Veiligheid en privacy van elektronische patiëntgegevens
Opleiding IT-auditing VU Scriptienummer: 916 drs M.H.T. van Loo- van den Brink RA studentnummer 1752456
Voorwoord In het kader van de Postgraduate IT Audit opleiding aan de Vrije Universiteit Amsterdam heb ik een scriptieonderzoek uitgevoerd over veiligheid en privacy van elektronische patiëntgegevens. Het idee voor de scriptie is ontstaan door de publiciteit rond de invoering van het landelijk elektronische patiëntendossier. Hierbij vroeg ik mij af in hoeverre er al een normenkader aanwezig was voor de zorgverleners die mee moeten gaan doen aan het landelijk elektronisch patiëntendossier. Tevens was ik benieuwd naar de mate waarin zij nu al voldoen aan wet- en regelgeving voor de interne elektronische patiëntendossiers. Met deze scriptie wil ik dan ook inzicht geven in de bestaande wet- en regelgeving en de mate waarin zorgverleners daaraan voldoen. Door de Vrije Universiteit Amsterdam is als mijn begeleider Cees Coumou toegewezen. Hem wil ik bedanken voor de opbouwende kritiek en zijn hulp om mij “op het juiste pad” te houden. Ook mijn bedrijfscoach Fou-Khan Tsang wil ik danken voor zijn steun bij het schrijven van deze scriptie. Verder wil ik alle contactpersonen en geïnterviewden die hebben bijgedragen aan het onderzoek oprecht bedanken voor hun inbreng en tijd. Daarnaast bedank ik de (gast)docenten voor de colleges van de afgelopen jaren die hebben bijgedragen aan het verbreden van onze vakkennis. Tenslotte wil ik mijn man, familie en vrienden bedanken voor de ondersteuning tijdens de studie en bij het schrijven van deze scriptie.
Ermelo, maart 2009 Mariëtte van Loo – van den Brink
Mariëtte van Loo
Pagina 2
28 maart 2009
Inhoudsopgave Voorwoord ............................................................................................................................. 2 Inhoudsopgave ...................................................................................................................... 3 1. Inleiding............................................................................................................. 4 2. Probleemstelling................................................................................................ 5 3. Wet- en regelgeving in de zorg.......................................................................... 6 3.1 Wetgeving ......................................................................................................... 6 3.1.1 Wet Bescherming Persoonsgegevens................................................................ 6 3.1.2 Wet Geneeskundige BehandelOvereenkomst .................................................... 8 3.1.3 Wet Gebruik Burgerservicenummer in de Zorg .................................................. 9 3.2 Regelgeving .....................................................................................................10 3.2.1 NEN 7510 Informatiebeveiliging binnen de zorgsector ......................................10 3.2.2 NEN 7511-1 Medische informatica- Informatiebeveiliging in de zorg – Toetsbaar voorschrift bij NEN 7510 voor complexe organisaties .......................................13 3.2.3 NEN 7512 Medische informatica – Informatiebeveiliging in de zorg – Vertrouwensbasis voor gegevensuitwisseling ..................................................14 3.2.4 Van Wet naar Praktijk. Implementatie van de WGBO ........................................15 3.2.5 Bedrijfsarchitectuur AORTA, Informatiearchitectuur AORTA en Technische architectuur AORTA .........................................................................................17 3.3 Conclusie onderzoek wet- en regelgeving ........................................................25 3.3.1 Relevante wet- en regelgeving ..........................................................................25 3.3.2 Aandachtsgebieden van belang bij de bescherming van patiëntgegevens ........27 3.3.3 Te nemen maatregelen .....................................................................................29 4. Praktijk .............................................................................................................30 4.1 Opzet onderzoek ..............................................................................................30 4.2 Bevindingen onderzoek ....................................................................................32 4.3 Relatie te nemen maatregelen en praktijk ........................................................34 5. Analyse/Conclusie ............................................................................................37 Bijlage 1: Literatuurlijst .........................................................................................................39 Bijlage 2: Gebruikte afkortingen............................................................................................40 Bijlage 3: Beslissingsmatrix toestemming patiënt .................................................................41 Bijlage 4: Beslissingsmatrix verstrekken gegevens...............................................................42 Bijlage 5: Dienstenmodel AORTA .........................................................................................43
Mariëtte van Loo
Pagina 3
28 maart 2009
1.
Inleiding
Door de stichting het Nationaal ICT Instituut in de Zorg (NICTIZ) wordt gewerkt aan de invoering van het landelijk elektronisch patiëntendossier. Via een landelijk schakelpunt moeten verschillende zorgverleners toegang krijgen tot gegevens van de patiënt, die bij andere instellingen / zorgverleners bekend zijn. Dit schakelpunt en de deelname aan de uitwisseling is ontworpen om te voldoen aan de eisen van de WGBO (de wet geneeskundige behandelovereenkomst) waarin de rechten en plichten van zorgverlener en patiënt vastgelegd zijn. Met mijn onderzoek beoog ik een bijdrage te leveren waaraan de verschillende betrokken partijen de maatregelen voor bescherming van privacy kunnen toetsen. NICTIZ werkt onder meer aan de ontwikkeling van een landelijke basisinfrastructuur in de zorg (AORTA genaamd) die mogelijk moet maken dat zorgaanbieders, en later ook zorgverzekeraars en patiënten, ten behoeve van verschillende zorgtoepassingen op landelijke schaal patiëntgegevens kunnen uitwisselen. Centraal in AORTA staat de zorginformatiemakelaar (ZIM), die wordt geëxploiteerd door het landelijke schakelpunt (LSP). Daarop kunnen zorgaanbieders hun bestaande zorginformatiesystemen (ook wel XIS’en genoemd) aansluiten, mits zij voldoen aan de eisen van een goed beheerd zorgsysteem (GBZ). Die aansluiting vindt plaats via datacommunicatienetwerken (DCN), die worden geëxploiteerd door zorgserviceproviders (ZSP). De onderstaande figuur toont op vereenvoudigde wijze hoe zorgaanbieders met hun XIS via het DCN van een ZSP worden aangesloten op de ZIM van het LSP, zodat zorgverleners en hun medewerkers vanuit hun eigen XIS op landelijke schaal patiëntgegevens kunnen uitwisselen met andere zorgaanbieders.
Figuur 1 : opzet landelijk schakelpunt
Mariëtte van Loo
Pagina 4
28 maart 2009
2.
