Het geheel van toegangslogregels bij een systeem.
publieksversie 2022
Met het vastleggen van medische gegevens ontstaat ook de verantwoordelijkheid hier zorgvuldig mee om te gaan. De toegang tot medische gegevens dient goed geregeld te zijn. Ook mogen eenmaal vastgelegde gegevens niet zomaar aangepast worden.
Inleiding
Toegang tot patiëntgegevens
Het patiëntendossier wordt door meerdere zorgverleners binnen de huisartsenpraktijk gebruikt. Ook is de informatie uit het HIS in toenemende mate te raadplegen door zorgverleners buiten de huisartsenpraktijk, zoals waarnemers op de huisartsenpost. Daarom is het van belang om over middelen te beschikken waarmee duidelijk kan worden geregeld welke patiëntgegevens beschikbaar zijn voor welke zorgverleners. In het HIS-Referentiemodel wordt aangegeven welke middelen hiervoor in het HIS aanwezig zijn en hoe de gebruiker ermee kan omgaan.
De toegang tot patiëntgegevens wordt bepaald door de combinatie van twee gegevens:
- de toestemming die de patiënt verleent voor inzage van het gegeven;
- de rol van de zorgverlener die toegang vraagt.
Een (poging tot) toegang tot patiëntgegevens wordt in alle gevallen gelogd in de toegangslog van het systeem.
Met dit model voor toegangsregeling is het mogelijk om bijvoorbeeld:
- één of meer episodes af te schermen voor waarnemers op de huisartsenpost;
- een SOEP-verslag ‘onder vier ogen te houden’;
- de uitslag van een HIV-test alleen toegankelijk te maken voor de medisch medewerkers in de huisartsenpraktijk.
Slechts in uitzonderlijke situaties kan een medisch medewerk alsnog toegang krijgen tot gegevens, waartoe deze eigenlijk geen toestemming heeft. Dit staat beschreven onder het gebruik van de noodknop bij het Patiëntendossier.
Rechten van de patiënt
In de Wet op de geneeskundige behandelingsovereenkomst (WGBO) wordt ervan uitgegaan dat de patiënt toestemming geeft voor inzage in zijn gegevens door alle bij de behandeling betrokken zorgverleners. Deze veronderstelde toestemming geldt alleen als de patiënt geïnformeerd is over zijn rechten en plichten. De KNMG-Richtlijn Omgaan met medische gegevens (zie lees verder) beschrijft in welke omstandigheden er sprake is van veronderstelde toestemming.
In het HIS staat standaard de instelling voor toegang tot een patiëntgegeven zó dat deze in principe beschikbaar is voor alle zorgverleners. Dit betekent niet dat elke zorgverlener buiten de praktijk zomaar alle gegevens van de patiënt kan inzien. Ten eerste hebben de verschillende beroepsgroepen afspraken gemaakt over de inhoud van de communicatieberichten; alleen de gegevens die in een bepaalde situatie van belang zijn worden doorgegeven, niet het hele dossier. Ten tweede kan achteraf worden gecontroleerd of een opvrager van gegevens inderdaad een bij de behandeling betrokken zorgverlener is geweest. Met ingang van 2012 is voor inzage in het dossier van buiten de praktijk de expliciete toestemming van de patiënt vereist (‘opt-in’). Dit is nog niet uitgewerkt in deze versie van het HIS-Referentiemodel.
Een patiënt heeft het recht om bepaalde gegevens uit zijn dossier te laten afschermen voor inzage. Dan zal bovengenoemde standaardinstelling op verzoek van en in overleg met de patiënt kunnen worden aangepast naar het gewenste niveau van afscherming. Daarbij kan de patiënt aangeven voor welk type zorgverlener deze inzage beperking geldt: alleen de invoerder, de medisch medewerkers binnen de praktijk, alle praktijkmedewerkers, waarnemers of alle overige zorgverleners.
Een patiënt kan bijvoorbeeld aangeven dat het verslag van een vertrouwelijk gesprek alleen door de huisartsen in de praktijk ingezien mag worden of zelfs alleen door de huisarts waarmee gesproken is (invoerder van het verslag).
Gevolgen van beperking in de toegang tot patiëntgegevens
Verschil in inzagerecht – op grond van de aan autorisatierollen toegekende rechten - in combinatie met de eventuele inzagebeperking op verzoek van de patiënt – heeft tot gevolg dat een praktijkmedewerker of zorgverleners buiten de praktijk bepaalde medische gegevens uit het patiëntendossier niet te zien krijgen en er ook niet naar kunnen handelen.
