranciers van ZIS en dit wordt daadwerkelijk gebruikt om de dossiers in te zien.

Misschien dat Tweakers hier wat meer nadruk op kan leggen omdat 80% aan iets heel anders denkt bij de afkorting EPD.

ebia @Remz • 18 juni 2013 19:49

Reactie op je eerste alinea: Dit is toch allemaal een kwestie van een normale aanbesteding doorlopen? Je kiest nu eenmaal voor een product, op basis van de criteria die je er vooraf hebt opgesteld. Dat je achteraf bagger krijgt komt maar door één ding: garbage in, garbage out.

Ook wel begrijpelijk natuurlijk, want ziekenhuizen zijn in de eerste plaats ziekenhuizen en geen ICT bedrijven (die soort van moeten weten hoe het wel moet). Dus hebben ze zich of niet goed laten adviseren en/of geen goede controle gehad over het project.

Een gefaald ICT project is vrijwel altijd de schuld van de kopende partij, dus laten we vooral niet het product zelf de schuld geven. Het product kan inderdaad bagger zijn zoals je zegt, maar niemand heeft je gedwongen het te kopen...

SirBlade @ebia • 18 juni 2013 22:16

De keus voor een bepaald pakket wordt vaak door de gebruikers gemaakt en de IT organisatie heeft het maar uit te voeren. Zaken als veiligheid, performance, stabiliteit en beheersbaarheid zijn volkomen onbelangrijk in het selectieproces.

Hetzelfde zie je ook veel met software for gebouwbeheer.

ebia @SirBlade • 19 juni 2013 01:40

Dat de gebruikers het pakket selecteren is alleen maar goed. Maar het zijn juist diezelfde gebruikers die ook iets zouden moeten zeggen over veiligheid, performance, stabiliteit en beheersbaarheid! Het is immers hun systeem, hun data, hun verantwoordelijkheid.

Zoals je zegt, IT faciliteert alleen, en moet daarom geen verantwoordelijkheid dragen over gefaalde projecten of falend management. Als er geen SLA is, is het alleen maar makkelijk, want dan hoef je die ook niet na te komen.

SteeringWheel @ebia • 18 juni 2013 20:38

In een markt waar weinig concurrentie is, kies je dan helaas voor de minst slechte partij...

Verwijderd @proatjeboksem • 18 juni 2013 15:39

Onzin: al die zorginstellingen en specialisten willen zelf zo graag bedrijfje spelen en accepteren gretig de bijbehorende salarissen voor raden van bestuur, specialisten en managers, en dan nu ineens terugrennen naar de overheid als er een fatsoenlijk computersysteem moet komen? Waar betalen we die mensen dan voor?

proatjeboksem @Verwijderd • 19 juni 2013 19:34

om ons van onze kwalen af te helpen natuurlijk.

chrisboers 18 juni 2013 15:58

Voor iedereen die door zijn zorgverlener voor de keuze gesteld wordt: http://www.ikgeentoestemming.nl/waarom-geen-toestemming.html

the_shadow @chrisboers • 18 juni 2013 16:24

Dit artikel gaat over de toegang van EPDs binnen ZISsen, niet over EPD uitwisseling via het LSP. Om aangesloten te worden op het LSP gelden namelijk redelijk strakke regels waar het ZIS aan moet voldoen (logging e.d.), punten van kritiek die het CBP nu heeft. Met andere woorden: voldeden deze 9 zorginstellingen aan de eisen van het LSP, dan had het CBP mogelijk minder commentaar gehad over de ZIS implementatie

[Reactie gewijzigd door the_shadow op 23 juli 2024 07:27]

tweaker2010 18 juni 2013 15:24

Wel een mooie titel: zorginstellingen die onzorgvuldig zijn

Maar goed, ook al zou logging mogelijk zijn, dat blijft controle achteraf. Het gaat om preventie en is juist belangrijk dat alleen personen met de juiste rechten en behandelrelatie hier toegang tot hebben.