Probleemstelling
Het is van belang dat voldoende waarborgen bestaan (toestemming van patiënten, voorlichting aan patiënten, mogelijke clausulering van de toegang tot patiëntengegevens, regulering van de toegang tot patiëntengegevens, klachtenmogelijkheden, controle op de toegang tot patiëntengegevens, heldere richtlijnen voor de praktijk en onafhankelijk toezicht op de naleving van richtlijnen en andere regelingen) die ertoe kunnen bijdragen dat patiëntengegevens met het oog op het verlenen van kwalitatief goede zorg kunnen worden uitgewisseld, met inachtneming van de regels voor geheimhouding. Voor mijn scriptie wordt de volgende probleemstelling onderzocht: “In hoeverre voldoet een ziekenhuis aan privacyeisen van wet- en regelgeving op het gebied van de elektronische patiëntgegevens?” Om te komen tot het beantwoorden van de probleemstelling zal ik de volgende subvragen beantwoorden: - Welke wet- en regelgeving is van toepassing? - Welke aandachtsgebieden zijn van belang bij de bescherming van patiëntgegevens? - Welke concrete maatregelen, op het gebied van informatiebeveiliging, moet een ziekenhuis treffen om aan de wet- en regelgeving en patiëntenrechten te voldoen? - In welke mate heeft het ziekenhuis de benoemde maatregelen ingevoerd? In hoofdstuk 3 zal ik de van toepassing zijnde wet- en regelgeving en de ontwerpdocumentatie inzake het landelijk elektronisch patiëntendossier bestuderen. Hierbij zal ik de voor deze scriptie relevante aspecten behandelen. Zaken die geen betrekking hebben op privacy en beveiliging zullen buiten beschouwing worden gelaten. In hoofdstuk 4 zal verslag worden gedaan van de informatie uit de praktijk. Door middel van interviews en verzamelen van documentatie ten aanzien van de geselecteerde zorgverleners zal ik nagaan welke maatregelen de ziekenhuizen hebben ingevoerd. Tot slot zal in hoofdstuk 5 de probleemstelling worden beantwoord.
Mariëtte van Loo
Pagina 5
28 maart 2009
3.
Wet- en regelgeving in de zorg
3.1
Wetgeving
Bij het verzamelen van de van toepassing zijnde wet- en regelgeving wordt in de eerste plaats gekeken naar de voor alle organisaties geldende wetgeving en naar de wetgeving die specifiek voor de gezondheidszorg van toepassing is. In paragraaf 3.2 zal aanvullende regelgeving worden beschouwd. In paragraaf 3.3 zal een samenvattende conclusie worden gegeven van de relevante aspecten die in de wet- en regelgeving worden besproken. Tijdens de uitvoering van het onderzoek naar wet- en regelgeving is mij gebleken dat er weinig wetten en regels specifiek voor de gezondheidszorg zijn op het gebied van de beveiliging van de informatievoorziening en de privacy. De wetten die voor alle organisatie gelden zijn vanzelfsprekend eveneens van toepassing voor de gezondheidszorg. In het kader van deze scriptie gaat het dan om de Wet Bescherming Persoonsgegevens. De Wet Geneeskundige Behandelovereenkomst is bedoeld voor de inrichting van de rechtsverhoudingen in de gezondheidszorg. Hierin worden eveneens aanwijzingen opgenomen ten aanzien van informatie die wordt verkregen tijdens het verlenen van zorg. Recent is de Wet burgerservicenummer in de Zorg uitgevaardigd die het gebruik van het burgerservicenummer in de zorg mogelijk maakt.
3.1.1 Wet Bescherming Persoonsgegevens In Nederland is ten aanzien van persoonsgegevens de belangrijkste wet, de Wet Bescherming Persoonsgegevens (WBP). Hierin wordt een persoonsgegeven gedefinieerd als: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Ook de verwerking van persoonsgegevens is in deze wet gedefinieerd als: “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”. Betrokkene is degene op wie de persoonsgegevens betrekking hebben. De WBP stelt in artikel 8 een aantal eisen aan het verwerken van gegevens. Deze mogen slechts worden verwerkt indien: - de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend; - de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst; - de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is; - de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene; - de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of - de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden
Mariëtte van Loo
Pagina 6
28 maart 2009
verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. In artikel 9 lid 4 wordt hieraan nog toegevoegd dat “de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat”. Deze scriptie gaat over vastleggingen die worden verricht door zorgverleners met betrekking tot een patiënt. Op grond van artikel 16 van de Wet Bescherming Persoonsgegevens is het onder andere verboden om gegevens omtrent de gezondheid van betrokkene vast te leggen. Echter in artikel 21 wordt dit verbod niet van toepassing verklaard voor onder andere hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is. Voorwaarde hiervoor is dat de gegevens alleen mogen worden verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien persoonsgegevens worden verkregen bij de betrokkene, deelt, op grond van artikel 33 WBP, de verantwoordelijke vóór het moment van de verkrijging de betrokkene mede wat zijn identiteit is en voor welke doeleinden de verwerking van de gegevens zijn bestemd. In artikel 35 wordt de betrokkene het recht gegeven om te vernemen of de hem betreffende gegevens worden verwerkt. Indien een dergelijk informatieverzoek wordt ontvangen door de verantwoordelijke dient deze tevens een volledig overzicht van de gegevens in begrijpelijke vorm alsmede een omschrijving van het doel of de doeleinden van de verwerking te geven. Degene aan wie kennis is gegeven van de hem betreffende persoonsgegevens kan op grond van artikel 36 WBP de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.
Mariëtte van Loo
Pagina 7
28 maart 2009
3.1.2 Wet Geneeskundige BehandelOvereenkomst Zoals in de voorgaande paragraaf is vastgesteld mogen vastleggingen alleen plaatsvinden indien men tot geheimhouding verplicht is op basis van beroep of overeenkomst. Voor de vastlegging van patiëntgegevens is dan de eerste vraag die naar voren komt: “op welke basis worden deze vastleggingen verricht?”. In de WGBO (de wet geneeskundige behandelovereenkomst) wordt in artikel 454 aangegeven dat de zorgverlener een dossier in moet richten met betrekking tot de behandeling van de patiënt. De behandeling is gebaseerd op de overeenkomst inzake geneeskundige behandeling. Volgens artikel 446 van de WGBO is de overeenkomst inzake geneeskundige behandeling de overeenkomst waarbij een natuurlijke persoon of een rechtspersoon, de hulpverlener, zich in de uitoefening van een geneeskundig beroep of bedrijf tegenover een ander, de opdrachtgever, verbindt tot het verrichten van handelingen op het gebied van de geneeskunst, rechtstreeks betrekking hebbende op de persoon van de opdrachtgever of van een bepaalde derde. Wie is een patiënt? In artikel 446 van de WGBO staat dat degene op wiens persoon de handelingen rechtstreeks betrekking hebben wordt aangeduid als patiënt. De WGBO regelt verder in artikel 457 dat aan anderen dan de patiënt geen inlichtingen worden verstrekt dan met toestemming van de patiënt. In het tweede lid van dit artikel is beschreven dat onder anderen dan de patiënt niet zijn begrepen degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en de vervanger van de hulpverlener. Uit dit artikel volgt dat indien de informatie in het patiëntendossier met derden wordt gedeeld dit uitsluitend kan indien dit voor de behandelingovereenkomst noodzakelijk is danwel met toestemming van de patiënt. Wanneer is dan sprake van rechtstreeks betrokkenen? Door de toenmalige Registratiekamer (nu College Bescherming Persoonsgegevens geheten) is in het rapport ‘Medicatiebewaking door centrale patiëntenregistraties’ (27 oktober 1998, 95.O.27) een aantal criteria geformuleerd op grond waarvan men de kring van rechtstreeks betrokkenen kan bepalen. Deze criteria zijn de volgende: - Is het gebruikelijk in de beroepsgroep om deze andere hulpverlener op deze wijze bij de behandelingsovereenkomst te betrekken? - Zijn er redelijke alternatieven? - Heeft de hulpverlener zelf voldoende zeggenschap? - Zijn privacybeschermende maatregelen getroffen? - Is deze werkwijze kenbaar bij de patiënt? - Is deze werkwijze in het belang van de patiënt? - Is de omvang van de samenwerking voldoende beperkt?
