U bent hier

Thema Informatiebeveiliging en privacy

publieksversie 2018

Met het vastleggen van medische gegevens ontstaat ook de verantwoordelijkheid hier zorgvuldig mee om te gaan. De toegang tot medische gegevens dient goed geregeld te zijn. Ook mogen eenmaal vastgelegde gegevens niet zomaar aangepast worden.

Inleiding

Toegang tot patiëntgegevens

Het patiëntendossier wordt door meerdere zorgverleners binnen de huisartsenpraktijk gebruikt. Ook is de informatie uit het HIS in toenemende mate te raadplegen door zorgverleners buiten de huisartsenpraktijk, zoals waarnemers op de huisartsenpost. Daarom is het van belang om over middelen te beschikken waarmee duidelijk kan worden geregeld welke patiëntgegevens beschikbaar zijn voor welke zorgverleners. In het HIS-Referentiemodel wordt aangegeven welke middelen hiervoor in het HIS aanwezig zijn en hoe de gebruiker ermee kan omgaan.
De toegang tot patiëntgegevens wordt bepaald door de combinatie van twee gegevens:

  • de toestemming die de patiënt verleent voor inzage van het gegeven;
  • de rol van de zorgverlener die toegang vraagt.

Een (poging tot) toegang tot patiëntgegevens wordt in alle gevallen gelogd in de toegangslog van het systeem.

Met dit model voor toegangsregeling is het mogelijk om bijvoorbeeld:

  • één of meer episodes af te schermen voor waarnemers op de huisartsenpost;
  • een SOEP-verslag ‘onder vier ogen te houden’;
  • de uitslag van een HIV-test alleen toegankelijk te maken voor de medisch medewerkers in de huisartsenpraktijk.

Slechts in uitzonderlijke situaties kan een medisch medewerk alsnog toegang krijgen tot gegevens, waartoe deze eigenlijk geen toestemming heeft. Dit staat beschreven onder het gebruik van de noodknop bij het Patiëntendossier.

Rechten van de patiënt

In de Wet op de geneeskundige behandelingsovereenkomst (WGBO) wordt ervan uitgegaan dat de patiënt toestemming geeft voor inzage in zijn gegevens door alle bij de behandeling betrokken zorgverleners. Deze veronderstelde toestemming geldt alleen als de patiënt geïnformeerd is over zijn rechten en plichten. De KNMG-Richtlijn Omgaan met medische gegevens (zie lees verder) beschrijft in welke omstandigheden er sprake is van veronderstelde toestemming.
In het HIS staat standaard de instelling voor toegang tot een patiëntgegeven zó dat deze in principe beschikbaar is voor alle zorgverleners. Dit betekent niet dat elke zorgverlener buiten de praktijk zomaar alle gegevens van de patiënt kan inzien. Ten eerste hebben de verschillende beroepsgroepen afspraken gemaakt over de inhoud van de communicatieberichten; alleen de gegevens die in een bepaalde situatie van belang zijn worden doorgegeven, niet het hele dossier. Ten tweede kan achteraf worden gecontroleerd of een opvrager van gegevens inderdaad een bij de behandeling betrokken zorgverlener is geweest. Met ingang van 2012 is voor inzage in het dossier van buiten de praktijk de expliciete toestemming van de patiënt vereist (‘opt-in’). Dit is nog niet uitgewerkt in deze versie van het HIS-Referentiemodel.

Een patiënt heeft het recht om bepaalde gegevens uit zijn dossier te laten afschermen voor inzage. Dan zal bovengenoemde standaardinstelling op verzoek van en in overleg met de patiënt kunnen worden aangepast naar het gewenste niveau van afscherming. Daarbij kan de patiënt aangeven voor welk type zorgverlener deze inzage beperking geldt: alleen de invoerder, de medisch medewerkers binnen de praktijk, alle praktijkmedewerkers, waarnemers of alle overige zorgverleners.
Een patiënt kan bijvoorbeeld aangeven dat het verslag van een vertrouwelijk gesprek alleen door de huisartsen in de praktijk ingezien mag worden of zelfs alleen door de huisarts waarmee gesproken is (invoerder van het verslag).

Gevolgen van beperking in de toegang tot patiëntgegevens

Verschil in inzagerecht – op grond van medewerkerniveau in combinatie met de eventuele inzagebeperking op verzoek van de patiënt – heeft tot gevolg dat een praktijkmedewerker of zorgverleners buiten de praktijk bepaalde medische gegevens uit het patiëntendossier niet te zien krijgen en er ook niet naar kunnen handelen.
Binnen de praktijk kan een praktijkmedewerker aan het dossier zien dat er gegevens voor hem zijn afgeschermd. Bij de communicatie met zorgverleners buiten de praktijk wordt dit in verband met de privacy van de patiënt niet aangegeven.
De eigen aantekeningen vallen buiten het Medisch dossier van de patiënt. De patiënt kan hierin dus geen inzage krijgen en ook geen afscherming op afdwingen. Eigen aantekeningen zijn alleen zichtbaar voor de invoerder en kunnen niet gedeeld worden met anderen. Ook verhuizen ze niet mee met het Medisch dossier.