MAX3400 @tweaker2010 • 18 juni 2013 15:29

Waarom is logging achteraf; ik denk dat 99% van de systemen waar een vorm van logging (in dit geval het wegschrijven van gegevens met betrekking tot het openen en/of wijzigen van EPDs), er meteen een alert aan kan hangen zodat er zo goed als realtime ergens een "persoon" wordt geinformeerd dat het EPD wordt geraadpleegd.

Ik snap de ophef eigenlijk niet; maanden geleden waren er al huisartsen op TV (1 Vandaag) die niets zagen in het EPD omdat ze niet universeel / single sign-on even alles konden inzien; ook toen was er een een kleine vorm van kritiek dat inderdaad beveiliging en logging / auditing niet aanwezig was.

Al met al zijn we nu dus maanden verder en is het zoveelste geval van onveiligheid weer geconstateerd.

DutchReaper @MAX3400 • 18 juni 2013 15:37

Het is ook de bedoeling dat er alert ontstaan als er iets raars gebeurt, maar het kan voorkomen dat iemand iets verzint om de alert te kunnen omzeilen. Het is dan van belang dat het nog steeds mogelijk is om de schade te kunnen achterhalen. En dat kan alleen via logging.

Als voorbeeld heb je bijvoorbeeld voor iedere arts een limiet gezet van 100 patiënten p.dag. Alleen waren er artsen die alleen kleine zaken bekeken en er dus meer dan 100 behandelde. Het limiet is daardoor verhoogd naar 200. Nou heeft een hacker toegang gekregen tot een computer van een arts die maar 10 patienten op een dag behandeld. Hij kan dan dagelijks 189 dossiers downloaden zonder dat er een melding komt.

Natuurlijk kan je zeggen dat het limiet per afdeling hoort of dat er voor het maximum moet worden gekeken naar de laatste 3 maanden. Maar dan nog zal je uitzonderingen vinden in het ziekenhuis en mogelijkheden vinden om het limiet te manipuleren.

En daarom is het van belang dat er ook een logging moet zijn, deze kan dan na een latere periode worden bekeken.

ebia @DutchReaper • 18 juni 2013 19:37

Een arts is ook maar een 'gebruiker' van een computersysteem, en die gebruikers zijn vaak creatief genoeg om om belemmeringen heen te werken als het ze dwars zit. Als een bepaalde arts op zijn limiet zit logt hij/zij gewoon in op het account van een ander (die daar vaak ook bewust aan meewerkt). Onder het mom van 'de patient gaat boven alles'.

Kortom, limieten opwerpen heeft in de praktijk weinig nut op een plek waar iemand anders in de nabijheid dezelfde toegangsrechten (en limieten) heeft.

Een rode lijn in al dit soort projecten is dat men het altijd als een ICT probleem ziet, of de ICT als de oplossing voor het probleem. Het probleem zit echter veel dieper. Het gaat hier bijvoorbeeld ook om de machtsverhoudingen ziekenhuis vs arts. Want ondanks dat het ziekenhuis 'de baas' is, heeft in de praktijk de arts het het meest voor het zeggen.

Wat je hier in feite zou moeten hebben is een zware policy die afdwingt dat men zeer zorgvuldig omgaat met deze ICT systemen, met zware sancties (tot ontslag) bij herhaaldelijk foutief gebruik (en dan heb ik het niet eens over fraude en misbruik). Dat is echter een utopie, want in een ziekenhuis is dat immers bijna niet uitvoerbaar omdat het ziekenhuis bestaat bij de gratie van de artsen die er willen werken. Pas als je dat op één of andere manier kunt doorbreken, krijg je een normale machtsverhouding die je ook op een gebruikelijke manier kunt managen. De manier waarop dat nu gebeurt is gewoon niet houdbaar.

oehoe @tweaker2010 • 18 juni 2013 15:29

Ik zou verwachten dat zowel juiste rechten voor inzage als logging al bij het ontwerp een hoge prio zouden hebben. En het hele ontwikkeltraject door zouden blijven houden.