Mariëtte van Loo
Pagina 8
28 maart 2009
3.1.3 Wet Gebruik Burgerservicenummer in de Zorg In de Wet Bescherming Persoonsgegevens beschrijft artikel 24: “een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. Voor het landelijk EPD zal gebruik gemaakt worden van het burgerservicenummer (BSN). Bij Wet Gebruik Burgerservicenummer in de Zorg van 10 april 2008 is het gebruik van het burgerservicenummer toegestaan. Hierbij bestaat de verplichting voor de zorgverlener om het nummer in het EPD op te nemen nadat afdoende identificatie van de patiënt heeft plaatsgevonden. Een zorgaanbieder die contact heeft met een patiënt/cliënt, zal die patiënt/cliënt derhalve moeten identificeren door het bepalen van diens landelijke patiëntnummer (BSN) en zonodig authenticeren door het controleren van diens Wettelijk Identificatie Document (WID). Bij het eerste contact na de invoering van het BSN zal de zorgaanbieder extra controles moeten of willen uitvoeren: - het BSN opvragen of verifiëren bij het landelijke patiëntenregister, - het WID controleren op gelijkenis met de patiënt/cliënt, - het WID controleren op geldigheidsdatum, - het WID controleren op echtheid, - het patiëntdossier inhoudelijk controleren met de patiënt/cliënt, - de identificerende gegevens zonodig bijwerken. Uit de wettekst blijkt dat met ingang van 1 juni 2009 het gebruik van het burger service nummer verplicht zal worden gesteld.
Mariëtte van Loo
Pagina 9
28 maart 2009
3.2
Regelgeving
Na een inventarisatie van de wetgeving die relevant is voor deze scriptie zal in deze paragraaf worden onderzocht welke regelgeving aanvullende aanwijzingen geeft. De code voor informatiebeveiliging (NEN/ISO 27001) wordt hierbij buiten beschouwing gelaten. De reden hiervoor is dat NEN 7510 een uitwerking is van de code voor informatiebeveiliging die specifiek is voor de zorgsector. De richtlijnen NEN 7511-1 en NEN 7512 gaan op sommige relevante aspecten dieper in dan NEN 7510 en zijn daarom in deze scriptie behandeld. Tevens is het handboek Van Wet naar Praktijk, Implementatie van de WGBO behandeld. In dit handboek worden concrete aanwijzingen gegeven voor de implementatie van de WGBO. Tot slot is de regelgeving van het NICTIZ behandeld. De aanleiding voor deze scriptie is immers de invoering van het landelijk patiëntendossier waarbij NICTIZ een centrale rol speelt. In de voorgeschreven architecturen van NICTIZ worden de vereiste maatregelen rond beveiliging en privacy voor deelnemers aan het landelijk patiëntendossier nader uitgewerkt.
3.2.1 NEN 7510 Informatiebeveiliging binnen de zorgsector Naast de, in de vorige paragraaf genoemde, wetgeving is sprake van regelgeving die van toepassing is op de instellingen in de zorg. Één daarvan is de norm NEN 7510 informatiebeveiliging binnen de zorgsector. In deze norm wordt allereerst voorgeschreven dat de instelling een beleidsdocument voor informatiebeveiliging dient op te stellen waarin een, voor de betreffende instelling passende, opsomming van het beleid en de te nemen maatregelen moet zijn opgenomen. Tevens dienen de verantwoordelijken te worden aangewezen. Vervolgens wordt in de norm beschreven hoe de interne organisatie rond de implementatie van de maatregelen voor informatiebeveiliging dient te worden ingericht. De implementatie omvat de volgende aspecten: - bestuurlijke verankering (voor welke zaken dient goedkeuring van de leiding te worden verkregen; - coördinatie van de informatiebeveiliging (toezicht op daadwerkelijke implementatie); - toewijzing en vastlegging van verantwoordelijkheden voor informatiebeveiliging; - goedkeuring van middelen voor de informatievoorziening (alleen nieuwe middelen in gebruik nemen die zijn goedgekeurd); - contact met officiële instanties (procedures rond welke instanties in te lichten bij overtredingen van wet- en regelgeving inclusief de verantwoordelijken die een dergelijke melding moeten doen); - samenwerking bij informatiebeveiliging; - onafhankelijke beoordeling van informatiebeveiliging. Indien ook externe partijen fysieke en logische toegang tot de middelen van de instelling hebben dienen hiervoor aanvullende maatregelen te worden getroffen. Als basis voor deze maatregelen kunnen in de contracten met de externe partijen clausules worden opgenomen die bepalen dat al hetgeen wat men met het informatiebeveiligingsbeleid wil bereiken, ook (actief) door externe partijen wordt gedaan. Het volgende aspect dat in NEN7510 wordt behandeld is “beveiligingseisen ten aanzien van personeel”. Beveiligen is mensenwerk. Het gaat dan zowel om personeel dat in dienst is van de zorginstelling als uitzendkrachten of personeel van leveranciers. - Screening bij sollicitatieprocedures; - In taak- en functieomschrijvingen beveiligingsaspecten adresseren; - Ook bij het houden van functioneringsgesprekken zullen dergelijke aspecten een plaats moeten krijgen; - Opleiding;
Mariëtte van Loo
Pagina 10
28 maart 2009
-
Bewustwording t.a.v. informatiebeveiliging; Disciplinaire maatregelen; Zwijgplicht en geheimhoudingsverklaring; Maatregelen bij vertrek van medewerkers.