Binnen de praktijk kan een praktijkmedewerker aan het dossier zien dat er gegevens voor hem zijn afgeschermd. Bij de communicatie met zorgverleners buiten de praktijk wordt dit in verband met de privacy van de patiënt niet aangegeven.
De eigen aantekeningen vallen buiten het Medisch dossier van de patiënt. De patiënt kan hierin dus geen inzage krijgen en ook geen afscherming op afdwingen. Eigen aantekeningen zijn alleen zichtbaar voor de invoerder en kunnen niet gedeeld worden met anderen. Ook verhuizen ze niet mee met het Medisch dossier.
Autorisatie
Het doel van autorisatie is toegang tot het HIS zo goed mogelijk te regelen. Dit gebeurt door het toekennen van autorisatierollen aan medewerkers. Een autorisatierol bevat een pakket aan rechten, die bepalen tot welke functionaliteit de medewerker toegang heeft.
Het beroep van de medewerker bepaalt welke autorisatierollen worden toegekend. Het praktijkdossierdeel Medewerkeradministratie ondersteunt het administratieve proces van het toekennen van autorisatierollen. De Handreiking Informatiebeveiliging voor eerstelijnsinformatiesystemen (Deel 1 Authenticatie en Autorisatie) biedt praktische aanwijzingen voor HIS-leveranciers om hun systemen goed in te stellen op gebied van autorisatie met behulp van primaire rollen en additionele rollen. Het beheer van de autorisatierollen en de bijbehorende pakketten aan rechten wordt beschreven in eht praktijkdossierdeel Autorisatie.
Elke wijziging aan autorisatierollen en die aan de rollen vastgelegd bij een medewerker, dient te worden gelogd.
Loggen van toegang
De beschrijving van het loggen van de toegang is gebaseerd op het 'Programma van eisen Toegangslog', wat onderdeel is van het project Beveiliging voor Eerstelijnsinformatiesystemen (BEIS). Dit project is een samenwerking van Nictiz, LHV, KNMP, InEen en NHG. Het project BEIS is bezig met een uitwerking van autorisatie en authenticatie. Verwacht wordt dat deze resultaten leiden tot een aanpassing van de beschrijving van de toegang tot medische gegevens in een volgende versie van het HIS-Referentiemodel.
Loggen van wijzigingen
Voor een goede dossiervorming is het belangrijk dat eenmaal vastgelegde gegevens niet meer worden gewijzigd. Toch zijn er situaties denkbaar waarin de in het Medisch Dossier opgeslagen gegevens moeten worden aangepast. Het is belangrijk dat deze wijzigingen worden vastgelegd, zodat achteraf is na te gaan wat er precies is veranderd en door wie en wanneer de wijziging is doorgevoerd. Dit geldt ook voor wijzigingen in de afscherming van gegevens.
Zorgproces en Informatie
Wanneer een medewerker in de praktijk een medisch gegeven van de patiënt inziet, legt het systeem dit vast in een log. Door het naslaan van de loginformatie, kan achteraf bekeken wie wat heeft ingezien of daartoe een poging heeft gedaan. Deze informatie kan daarmee aanwijzingen bevatten voor onterechte inzage door een medewerker.
Bij het herstellen van invoerfouten en bij het wijzigen van de toestemming bij vastgelegde gegevens houdt het systeem in de wijzigingslog bij wat er gewijzigd is. Een verantwoordelijke kan deze loginformatie inzien en daarmee achterhalen wat de eerdere situatie van het dossier was. De huisarts kan ook gegevens wijzigen of verwijderen op dwingende vraag van de patiënt. In dat geval wordt de medische inhoud niet opgenomen in de logfile.
Gegevens en Functionaliteit
Praktijkdossierdeel Toegangslog
Het toegangslog wordt gebruikt om achteraf na te gaan of er onrechtmatige toegang tot patiëntgegevens is geweest. Hiervoor kunnen een drietal overzichten worden gebruikt: op het niveau van een patiëntendossier, een medewerker en de huisartsenpraktijk.
Het doel van het loggen van toegang tot patiëntendossiers is om achteraf te kunnen vaststellen welke inzage in dossiers er is geweest. Bij iedere toegang tot een patiëntendossier wordt een toegangslogregel geschreven in de toegangslog. De toegangslogregel bevat informatie om te kunnen nagaan of de toegang rechtmatig of onrechtmatig is geweest.