Belachelijk dat er een tweedeling ontstaat tussen BN'ers en notabene leden van de RVB van de zorginstellingen zelf (hoezo hypocriet?) en "gewone" patiënten.

Verwijderd 18 juni 2013 15:44

Zit ik nu wel of niet ongevraagd in het EPD??

flabber @Verwijderd • 18 juni 2013 15:55

Waarschijnlijk zit je al in meerdere E.P.D.'s, namelijk in die van alle zorginstellingen waar je bent geweest en een behandeling/consult hebt ondergaan.

Het gaat hier om EPD in de zin van electronische dossiers, hetgeen volgens mij elke zorgverstrekker inmiddels wel heeft (met uitzondering van wellicht een enkele principele arts met solo-praktijk).
Het gaat dus niet om het 'landelijk EPD' waarvoor je een voorkeur mocht aangeven.

Maar je staat al lang electronisch geregistreerd, wees maar niet bang!
of eigenlijk mischien juist wel.....

Woy Moderator PRG/SEA @Verwijderd • 18 juni 2013 15:59

Er bestaat niet zoiets als een centraal EPD. In feite hebben alle zorginstellingen gewoon hun eigen patienten dossier, en ik neem aan dat dat tegenwoordig wel grotendeels electronisch is.

Het huidige EPD waar altijd over gesproken wordt is eigenlijk alleen een infrastructuur voor zorginstellingen om deze gegevens sneller uit te kunnen wisselen.

Als jij dus bij een zorginstelling bent geweest zullen deze gegevens wel in een EPD staan. Die gegevens kunnen eventueel opgevraagd worden door een andere zorginstelling.

chrisboers @Verwijderd • 18 juni 2013 15:55

Niet. Iedereen moet zelf toestemming geven om in het EPD opgenomen te worden.

the_shadow @chrisboers • 18 juni 2013 16:22

Niet. Iedereen moet zelf toestemming geven om in het EPD opgenomen te worden.

Maak voor de gein het verschil tussen het Landelijk Schakelpunt en een Elektronisch Patienten Dossier. Ja, er moet toestemming gegeven worden om gegevens over jou te delen tussen zorginstellingen via het LSP, maar opname van jouw gegevens in EPDs, dat is al bijzonder gebruikelijk.

Remz @chrisboers • 18 juni 2013 19:24

EPD is een verzamelwoord. Je kan beter ZIS(Zorg informatiesysteem) zeggen.
Als je naar een ziekenhuis bent geweest, dan sta je op de ZIS-servers van dat ziekenhuis met al je gegevens. Denk maar niet dat ze nog met papier werken.

Eloy 18 juni 2013 15:25

Het gevaar bij EPD's is juist het misbruik van gegevens door mensen die er legitiem toegang tot hebben.

DutchReaper @Eloy • 18 juni 2013 15:29

De bedoeling is dat je als dokter niet snel de nieuwe man van je ex kan opzoeken. Alle informatie die namelijk in het dossier staan mag hij helemaal niet weten.

En zonder logging, is er het gevaar dat iemand een lek vind en daarmee van duizenden mensen de gegevens ophaalt, zonder dat ze weten wie het was en welke mensen gecompenseerd moeten worden.

Waterbeesje @Eloy • 18 juni 2013 16:01

Het gevaar bij EPD's is juist het misbruik van gegevens door mensen die er legitiem toegang tot hebben.

Daar heb je een punt, hoewel ik niet zie welk voordeel de arts kan hebben hierbij. Tenzij je een BN'er bent en voor een interessante soa laat behandelen... daar betalen kranten en diverse tijdschriften goed voor. Maar die zouden wel goed beschermd zijn

Neemt uiteraard niet weg dat ik het ook niet fijn vind dat iedere arts in het ziekenhuis zomaar kan zien welke psychische behandelingen ik heb ondergaan, wanneer ik mijn been brak en wanneer [BEESJE] zijn bloedwaarden niet in orde waren. Maar dat is iets waarvoor aparte toestemming zou moeten worden geimplementeerd in de bestaande (vooral regionale) systemen.