Naast de eisen ten aanzien van inrichting van de organisatie en personeel komen ook de eisen ten aanzien van de fysieke beveiliging aan de orde. Het gaat dan om: - beveiliging van ruimten (fysieke toegangsbeveiliging); - beveiliging van apparatuur (stroomvoorziening, kabels, onderhoud); - algemene maatregelen (clear desk). De eisen met betrekking tot toegangsbeveiliging zijn verschillend voor verschillende gegevensklassen. Met classificeren van gegevens wordt bereikt dat per gegeven (gegevensgroep, gegevenssoort) wordt aangegeven hoe belangrijk het gegeven is voor de bedrijfsprocessen. Ter illustratie kan worden gedacht aan de volgende tabel (uit Handboek NEN 7510): vertrouwelijkheid beschikbaarheid geen vertraging toelaatbaar uren vertraging toelaatbaar dagen vertraging toelaatbaar
medisch
administratief
“cruciaal” “vertrouwelijk” Nvt
nvt “belangrijk” “normaal”
Tabel 1: relatie beschikbaarheid/vertrouwelijkheid
In prEN 13606-4 “Health informatics — Electronic health record communication — Part 4: Security requirements and distribution rules”, annex B worden de volgende classificaties genoemd gevoeligheid Personal care (5)
Privileged care (4) Clinical care (3)
Beschrijving Gegevens door de patiënt te delen met één of twee personen die hij volledig vertrouwd, of die alleen voor hem toegankelijk zijn (en voor anderen slechts op basis van een eenmalige toestemming). Toegang voorbehouden aan kleine groep mensen die direct betrokken zijn bij de hulpverlening aan de patiënt. Standaardniveau voor toegang tot klinische gegevens, passend bij hulpverleners die bij de zorg aan de patiënt betrokken zijn en toegang moeten hebben tot nagenoeg het gehele dossier.
Clinical management (2)
Minder gevoelige gegevens, die mogelijk voor een grotere groep gebruikers toegankelijk moeten zijn die niet noodzakelijk betrokken zijn bij hulpverlening aan de patiënt (bijvoorbeeld radiologiemedewerkers).
Care management (1)
Gegevens die toegankelijk moeten zijn voor een hele reeks aan administratieve medewerkers die zorgdragen voor administratieve afwikkeling van de hulpverlening aan de patiënt.
Tabel 2: overzicht gevoeligheid gegevens
Uit bovenstaande tabellen blijkt dat de inhoud van de taak- en functieomschrijvingen en de diagnose van de patiënt bepalen welke personen toegang tot de gegevens kan worden verleend.
Mariëtte van Loo
Pagina 11
28 maart 2009
Bij toegangsbeveiliging draait het naast het verlenen van toegang, om identificatie en authenticatie van gebruikers. Elke geregistreerde gebruiker dient een unieke gebruikersidentificatie te krijgen, die slechts persoonsgebonden dan wel persoonlijk mag worden gebruikt. Groepsaccounts en dergelijke zijn dus verboden! Met authenticatie kan een gebruiker ‘bewijzen’ dat hij degene is, die hij claimt te zijn. Er bestaan sterkere en zwakkere vormen van authenticatie. De norm vereist ten minste een wachtwoordsysteem als authenticatie. Nieuwe vormen van authenticeren zijn de laatste jaren volop in ontwikkeling (UZI-pas). Hardware tokens zijn vrij veilig maar kunnen aan anderen worden overgedragen. Biometrie kan niet worden overgedragen, maar is niet altijd even betrouwbaar of even gebruiksvriendelijk.
Mariëtte van Loo
Pagina 12
28 maart 2009
3.2.2 NEN 7511-1 Medische informatica- Informatiebeveiliging in de zorg – Toetsbaar voorschrift bij NEN 7510 voor complexe organisaties De norm NEN 7511-1 is een nadere uitwerking van de norm NEN 7510. De norm is met name gericht op complexe organisaties en geeft invulling aan de meer algemeen geformuleerde normen in NEN 7510. Voor deze scriptie is met name relevant de nadere uitwerking van voorschriften inzake het operationeel beheer van informatie- en communicatievoorzieningen en toegangsbeveiliging. Voorschriften voor operationeel beheer van informatie- en communicatievoorzieningen omvat ondermeer: - bedieningsprocedures; - beheer van wijzigingen; - functiescheiding; - scheiding van omgevingen; - maatregelen tegen kwaadaardige programmatuur; - beheer van verwijderbare media; - beleid voor gegevensuitwisseling; - publiek toegankelijke informatie. Voorschriften voor toegangsbeveiliging omvat ondermeer: - registratie van gebruikers; - identificatie; - authenticatiewijze; - beheer van identificatie-/authenticatiesystemen; - inlogprocedures; - identificatie van apparatuur; - onbeheerde gebruiksapparatuur - controle op toegangsrechten; - beveiliging van netwerken; - telewerken. In de bijlage bij deze norm wordt het verband gelegd met het goed beheerd zorgsysteem (GBZ) zoals gedefinieerd door NICTIZ. De normen van NICTIZ worden beschreven in paragraaf 3.2.5.