Autorisatie

Via autorisaties kan worden geregeld over welke functies in het HIS de medewerkers in de huisartsenpraktijk kunnen beschikken. In het HIS-Referentiemodel worden op basis van rollen drie autorisatieniveaus onderscheiden:

  • Medewerker. De medewerker heeft toegang tot de eenvoudigste functies.
  • Praktijkmedewerker. Het niveau van praktijkmedewerker biedt daarnaast toegang tot specifieke andere functies.
  • Medisch medewerker. De huisarts (of huisarts in opleiding) heeft het niveau van medisch medewerker, en heeft daarom toegang tot de functies van alle voorafgaande niveaus en daarnaast tot andere, eigen functies.

De standaardautorisatie voor de drie niveaus is globaal als volgt:

  • Een medewerker (bijvoorbeeld de receptioniste) heeft toegang tot de Patiëntenadministratie.
  • Een praktijkmedewerker (bijvoorbeeld de praktijkassistente) heeft daarnaast de mogelijkheid het Medisch dossier in te zien en concept-items vast te leggen.
  • Een medisch medewerker (bijvoorbeeld de huisarts) kan bovendien episode-items definitief opslaan en fouten herstellen in het dossier.

Naast deze globale indeling in drie medewerkerniveaus is het mogelijk om per individu de rechten op functionaliteit en inzage meer fijnmazig in te richten. Bijvoorbeeld een praktijkassistente in opleiding mag geen patiëntendossiers samenvoegen, maar een gediplomeerde praktijkassistente wel. De systeembeheerder regelt het toekennen en onderhouden van medewerkerniveaus via het Praktijkdossier. Het is belangrijk dat over deze uitzonderingen praktijkafspraken worden gemaakt. Zo kan worden afgesproken dat de praktijkondersteuner bij patiënten met diabetes mellitus de (herhaal)medicatie zelfstandig autoriseert. Deze praktijkondersteuner zal dan toestemming moeten krijgen voor het vastleggen van medicatie en deze functionaliteit alleen mogen gebruiken voor (herhaal)medicatie bij diabetespatiënten. Het systeem dwingt dit echter niet af.

Naast de gebruikers op deze drie niveaus is er nog de systeembeheerder. Deze neemt een aparte plaats in. De systeembeheerder is hier niet de technische systeembeheerder. Het is de persoon die in een HIS de verschillende autorisatie- en standaardinstellingen beheert. Zo stelt de systeembeheerder in de Medewerkeradministratie het standaard autorisatieniveau van een medewerker in en de uitzonderingen hierop.
Hij hoeft niet een afzonderlijke beroepskracht te zijn. Ook een medische of andere praktijkmedewerker kan systeembeheerder zijn. De systeembeheerder voert zijn taken uit in goed overleg met de medische en andere praktijkmedewerkers.

Loggen van toegang

De beschrijving van het loggen van de toegang is gebaseerd op het 'Programma van eisen Toegangslog', wat onderdeel is van het project Beveiliging voor Eerstelijnsinformatiesystemen (BEIS). Dit project is een samenwerking van Nictiz, LHV, KNMP, InEen en NHG. Het project BEIS is bezig met een uitwerking van autorisatie en authenticatie. Verwacht wordt dat deze resultaten leiden tot een aanpassing van de beschrijving van de toegang tot medische gegevens in een volgende versie van het HIS-Referentiemodel.

Loggen van wijzigingen

Voor een goede dossiervorming is het belangrijk dat eenmaal vastgelegde gegevens niet meer worden gewijzigd. Toch zijn er situaties denkbaar waarin de in het Medisch Dossier opgeslagen gegevens moeten worden aangepast. Het is belangrijk dat deze wijzigingen worden vastgelegd, zodat achteraf is na te gaan wat er precies is veranderd en door wie en wanneer de wijziging is doorgevoerd. Dit geldt ook voor wijzigingen in de afscherming van gegevens.

Zorgproces en Informatie

Wanneer een medewerker in de praktijk een medisch gegeven van de patiënt inziet, legt het systeem dit vast in een log. Door het naslaan van de loginformatie, kan achteraf bekeken wie wat heeft ingezien of daartoe een poging heeft gedaan. Deze informatie kan daarmee aanwijzingen bevatten voor onterechte inzage door een medewerker.

Bij het herstellen van invoerfouten en bij het wijzigen van de toestemming bij vastgelegde gegevens houdt het systeem in de wijzigingslog bij wat er gewijzigd is. Een verantwoordelijke kan deze loginformatie inzien en daarmee achterhalen wat de eerdere situatie van het dossier was. De huisarts kan ook gegevens wijzigen of verwijderen op dwingende vraag van de patiënt. In dat geval wordt de medische inhoud niet opgenomen in de logfile.

Gegevens en Functionaliteit

printvriendelijkUse ctrl + p to print the page