Of zelfs dat een verzekeraar zich "arts" gaat noemen...

[Reactie gewijzigd door Waterbeesje op 23 juli 2024 07:27]

Hasosoft

18 juni 2013 15:21

Ik denk dat niemand dit bij de invoering verwacht had...

Als al na een paar weken blijkt dat alle medewerkers (die bij het epd kunnen) overal bij kunnen omdat enkel de html, of wat het ook is, verborgen is.

Dan verbaast het me niets dat er in combinatie met het gemiddelde niveau van beveiliging bij dit soort instellingen helemaal niets wordt.

[Reactie gewijzigd door Hasosoft op 23 juli 2024 07:27]

freaky @Hasosoft • 18 juni 2013 16:57

Ik denk dat niemand dit bij de invoering verwacht had...

Nee hoor, slechts 99% van het ziekenhuis. Ze hebben er gewoon schijt aan. En begrijpelijk ook, die enorme management drang (ook naar statistieken en managen om te managen) kosten kapitalen. En niet alleen financieel... Mijn vriendin werkt in het ziekenhuis.

Voor EPD:
90% van de tijd bezig met/voor de patient

Na EPD:
70% van de tijd bezig met bijwerken EPD - en er moeten mensen uit (verplegend personeel uiteraard - managers hebben ze nog niet genoeg nl...).

3x raden waarom zorg zoveel kost.

Hasosoft

@freaky • 18 juni 2013 18:51

Het was inderdaad mooi geweest als extra-tje, om het voor vervolg afspraken makkelijker te maken. Volgens mij komt het echter vrijwel nooit voor dat meer bureaucratie zorgt voor een soepelere proces stroom.

Ze hadden het inderdaad nooit moeten forceren, verplegend en ander personeel zit daar helemaal niet op te wachten en als ik zie hoe het hier in de buurt gaat (Achterhoek) dan hebben de meesten er niet eens fatsoenlijke training in gehad.

Tha_Butcha @freaky • 18 juni 2013 22:37

Ow okay:

1e keer raden: Bestuurder VUmc kreeg half miljoen mee
2e keer raden:1,4 miljard euro winst voor zorgverzekeraars in 2012
3e keer raden:Ziekenhuis vecht schadevergoeding chirurg aan

Sonnema1981 18 juni 2013 16:12

Ik ben een voorstander van een EPD. Echter laat dit bericht weer zien dat de veiligheid/privacywaarborging nog te wensen overlaat.

Ik wil als patient van elke raadpleging in mijn dossier een melding ontvangen. Welke zorginstelling met reden raadpleging wil ik daarmee inzichtelijk hebben. Daarnaast moet de veiligheid ook 99,9% gewaardborgd zijn en door een onafhankelijke partij worden gecertificeerd.

Ryack @Sonnema1981 • 18 juni 2013 16:27

Dit gaat niet over het landelijke EPD. Dit gaat over het EPD dat in het ziekenhuis zelf wordt gebruikt.

Het zou prettig zijn als het technisch mogelijk zou zijn om patienten automatisch op de hoogte te brengen van toegang tot hun gegevens. En een 99.9% garantie toe maar. Zorg jij er ook voor dat de ziekenhuizen een groter budget krijgen? De kosten van de gezondheidszorg mag dan flink zijn gestegen, maar de opbrengsten gaan vooral naar de verzekeraars, de specialisten en leveranciers. De ziekenhuizen krijgen steeds minder geld waar ze steeds meer mee moeten doen.

Eigenlijk zouden de mensen van het CBP, de politiek en een flink aantal van de reageerders hier gewoon eens een paar dagen mee moeten draaien in een ziekenhuis. Er komt veel meer bij kijken dan eventjes wat rechten zetten. De ziekenhuizen zijn voor de ZIS'en afhankelijk van maar een paar leveranciers en dan heb je al snel niet veel te vertellen als klant.