Mariëtte van Loo
Pagina 13
28 maart 2009
3.2.3 NEN 7512 Medische informatica – Informatiebeveiliging in de zorg – Vertrouwensbasis voor gegevensuitwisseling Deze norm geeft nadere invulling aan de vertrouwensbasis voor gegevensuitwisseling in de zorg. De mate van vertrouwen die nodig is, houdt verband met het risico dat misplaatst vertrouwen met zich meebrengt. De risico’s die met een informatie- en communicatieproces in de zorg zijn verbonden, hangen af van de aard van de gegevens en van de impact van de mogelijke gevolgen van een incident. Voor de impact van de mogelijke gevolgen wordt de volgende klassenindeling gehanteerd: - Hinderlijk (eenvoudig herstelbaar); - Ernstig (moeilijk herstelbaar); - Zeer ernstig (niet herstelbaar); - Fataal (voor de patiënt); - Catastrofaal (fataal voor meer patiënten). NEN 7512 richt zich op bedreigingen van de integriteit en van de vertrouwelijkheid van gegevens die worden uitgewisseld. Zowel voor het beschermen van de integriteit van de gegevens, als voor het handhaven van de vertrouwelijkheid is voldoende zekerheid nodig met betrekking tot de identiteit van de communicatiepartner. Om de communicatie tussen meerdere partijen te stroomlijnen is het instellen van een vertrouwende instantie van belang. Deze vertrouwende instantie levert diensten zoals het registreren van partijen, voorzieningen en transacties. Bij elektronische interactie kan, afhankelijk van de soort op te vragen gegevens, de identificatie op vier niveaus worden bepaald. - 0: geen controle van gegevens, eigen opgave; pseudoniem is mogelijk; - 1: controle van de opgegeven identiteit met gegevens uit erkend register; - 2: herleidbaar naar verantwoordelijke; - 3: directe controle (face to face) aan de hand van een document volgens artikel 3 van de Wet Identificatie bij Dienstverlening. Om de kwaliteit van de informatie te beoordelen is het voor de gebruiker van de informatie van belang te weten wie de informatie heeft opgesteld. Dit kan worden vastgelegd door middel van ondertekening. Hier zijn drie zekerheidsniveau’s te onderscheiden: eenvoudige ondertekening, elektronische handtekening, geavanceerde elektronische handtekening. Van een geavanceerde elektronische handtekening is sprake als aan de volgende eisen is voldaan: - Zij is gebaseerd op een gekwalificeerd certificaat; - Zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen. In de bijlage A van de norm worden communicatiescenario’s in de zorg uitgewerkt. Hierbij wordt per scenario het volgende aangegeven: - Vertrouwende partij (vraagt informatie) - Te vertrouwen partij (verstrekt informatie) - Bedreiging (risico dat wordt gelopen bij foute informatie) - Impact (gevolgen als de bedreiging zich voordoet) - Kans (de kans dat de bedreiging zich zal voordoen) - Registratieniveau (niveau van identificatie: zie hierboven) - Authenticatieniveau (niveau van de sterkte van de authenticatie) - Versleuteling (beveiliging van communicatie) - Ondertekening (niveau van zekerheid t.a.v. ondertekening)
Mariëtte van Loo
Pagina 14
28 maart 2009
3.2.4 Van Wet naar Praktijk. Implementatie van de WGBO Door de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst is een handboek geschreven ter ondersteuning van artsen bij de invoering van de WGBO. Dit handboek bestaat uit vier delen. Voor deze scriptie is slechts één deel van toepassing: “Van wet naar praktijk. Implementatie van de WGBO. Deel 4 Toegang tot patiëntengegevens”. Het gaat over de toegang tot patiëntengegevens binnen de gezondheidszorg. Dit onderdeel van het Implementatieprogramma is in samenwerking met het NICTIZ ontwikkeld. Dit handboek dient als normenkader voor de implementatie van de WGBO en dient derhalve als aanvulling op deze wet. Het handboek gaat in op de mogelijkheden en beperkingen van het verlenen van toegang tot patiëntengegevens. Het verlenen van toegang bestaat in dit verband niet alleen uit het verstrekken van patiëntengegevens, maar meer in het algemeen: het bekend maken of ter beschikking stellen van patiëntengegevens. Een belangrijke conclusie is, dat het verlenen van toegang tot patiëntengegevens voor curatieve zorgdoeleinden in veel situaties is toegestaan op grond van de veronderstelde toestemming van de patiënt. Medische dossiers bestaan nog vaak en in vele varianten in papieren vorm. Een kenmerkend verschil tussen de papieren en elektronische medische dossiers is, dat toegang tot de gegevens in een papieren dossier bestaat uit het ‘brengen’ van de gegevens door de verstrekker, terwijl de toegang tot gegevens in een elektronisch dossier bestaat uit het ‘halen’ daaruit door de ontvanger. Bij het ‘brengen’ van patiëntengegevens beslist de geheimhoudingsplichtige in een concreet geval over de aard en de omvang van de ter beschikking te stellen gegevens, terwijl bij het ‘halen’ de geheimhoudingsplichtige in abstracto beslist (ontsluiting van de gegevens voor raadpleging), dan wel in handen legt van de raadpleger die zich op grond van goed hulpverlenerschap moet beperken tot de gegevens die voor hem noodzakelijk zijn. Iedere individuele hulpverlener heeft op grond van artikel 7:457 BW een zwijgplicht op grond waarvan deze geen informatie over een patiënt aan derden mag verstrekken. Een derde is in dit verband ieder ander dan de individuele hulpverlener of de patiënt. Op deze zwijgplicht bestaan enkele uitzonderingen: - als gegevensverstrekking wettelijk verplicht is; - als gegevens worden verstrekt aan degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst; - als de gegevens worden verstrekt aan degene die optreedt als vervanger van de hulpverlener; - als gegevens worden verstrekt aan een vertegenwoordiger van de patiënt; - als de patiënt toestemming heeft verleend voor de gegevensverstrekking; of - als er sprake is van een conflict van plichten. In het rapport wordt het begrip “toestemming van de patiënt” onderverdeeld in impliciete en expliciete toestemming. Toestemming van de patiënt voor de verstrekking van zijn patiëntengegevens mag worden verondersteld onder de volgende voorwaarden: - de toegang wordt verleend in een concrete situatie (inclusief spoedeisende zorg); - de patiënt kan redelijkerwijs verwachten dat toegang tot zijn patiëntengegevens wordt verleend (kenbaarheid); - gegevens voor zorgdoeleinden worden verstrekt (inclusief overdracht van zorg, zorgondersteuning zoals dossierbeheer, financiële afwikkeling en dergelijke); - de patiënt daartegen geen bezwaar heeft gemaakt; en - de gegevensverstrekking beperkt blijft tot hetgeen noodzakelijk is voor de ontvanger.
Mariëtte van Loo
Pagina 15
28 maart 2009
Van de patiënt moet expliciet om toestemming voor de verstrekking van diens patiëntengegevens worden gevraagd, wanneer: - patiëntengegevens worden verstrekt aan een andere hulpverlener met het oog op een nieuwe behandelepisode; - patiëntengegevens worden verstrekt naar buiten de gezondheidszorg (politie, justitie, werkgever, advocaat) en - patiëntengegevens worden verstrekt voor wetenschappelijk onderzoek (tenzij vragen om toestemming niet mogelijk is of niet kan worden verlangd). Voor patiënten moet het mogelijk zijn om gedeeltelijk toestemming te verlenen voor de verstrekking van hun patiëntengegevens. Het verlenen van geclausuleerde toestemming is met name aan de orde in de elektronische omgeving van een EPD, waarbij gegevens worden verstrekt door aan andere hulpverleners toegang te verlenen tot patiëntengegevens. Het blokkeren van de toegang voor bepaalde (groepen) personen of tot bepaalde gegevens in het patiëntendossier, noemen we clausulering van de toegang. In een elektronische omgeving kan tussen twee benaderingen voor clausulering worden gekozen. In de eerste benadering kunnen patiënt en hulpverlener er vooraf voor kiezen of bepaalde gegevens wel of niet toegankelijk zullen zijn voor anderen. In de tweede benadering heeft de patiënt de hoogstpersoonlijke mogelijkheid om ervoor te kiezen dat bepaalde reeds vastgelegde gegevens worden afgeschermd voor toegang door (bepaalde) anderen. Deel 4 van het rapport introduceert het concept van ‘generieke toestemming’. Dit houdt in dat patiënten toestemming geven voor de toegang tot hun patiëntengegevens op een moment waarop nog niet in concreto is te voorzien wanneer die toegang noodzakelijk zal zijn. Door vooraf aan de burger te vragen of deze toestemming geeft aan alle hulpverleners om aan alle andere hulpverleners informatie te verstrekken wordt toegang tot een landelijk elektronisch patiëntendossier zonder beperkingen mogelijk gemaakt. De bezwaren tegen generieke toestemming zijn de volgende: - bij het verlenen van generieke toestemming zou niet duidelijk zijn voor de patiënt waarvoor hij toestemming geeft; - het valt te betwijfelen of van de patiënt mag worden verwacht dat hij (nog) weet dat hij ooit toestemming heeft gegeven; - niet duidelijk is of de toestemming regelmatig bevestigd moet worden; - niet duidelijk is hoe dat vorm wordt gegeven; - niet duidelijk is hoe de uitzonderingen worden vastgelegd en geïnterpreteerd; - niet duidelijk is of van de patiënt kan worden verwacht dat hij zich van te voren realiseert wie mogelijk toegang tot zijn gegevens kunnen krijgen; - niet duidelijk is of de patiënt voldoende vrij is in het verlenen c.q. weigeren van zijn toestemming. Overigens moet er altijd voor de patiënt de mogelijkheid bestaan om achteraf bepaalde (of alle) gegevens te blokkeren. In de bijlagen van deel 4 van het rapport is een beslissingsschema opgenomen inzake de te nemen beslissingen door de zorgverlener. Het gaat om de vragen: “moet ik toestemming vragen aan de patiënt voor het toegang geven aan derden tot de patiëntgegevens?” en “zal ik de gevraagde gegevens verstrekken?”. In “Bijlage 3: Beslissingsmatrix toestemming patiënt” en “Bijlage 4: Beslissingsmatrix verstrekken gegevens” zijn deze beslissingsschema’s overgenomen.