Het schrijven van een toegangslogregel gebeurt op de achtergrond. Ook wanneer informatie uit een dossier wordt geëxporteerd zonder dat deze is geanonimiseerd, zal een toegangslog worden vastgelegd. In een toegangslog wordt onder andere vastgelegd wie gepoogd heeft toegang te krijgen tot welk dossier en op welk moment. Ook is in de toegangslog terug te zien wanneer een gebruiker afgeschermde gegevens toch heeft ingezien. De gegevens in de toegangslog kunnen worden getoond door middel van overzichten.
De ‘toegangslogverantwoordelijke’ houdt toezicht over de toegangslog. Dit zal een van de medewerkers van de praktijk zijn, zoals bijvoorbeeld een van de huisartsen.
Er zijn drie soorten overzichten:
- Overzicht inzage in een patiëntendossier. Dit overzicht toont van een specifieke patiënt wie, wanneer zijn dossier heeft ingezien.
- Dagoverzicht inzage via praktijk. Dit geeft een overzicht van de medewerkers van een praktijk en hoeveel dossiers zij hebben ingezien of opgevraagd en of patiëntinformatie is verstuurd. Van daaruit kan worden ‘doorgeklikt’ naar een specifieke medewerker.
- Overzicht inzage door medewerker. Dit overzicht toont van een medewerker welke patiëntendossiers hij heeft ingezien.
Praktijkdossierdeel Wijzigingslog
Voor een goede dossiervorming is het belangrijk dat eenmaal vastgelegde gegevens niet meer worden gewijzigd. Toch zijn er situaties denkbaar waarin gegevens die opgeslagen zijn in het Medisch dossier, moeten worden aangepast. Het is belangrijk dat deze wijzigingen worden gelogd.
Er zijn situaties denkbaar waarin de gegevens, die opgeslagen zijn in het Medisch dossier, gewijzigd moeten worden. Vanwege medisch-juridische overwegingen is het belangrijk dat deze wijzigingen worden vastgelegd, zodat achteraf is na te gaan wat er precies is veranderd, door wie en wanneer de wijziging is doorgevoerd. Dit geldt ook voor wijzigingen in de afscherming van gegevens. In het HIS-Referentiemodel is logging van wijzigingen in de volgende situaties noodzakelijk:
- Bij correcties. Het gaat hier om het herstellen van fouten in definitief opgeslagen gegevens (niet in concept-items). Fouten zijn bijvoorbeeld: een uitslag wordt ingevoerd bij de verkeerde episode of een medicatie-afspraak bij de verkeerde patiënt. Ook kan blijken dat twee patiëntendossiers betrekking hebben op dezelfde patiënt en dus moeten worden samengevoegd.
- Bij het vernietigen van gegevens op verzoek van de patiënt. gelogd wordt: door wie en wanneer de gegevens zijn verwijderd. Niet vastgelegd worden: de feitelijk inhoudelijke gegevens die zijn verwijderd.
- Bij het wijzigen van toestemming van de patiënt voor het inzien van een dossier-item.
Praktijkdossierdeel Autorisatie
In praktijkdossierdeel Autorisatie worden de autorisatierollen beheerd.
Onder autorisatie wordt het toekennen van rechten aan medewerkers verstaan. Een ‘recht’ geeft toegang tot specifieke functionaliteit in het HIS, zoals toegang tot specifieke medische gegevens. De Handreiking Informatiebeveiliging voor eerstelijnsinformatiesystemen (Deel 1 Authenticatie en Autorisatie) biedt de HIS-leverancier aanwijzingen hoe het HIS de huisarts ondersteunt in het overzichtelijk houden van de autorisatie met behulp van een rollensysteem.
Een autorisatierol bevat een pakket aan rechten. Aan een medewerker kunnen meerdere rollen worden toegekend. Een medewerker krijgt één primaire rol, die herkenbaar is omdat het gebaseerd is op de functie die hij heeft in de huisartsenpraktijk. Voorbeelden zijn ‘arts’, ‘doktersassistent’ en 'praktijkondersteuner’. In NHG-Tabel Primaire autorisatierollen zijn de primaire rollen vastgesteld. Daarnaast kunnen meerdere additionele rollen worden toegekend, bijvoorbeeld ‘medewerkeradminstratie’, ‘POH GGZ’, ‘POH Somatiek’. De additionele rollen kunnen per praktijk verschillen.
In het praktijkdossierdeel Autorisatie worden de autorisatierollen beheerd: additionele rollen kunnen worden aangemaakt en verwijderd, en de rechten die bij een primaire of additionele rol horen kunnen worden aangepast.
Iedere wijziging aan de rechten van een rol worden gelogd.
printvriendelijkUse ctrl + p to print the page