Datalek: secretaresse raadpleegt EPD voor privédoeleinden
Bits of Freedom heeft haar Zwartboek datalekken nog een keer moeten bijwerken. Een secretaresse van een gezondheidsinstelling heeft een Elektronisch Patiënten Dossier (EPD) voor privédoeleinden geraadpleegd.
Uit de uitspraak van een rechter blijkt dat een secretaresse van een gezondheidsinstelling de toegang tot het EPD heeft misbruikt voor privédoeleinden. Nadat de dochter van de vrouw was aangerand, werd van aangifte afgezien op voorwaarde dat de man zich zou laten behandelen. De vrouw controleerde de status van de behandeling in het EPD, ook al was zij daartoe niet bevoegd. De rechter veroordeelde het opzoeken van de gegevens en stelt dat de vrouw in strijd met de wet en het privacy reglement handelde. De vertrouwelijkheid van de gegevens van patiënten is niet alleen een wezenlijk belang van de instelling, maar ook van de samenleving. Ieder die zich bij de geestelijke gezondheidszorg meldt moet op geheimhouding kunnen vertrouwen.
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat die informatie kwijtraakt groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een wetsvoorstel ingediend dat databankbeheerders verplicht om datalekken direct te melden. Zij heeft dat wetsvoorstel toegelicht in een position paper (PDF) (HTML).
Chris Hanselaar
Dat is het probleem met dit soort zaken. Juist omdat mensen allemaal zulke begrijpelijke motieven kunnen hebben om dit soort dingen te doen moet men anderen tegen hen -maar ook zichzelf- beschermen. Ik snap die vrouw volkomen, weet niet of ik anders had kunnen handelen. De gelegenheid creëert de dief.
AlexK
Inderdaad, de gelegenheid creeert de dief.
Nu is dat nog iemand waar we met zijn allen begrip voor kunnen opbrengen, maar wie weet wie de volgende keer in de prut zit te roeren….
Boyd
Chris,
de gelegenheid creeërt de dief, stel je.
Ik ben het niet met je eens.
In dit geval is er geen sprake van een plots ontstane gelegenheid die ertoe leidde dat mevrouw haar kans schoon zag, als was ze een echte (winkel)dief. Ze heeft de gewenste informatie doelbewust opgezocht voor eigen gewin. Daarmee heeft ze bewust gehandeld in strijd met de integriteitsregels en de geheimhoudingsplicht.
Evenmin heeft ze zichzelf geen dienst bewezen omdat de informatie onrechtmatig is verkregen en alleen dat al doet de zaak waarvoor ze de informatie vergaarde geen goed. Immers, een advocaat kan er daardoor weinig mee en de rechter zal de informatie niet laten meewegen in een vonnis.Het nut van de actie van mevrouw is zo dan ook van nul en generlei waarde. Een wetsvoorstel ter beperking van dergelijke situaties is in dit verband eerder symboolpolitiek dan daadwerkelijk functioneel.
Het kwaad is namelijk al geschied. Beter ware het wanneer de beperkende(r) autorisaties in het computersysteem worden aangebracht. Bijvoorbeeld een overzicht van zoekacties met een steeksproefsgewijze controle waarom en ten behoeve van wie welke gegevens zijn geraadpleegd.
Het is – hoe dan ook – een onmogelijkheid om onderhavige stituaties te voorkomen. In die zin zal er wel altijd gelegenheid blijven bestaan.
Rutger
Voor elk geval waar wel achter wordt gekomen zijn er ongetwijfeld 10-tallen waar nooit iemand achter komt.
Jeroen
Dit is weer een reden om het hele EPD af te schaffen.
Totdat ze heel duidelijk kunnen laten zien dat het echt veilig is en dat kan nog wel enige jaren duren.
Frederic
A. Geen enkel electronisch bestand is 100% te beveiligen. Er zullen altijd slimmeriken zijn die een lek ontdekken of beveiligingscode kraken.
B. De beveiliging van het EPD is gebaseerd op vertrouwen(!) Het pasjessysteem is eenvoudig te omzeilen en misbruiken, ongewild of met opzet. Ik durf te stellen dat van beveiliging van het systeem überhaupt geen sprake is, iedereen die dat wil heeft toegang tot het EPD.
Het beste stopt de overheid dit tot mislukken gedoemde experiment en steekt zij in op decentrale opslag van medische gegevens. Dat systeem kent met het EPD vergelijkbare beveiligingsrisico’s, maar je maakt het misbruikers veel lastiger gegevens te achterhalen.
Een systeem van gemixte opslag is een optie: sla decentraal de patiëntengegevens op en gebruik een privé-opslagmedium voor regio overschrijdende dossieruitwisseling. De digitale versie van de manillafolder dus.
Henri
Het is mogelijk om je gegevens uit het EPD te later verwijderen. Weet iemand of dat gevolgen heeft voor eventuele spoedeisende medische zorg?
Evenzo de opslag van vingerafdrukken? Hoe kan je daar verstandig mee omgaan? Geef je vingerafdrukken zomaar af? Ga je eerst bij de balie in protest?
Jeroen
@Henri: Nee het is niet mogelijk om je gegevens uit het EPD te laten verwijderen. Het is alleen mogelijk om toestemming tot inzage in te trekken. In mijn opinie een wassen neus. Een digitale inbreker zal echt niet kijken of er een bezwaar is ingediend of niet.
Curly
Raadplegen voor privédoeleinden kan mogelijk ook bij tandartsen plaatsvinden. Patiënten moeten tegenwoordig hun hele hebben en houden invullen op een medische vragenlijst. Deze medische info wordt digitaal opgeslagen. Bovendien willen tandarts(en) er liefst nog een foto van de patiënt bij hebben. Dit controleert kennelijk nog beter !
zie url: http://kassa.vara.nl/discussies/discussie/vadetail/gezondheidsvragenformulier-tandheelkunde/