Mariëtte van Loo
Pagina 16
28 maart 2009
3.2.5 Bedrijfsarchitectuur AORTA, Informatiearchitectuur AORTA en Technische architectuur AORTA Het Nationaal ICT Instituut In de Zorg (NICTIZ) beschrijft in de “Bedrijfsarchitectuur AORTA” het werkgebied van AORTA in termen van: - de partijen in de zorg en de wijze waarop zij zijn georganiseerd; - de diensten die zij elkaar leveren en de daaraan verbonden rechten en plichten; - de wijze waarop zij samenwerken en de informatie die zij uitwisselen. In de “Informatiesysteemarchitectuur AORTA” wordt bepaald welke ICT-voorzieningen de verschillende partijen in de zorg nodig hebben om informatie te kunnen vastleggen en uitwisselen met elkaar. De volgende aspecten komen aan de orde: - de applicaties die de verschillende gebruikers nodig hebben; - de gebruiksscenario’s die door die applicaties ondersteund moeten worden; - de objecten zoals die voor de gebruikers zichtbaar zijn: - de interacties die de objecten onderling hebben. In de “Technische architectuur AORTA” wordt tenslotte het werkgebied van AORTA beschreven in termen van: - de ICT-voorzieningen die de basisinfrastructuur gaan vormen: de SBV-Z, het UZIregister, de ZIM, de RF en de DCN’en; - de ICT-voorzieningen van de afzonderlijke zorgpartijen: de GBZ’en met de XISapplicaties; - de ICT-technologie die gebruikt wordt voor de communicatie tussen al die ICTvoorzieningen:HL7v3, Web Services, etc. Schematisch kunnen de partijen in de zorg als volgt worden weergegeven:
Zorg partij
Patiënt/ cliënt
Zorg aanbieder
Zorg verzekeraar
Figuur 2 : partijen in de zorg
Een zorgaanbieder is een zorgpartij die zorg aanbiedt en verleent aan patiënten/cliënten. Een zorgaanbieder kan zowel één persoon als een hele organisatie omvatten.
Mariëtte van Loo
Pagina 17
28 maart 2009
In paragraaf
Mariëtte van Loo
Pagina 18
28 maart 2009
3.1.2 Wet Geneeskundige BehandelOvereenkomst staat beschreven dat informatie uit het patiëntendossier kan worden gedeeld met rechtstreeks betrokkenen bij de behandelovereenkomst. Als gevolg van de zorgrelatie tussen patiënt en zorg aanbieder kunnen de volgende gegevens worden benoemd. Zorg relatie leidt tot Persoonlijke gegevens
Logistieke gegevens
Medische gegevens
Financiële gegevens
Zijn alle Patiënt stuk Zijn onderdeel van Dossier Figuur 3 : gegevens a.g.v. zorgrelatie
Het patiëntendossier zal deze gegevens bevatten of er nu sprake is van een papieren dossier, een digitaal dossier of een virtueel dossier. Een virtueel dossier wordt door NICTIZ omschreven als de verzameling van organisatorisch en geografisch verspreide patiëntendossiers die zodanig toegankelijk zijn, als waren zij één groot patiëntendossier. De patiënt/cliënt heeft ten aanzien van zijn patiëntdossier bij zijn zorgaanbieder wettelijk recht op: - inzage: wanneer een patiënt/cliënt dat wenst, dient de zorgaanbieder inzage in zijn patiëntdossier te geven. Alleen de persoonlijke werkaantekeningen van de zorgaanbieder vallen buiten het inzagerecht; - afschrift: wanneer een patiënt/cliënt dat wenst, dient de zorgaanbieder een afschrift van zijn patiëntdossier te geven; - aanvulling: wanneer een patiënt/cliënt het niet eens is met een constatering van een zorgaanbieder die is vastgelegd in zijn patiëntdossier, heeft hij het recht zijn mening daarover toe te voegen aan het patiëntdossier; - vernietiging: wanneer een patiënt/cliënt wenst dat bepaalde patiëntgegevens worden vernietigd, zou dit kunnen leiden tot een inconsistent dossier. Dit is medisch niet aanvaardbaar. Wel kan het gehele dossier van een patiënt/cliënt bij een zorgaanbieder worden vernietigd. Deze rechten kan de patiënt/cliënt niet zelfstandig uitoefenen, hij zal zich moeten wenden tot de verantwoordelijke zorgaanbieder. In de toekomst moet de patiënt/cliënt ook rechtstreeks inzage en afschrift kunnen krijgen. Het is echter niet wenselijk dat de patiënt/cliënt zonder tussenkomst van de zorgaanbieder zijn patiëntdossier kan vernietigen. Nu er is vastgesteld wat de relaties zijn tussen de verschillende partijen in een zorgrelatie en hoe deze partijen moeten/kunnen omgaan met gegevens komt het NICTIZ met de introductie van de structuur die nodig is om patiëntgegevens op te vragen. Om toegang tot andermans patiëntdossier te krijgen, zou de andere zorgaanbieder zich rechtstreeks moeten wenden tot de verantwoordelijke zorgaanbieder. Echter, vaak is bij de Mariëtte van Loo
Pagina 19
28 maart 2009
ene zorgaanbieder niet eens bekend welke andere zorgaanbieders gegevens over een bepaalde patiënt/cliënt hebben. Daarom is er behoefte aan: - een verwijsindex die aangeeft welke gegevens over een patiënt/cliëntbeschikbaar zijn en uit welk dossier die opgevraagd kunnen worden; - een schakelpunt als centraal toegangspunt voor patiëntgegevens uit alle aangesloten dossiers. Schematisch kan dit als volgt worden weergegeven:
Verantwoordelijke zorgaanbieder
Patiënt/cliënt
Verwijs index Aanmelden dossier Aanmelden patiëntengege vens
Bijhouden patiëntengege vens
Andere zorgaanbieder
Opvragen eigen gegevens
Opzoeken dossiers
Schakel punt Opvragen uit vermelde dossiers
Patiënten dossier
Virtueel patiëntendossier
Figuur 4 : opzet landelijk schakelpunt
Wanneer een andere zorgaanbieder patiëntgegevens wil opvragen, moet de voor die patiëntgegevens verantwoordelijke zorgaanbieder strikt genomen voor individuele gevallen persoonlijk bepalen: heeft de andere zorgaanbieder een behandelrelatie? - is de andere zorgaanbieder rechtstreeks betrokken? - is er toestemming of bezwaar van de patiënt/cliënt? - is het noodzakelijk de patiëntgegevens in te zien? - is de privacy van een derde in het geding? - is er sprake van een noodsituatie? In de praktijk is zo’n persoonlijke controle per keer onwerkbaar: de opvragende zorgaanbieder zal geen direct antwoord krijgen als de verantwoordelijke zorgaanbieder niet bereikbaar is. Daarom is het wenselijk deze controle zoveel mogelijk automatisch te laten verlopen. Daarvoor is het in theorie nodig dat de verantwoordelijke zorgaanbieder elk van de bovenstaande criteria vooraf vastlegt. Echter, in de dynamische praktijk van de zorg kan een zorgaanbieder niet altijd van tevoren bepalen wélke andere zorgaanbieders zullen worden betrokken, vooral wanneer de patiënt/cliënt zelf zijn zorgaanbieders wil kiezen. Voor het goed laten verlopen van de informatie-uitwisseling is het van belang om zowel patiënten als zorgaanbieders te kunnen identificeren.
