Toegang tot patiëntgegevens

Het patiëntendossier wordt door meerdere zorgverleners binnen de huisartsenpraktijk gebruikt. Ook is de informatie uit het HIS in toenemende mate te raadplegen door zorgverleners buiten de huisartsenpraktijk, zoals waarnemers op de huisartsenpost. Daarom is het van belang om over middelen te beschikken waarmee duidelijk kan worden geregeld welke patiëntgegevens beschikbaar zijn voor welke zorgverleners. In het HIS-Referentiemodel wordt aangegeven welke middelen hiervoor in het HIS aanwezig zijn en hoe de gebruiker ermee kan omgaan.
De toegang tot patiëntgegevens wordt bepaald door de combinatie van twee gegevens:

• de toestemming die de patiënt verleent voor inzage van het gegeven;
• de rol van de zorgverlener die toegang vraagt.

Een (poging tot) toegang tot patiëntgegevens wordt in alle gevallen gelogd in de toegangslog van het systeem.

Met dit model voor toegangsregeling is het mogelijk om bijvoorbeeld:

• één of meer episodes af te schermen voor waarnemers op de huisartsenpost;
• een SOEP-verslag ‘onder vier ogen te houden’;
• de uitslag van een HIV-test alleen toegankelijk te maken voor de medisch medewerkers in de huisartsenpraktijk.

Slechts in uitzonderlijke situaties kan een medisch medewerk alsnog toegang krijgen tot gegevens, waartoe deze eigenlijk geen toestemming heeft. Dit staat beschreven onder het gebruik van de noodknop bij het Patiëntendossier.

Rechten van de patiënt

In de Wet op de geneeskundige behandelingsovereenkomst (WGBO) wordt ervan uitgegaan dat de patiënt toestemming geeft voor inzage in zijn gegevens door alle bij de behandeling betrokken zorgverleners. Deze veronderstelde toestemming geldt alleen als de patiënt geïnformeerd is over zijn rechten en plichten. De KNMG-Richtlijn Omgaan met medische gegevens (zie lees verder) beschrijft in welke omstandigheden er sprake is van veronderstelde toestemming.
In het HIS staat standaard de instelling voor toegang tot een patiëntgegeven zó dat deze in principe beschikbaar is voor alle zorgverleners. Dit betekent niet dat elke zorgverlener buiten de praktijk zomaar alle gegevens van de patiënt kan inzien. Ten eerste hebben de verschillende beroepsgroepen afspraken gemaakt over de inhoud van de communicatieberichten; alleen de gegevens die in een bepaalde situatie van belang zijn worden doorgegeven, niet het hele dossier. Ten tweede kan achteraf worden gecontroleerd of een opvrager van gegevens inderdaad een bij de behandeling betrokken zorgverlener is geweest. Met ingang van 2012 is voor inzage in het dossier van buiten de praktijk de expliciete toestemming van de patiënt vereist (‘opt-in’). Dit is nog niet uitgewerkt in deze versie van het HIS-Referentiemodel.

Een patiënt heeft het recht om bepaalde gegevens uit zijn dossier te laten afschermen voor inzage. Dan zal bovengenoemde standaardinstelling op verzoek van en in overleg met de patiënt kunnen worden aangepast naar het gewenste niveau van afscherming. Daarbij kan de patiënt aangeven voor welk type zorgverlener deze inzage beperking geldt: alleen de invoerder, de medisch medewerkers binnen de praktijk, alle praktijkmedewerkers, waarnemers of alle overige zorgverleners.
Een patiënt kan bijvoorbeeld aangeven dat het verslag van een vertrouwelijk gesprek alleen door de huisartsen in de praktijk ingezien mag worden of zelfs alleen door de huisarts waarmee gesproken is (invoerder van het verslag).

Gevolgen van beperking in de toegang tot patiëntgegevens

Verschil in inzagerecht – op grond van de aan autorisatierollen toegekende rechten - in combinatie met de eventuele inzagebeperking op verzoek van de patiënt – heeft tot gevolg dat een praktijkmedewerker of zorgverleners buiten de praktijk bepaalde medische gegevens uit het patiëntendossier niet te zien krijgen en er ook niet naar kunnen handelen.
Binnen de praktijk kan een praktijkmedewerker aan het dossier zien dat er gegevens voor hem zijn afgeschermd. Bij de communicatie met zorgverleners buiten de praktijk wordt dit in verband met de privacy van de patiënt niet aangegeven.
De eigen aantekeningen vallen buiten het Medisch dossier van de patiënt. De patiënt kan hierin dus geen inzage krijgen en ook geen afscherming op afdwingen. Eigen aantekeningen zijn alleen zichtbaar voor de invoerder en kunnen niet gedeeld worden met anderen. Ook verhuizen ze niet mee met het Medisch dossier.

Autorisatie

Het doel van autorisatie is toegang tot het HIS zo goed mogelijk te regelen. Dit gebeurt door het toekennen van autorisatierollen aan medewerkers. Een autorisatierol bevat een pakket aan rechten, die bepalen tot welke functionaliteit de medewerker toegang heeft.

Het beroep van de medewerker bepaalt welke autorisatierollen worden toegekend. Het praktijkdossierdeel Medewerkeradministratie ondersteunt het administratieve proces van het toekennen van autorisatierollen. De Handreiking Informatiebeveiliging voor eerstelijnsinformatiesystemen (Deel 1 Authenticatie en Autorisatie) biedt praktische aanwijzingen voor HIS-leveranciers om hun systemen goed in te stellen op gebied van autorisatie met behulp van primaire rollen en additionele rollen. Het beheer van de autorisatierollen en de bijbehorende pakketten aan rechten wordt beschreven in eht praktijkdossierdeel Autorisatie. 

Elke wijziging aan autorisatierollen en die aan de rollen vastgelegd bij een medewerker, dient te worden gelogd.

Loggen van toegang

De beschrijving van het loggen van de toegang is gebaseerd op het  'Programma van eisen Toegangslog', wat onderdeel is van het project Beveiliging voor Eerstelijnsinformatiesystemen (BEIS). Dit project is een samenwerking van Nictiz, LHV, KNMP, InEen en NHG. Het project BEIS is bezig met een uitwerking van autorisatie en authenticatie. Verwacht wordt dat deze resultaten leiden tot een aanpassing van de beschrijving van de toegang tot medische gegevens in een volgende versie van het HIS-Referentiemodel.

Loggen van wijzigingen

Voor een goede dossiervorming is het belangrijk dat eenmaal vastgelegde gegevens niet meer worden gewijzigd. Toch zijn er situaties denkbaar waarin de in het Medisch Dossier opgeslagen gegevens moeten worden aangepast. Het is belangrijk dat deze wijzigingen worden vastgelegd, zodat achteraf is na te gaan wat er precies is veranderd en door wie en wanneer de wijziging is doorgevoerd. Dit geldt ook voor wijzigingen in de afscherming van gegevens.