Sonnema1981 @Ryack • 18 juni 2013 16:53

Wanneer een zorginstelling onjuist gebruik kan maken van de EPD is dat dus de verantwoordelijkheid van de zorginstelling? Volgens mij is er dan iets mis met de EPD zelf. Deze zou zo ingericht moeten zijn dat dit niet onjuist gebruikt kan worden.

Wanneer het budget niet voldoende is om de privacy te garanderen is het product niet klaar voor de markt. Meer budget of geen go-live.

Bij wie liggen de kosten van het EPD eigenlijk? Zorgverzekering of zorginstelling of .....?

SirBlade @Sonnema1981 • 18 juni 2013 22:44

Het probleem met EPD's is dat om ze goed te laten functioneren je eigenlijk nauwslijk ACL's kan toepassen. De arts die je behandelt moet natuurlijk toegang hebben. En zijn directe collega's, want die vervangen hem als hij zelf een dagje ziek is. En alle assistenten van al die artsen, want die artsen zijn veel te druk/duur/belangrijk om zelf die dossiers bij te houden.

Dan ga je vervolgens naar een ander soort arts binnen dezelfde organisatie, dan moet die kunnen zien wat de eerste arts heeft gedaan om conflicten tussen medicijnen te voorkomen. En aangezien de patient in het algemeen niet wil wachten tot de ACL's op een EPD zijn aangepast voor iedere arts die ze bezoeken is de enige oplossing al het medisch personeel op een locatie toegang geven tot de EPD's.

frickY 18 juni 2013 15:52

Hier zakt laten we maar zeggen mijn broek vanaf.

Je moet zelfstandige partijen ook niet individueel oplossingen voor een gezamenlijk probleem laten verzinnen en implementeren.
Als is het ook wel een beetje de ziekenhuizen zelf te verwijten dat ze niet gezamenlijk een werkgroep beginnen en tot één oplossing komen, maar vanuit de wetgever en initiatiefnemers mag hier ook best wat verder over worden nagedacht.

the_shadow @frickY • 18 juni 2013 16:24

Hier zakt laten we maar zeggen mijn broek vanaf.

Je moet zelfstandige partijen ook niet individueel oplossingen voor een gezamenlijk probleem laten verzinnen en implementeren.
Als is het ook wel een beetje de ziekenhuizen zelf te verwijten dat ze niet gezamenlijk een werkgroep beginnen en tot één oplossing komen, maar vanuit de wetgever en initiatiefnemers mag hier ook best wat verder over worden nagedacht.

Er zijn niet zo veel aanbieders van ZISsen (Ziekenhuisinformatiesystemen). In mijn ogen zijn eventuele gebreken m.b.t. logging etc voornamelijk aan hen te wijten.

keverjeroen 18 juni 2013 16:07

Is dit nou echt nieuws? Ik ging er eigenlijk al vanuit dat het zo was. Sterker nog, heb gehoord van iemand in het Meander ziekenhuis in Amersfoort (een doodgewone assistente) dat ze gewoon uitslagen kon inzien van bijvoorbeeld onderzoeken naar kanker, bloeduitslagen, etc. Ze deed het expres niet omdat ze niet eerder dan bijvoorbeeld een familielid de uitslag wilde weten, maar er zat technisch gezien geen restrictie op.

Remz @keverjeroen • 18 juni 2013 19:30

In haar contract moet haast wel zijn vastgelegd dat zij hier geen toestemming voor heeft. Ze riskeert simpelweg haar baan als ze dit soort acties zou doen, zelfs bij familieleden.

Het lijkt mij trouwens stug dat een doodgewone assistente weet wat voor logging er op het ZIS van Meander Ziekehuis aanstaat. Zij zal het niet zien, maar de IT beheerders waarschijnlijk wel. Het is alleen de vraag of ooit een reden is om die logging te bekijken.

Op dit item kan niet meer gereageerd worden.

CBP: zorginstellingen zijn onzorgvuldig met epd's

Lees meer

IT-banen

Reacties (47)

Sorteer op:

Weergave: