Toezicht op EPD moeilijk?
Sinds de invoering van het Elektronisch Patiëntendossier (EPD) is er veel gedoe geweest rondom de borging van de privacy. Die leek namelijk op voorhand al niet gegarandeerd of waterdicht. Naar nu blijkt mogen er wel heel veel mensen kijken in het dossier, zolang de patiënt daar geen bezwaar tegen maakt. De standaard instelling is “iedereen mag kijken”. Hetgeen in in tegenstelling is tot een best-practice voor vertrouwelijke informatie, die normaal gesproken alleen op “need-to-know” basis toegankelijk is. Dit betreft niet alleen de directe zorgverleners , maar ook hun assistenten, en collega’s die gevraagd worden naar hun visie. Dat is nog wel verklaarbaar, maar ik het er meer moeite mee dat de secretariële ondersteuning, de functionele beheerders van het feitelijke dossier en de financiële afdeling ook inzage hebben in de patiëntendossiers. Dat kun je nauwelijks meer proportioneel noemen.
Aan deze ruimhartige toekenning van inkijkrechten is geen streng toezicht gekoppeld. In tegendeel, controle vindt alleen achteraf plaats. Maar omdat voor elke inzage in een dossier een registratieregel wordt geschreven levert dat onnoemelijk veel werk op. De mogelijke verantwoordelijke afdelingen van het ministerie van VWS (IGZ, NICTIZ) zijn, net als het CBP, te klein om deze taak naar behoren uit te kunnen voeren. De enige garantie tegen misbruik is het ethisch normbesef dat alle gebruikers moet het EPD moeten hebben. Wat je ook volgens het CBP niet erg goed kunt noemen.
Er is wel een manier om misbruik aan te tonen. Iedere burger heeft volgens de Wet bescherming persoonsgegevens het recht te weten wat er over hem is vastgelegd en wie zijn medische gegevens heeft geraadpleegd.
De bal ligt nu bij ons.
Informatiebeveiliging 