Mariëtte van Loo
Pagina 20
28 maart 2009
Patiënten kunnen aan de hand van het Burger Service Nummer (BSN) worden geïdentificeerd. Voor de zorgaanbieders is de Unieke Zorgverleners Identificatie pas (UZIpas) geïntroduceerd. Het UZI-register hanteert strenge voorwaarden voor de uitgifte van UZI-passen. Er worden zowel passen op naam als passen niet op naam uitgegeven. Het vertrouwensniveau van UZI-passen niet op naam ligt lager dan die van de UZI-passen op naam. Als een zorgverlener een medewerker wil mandateren voor het uitwisselen van patiëntgegevens heeft de laatste een UZI-pas op naam nodig. De samenwerking tussen de verschillende partijen en de wijze waarop autorisatie en logging worden vormgegeven kan worden weergegeven in het dienstenmodel AORTA. Dit model is in Bijlage 5: Dienstenmodel AORTA weergegeven. Om zorgaanbieders zoveel mogelijk te ondersteunen bij het uitwisselen van patiëntgegevens, zijn specifieke zorgaanbiederapplicaties nodig voor de verschillende doeleinden. De onderstaande figuur geeft een overzicht:
Figuur 5 : interactie applicaties
Daarnaast dienen er applicaties te zijn die de patiënt toegang geven tot zijn gegevens om hem in staat te stellen zijn rechten, op basis van de Wet Bescherming Persoonsgegevens, uit te oefenen. Wanneer een zorgverlener/medewerker via een applicatie op een werkplek gebruik wil maken van zijn bevoegdheden tot het landelijk uitwisselen van patiëntgegevens, dient hij zich eerst te identificeren en authenticeren. Afhankelijk van de vertrouwensniveaus van de informatie (zie ook 3.2.1 NEN 7510 Informatiebeveiliging binnen de zorgsector) zal de procedure rond de authenticatie verschillen: - Voor het vertrouwensniveau laag is zwakke authenticatie aan het begin van een sessie voldoende, dan wel normale of sterke authenticatie aan het begin van een werkdag.
Mariëtte van Loo
Pagina 21
28 maart 2009
-
-
Voor het vertrouwensniveau midden is het nodig dat voor iedere sessie sterke authenticatie plaatsvindt en vervolgens voor iedere landelijke uitwisseling van patiëntgegevens normale authenticatie plaatsvindt. Voor het vertrouwensniveau hoog is het nodig dat voor iedere landelijke uitwisseling van patiëntgegevens sterke authenticatie plaatsvindt. Voor het uitloggen is geen vertrouwensmiddel vereist, zoals dat voor inloggen wel vereist is.
Wanneer een zorgverlener allerlei patiëntstukken toevoegt aan zijn dossier, kan hij besluiten deze patiëntstukken te publiceren, opdat deze beschikbaar komen voor landelijke opvraag door andere zorgverleners. Ook in latere instantie kan hij besluiten bepaalde patiëntstukken alsnog vrij te geven, dan wel weer af te schermen. Wanneer een zorgverlener allerlei patiëntstukken verwijdert uit zijn dossier, zijn deze uiteraard niet langer beschikbaar voor opvraag. Vrijgeven van een patiëntstuk betekent ook dat het moet worden aangemeld bij de verwijsindex. Anders blijft voor andere zorgverleners onbekend dat de zorgverlener patiëntstukken beschikbaar heeft gesteld voor opvraag. Voor het ter beschikking stellen van gegevens dienen deze te worden opgenomen in een autorisatieprotocol. Hierbij moet onderscheid gemaakt worden tussen: - een algemeen autorisatieprotocol, waarin de bevoegdheden van alle zorgpartijen grofmazig staan vermeld, per gegevensklasse. - een medisch autorisatieprotocol, waarin de bevoegdheden nader zijn uitgesplitst naar de functie van de zorgaanbieders en de gegevenssoort binnen de klasse van medische gegevens. Het autorisatieprofiel van een patiënt/cliënt bestaat uit: - een vlag om aan te geven of de patiënt/cliënt überhaupt akkoord gaat met elektronische, landelijke uitwisseling van zijn patiëntgegevens, - nadere wensen om bepaalde zorgpartijen uit te sluiten van inzage, als inperking op het generieke autorisatieprotocol, - vlaggen om aan te geven of de patiënt/cliënt akkoord gaat met elektronisch inkijken in zijn autorisatieprofiel, toegangslog resp. elektronisch wijzigen van zijn autorisatieprofiel. Voor de beveiliging van de landelijke uitwisseling van patiëntgegevens zijn de volgende zaken van belang: - beveiliging tussen GBZ-gebruikers en de ZIM, - beveiliging tussen GBZ-dossiers/postbussen en de ZIM, - beveiliging tussen GBZ-applicaties en de ZIM, - beveiliging tussen registers en de ZIM, - interne beveiliging GBZ, inclusief lokaal inloggen, - interne beveiliging ZIM. Om de keten gesloten te houden, moet worden voorkomen dat patiëntgegevens die verkregen zijn door landelijke uitwisseling, vervolgens lokaal te gemakkelijk benaderd kunnen worden. Ook de toegang tot lokale tabellen die betrekking hebben op landelijke uitwisseling zijn gevoelig. Wanneer een zorgverlener inlogt met een UZI-pas om landelijk patiëntgegevens te kunnen uitwisselen, kunnen de zorgverlener en de ZIM elkaar authenticeren met behulp van SSL/TLS. Na die tweezijdige authenticatie begint een sessie waarbinnen meerdere SSLverbindingen kunnen worden opgezet. Voor iedere afzonderlijke GBZ-gebruiker wordt een aparte SSL-sessie opgezet vanaf het GBZ naar de ZIM op basis van de persoonlijke UZI-pas, zoals de onderstaande figuur toont
Mariëtte van Loo
Pagina 22
28 maart 2009
in geval van een client/server-gebaseerde GBZ-applicatie. De figuur toont daarbij een applicatie met een thin client, waarbij de HL7-berichten op de server worden aangemaakt en aldaar een SSL-sessie wordt gestart, waarbij de juiste UZI-pas op de client wordt aangesproken door middel van authentication forwarding.
Figuur 6 : interactie applicaties
Om te voorkomen dat een ander dan de geauthenticeerde zorgverlener zijn sessie kan overnemen, moet de sessie automatisch en definitief worden beëindigd in de volgende gevallen: - nadat de GBZ-gebruiker zijn UZI-pas heeft verwijderd, - wanneer de GBZ-gebruiker meer dan 8 uur gebruik maakt van de sessie, waarbij een eventueel lopende HL7-interactie eerst wordt voltooid, maar een opvraagsessie bestaande uit meerdere HL7-interacties kan dus worden afgebroken, - wanneer de GBZ-gebruiker gedurende 30 minuten geen gebruik heeft gemaakt van de sessie, - wanneer de GBZ-gebruiker gedurende 15 minuten geen gebruik heeft gemaakt van zijn applicatie. De interne beveiliging van een GBZ is hier van belang, voor zover het de landelijke uitwisseling van patiëntgegevens betreft. Het is moeilijk hieraan algemene eisen te stellen, omdat de situatie per zorgaanbieder enorm kan verschillen. Vanuit het vertrouwensmodel gezien is een GBZ idealiter een gesloten systeem dat slechts openingen biedt aan gebruikers met UZI-passen en aan de ZIM. Bij een zorgaanbieder met meerdere medewerkers is echter al gauw sprake van een gedistribueerd zorgsysteem met clients op de werkplek en servers in een aparte ruimte. Daarbij gaat het niet altijd alleen om ICT-voorzieningen binnen de zorgaanbieder. Wanneer een zorgaanbieder reeds patiëntgegevens uitwisselt met andere zorgaanbieders, bijvoorbeeld via regionale voorzieningen, bestaat het risico dat patiëntgegevens die netjes via de ZIM zijn verkregen, onbedoeld bij andere zorgaanbieders terechtkomen. Daarom zal per zorgtoepassing ernaar gestreefd moeten worden alle uitwisseling van patiëntgegevens landelijk via de ZIM te laten verlopen. Voor het overige is de interne beveiliging vooral een zaak voor de zorgaanbieder zelf, hoewel de NEN 7510 naar verwachting algemeen verplicht zal worden, ongeacht of de zorgaanbieder deelneemt aan landelijke uitwisseling van patiëntgegevens. Zo verplicht de NEN 7510 een zorgaanbieder tot een risico-analyse op alle externe verbindingen en maatregelen voor alle risico’s. Op deze wijze kan voorkomen worden dat een GBZ voldoet
Mariëtte van Loo
Pagina 23
28 maart 2009
aan de GBZ-eisen terwijl de veiligheid wordt ondermijnd door een aspect dat niet expliciet door de GBZ-eisen wordt afgedekt.
Mariëtte van Loo
Pagina 24
28 maart 2009
3.3
Conclusie onderzoek wet- en regelgeving
In dit hoofdstuk van mijn scriptie geef ik antwoord op de eerste drie subvragen van de probleemstelling: - Welke wet- en regelgeving is van toepassing? In paragraaf 3.3.1 worden de wetten en regels beschreven die voor het onderwerp van deze scriptie relevant zijn. - Welke aandachtsgebieden zijn van belang bij de bescherming van patiëntgegevens? In paragraaf 3.3.2. zijn de relevante aandachtsgebieden beschreven die volgen uit de in paragraaf 3.3.1 geselecteerde wetten en regels. De aandachtsgebieden zijn te herleiden uit hetgeen in paragrafen 3.1 en 3.2 is beschreven. - Welke concrete maatregelen, op het gebied van informatiebeveiliging, moet een ziekenhuis treffen om aan de wet- en regelgeving en patiëntenrechten te voldoen? De maatregelen die ik heb aangetroffen in en afgeleid uit de wet- en regelgeving worden beschreven in paragraaf 3.3.3.
3.3.1 Relevante wet- en regelgeving Bij het onderzoek naar wet- en regelgeving heb ik moeten vaststellen dat er relatief weinig wetten en regels zijn voor informatiebeveiliging en privacy zowel binnen als buiten de zorg. De voor deze scriptie relevante algemene wetgeving is de Wet Bescherming Persoonsgegevens. Dit is een algemene wet die voor iedereen, die persoonsgegevens vastlegt, geldt. De rechten en plichten van organisaties en burgers (in casu patiënten) zijn hierin beschreven. De Wet Geneeskundige Behandelovereenkomst is een voor de zorg specifieke wet die de verplichtingen vaststelt die gelden voor zorgaanbieders. Hoewel deze wet niet specifiek is bedoeld voor informatiebeveiliging en privacy worden in deze wet tevens regels omtrent de vastlegging en verstrekking van patiëntgegevens gegeven. In 2008 is de Wet Burger Service Nummer in de zorg van kracht geworden . Door middel van deze wet wordt het gebruik van het burger service nummer in de zorg toegestaan c.q. verplicht gesteld. Naast de bovengenoemde wetgeving is sprake van regelgeving voor informatiebeveiliging en privacybescherming. De NEN/ISO 27001 Code voor Informatiebeveiliging is in deze scriptie niet behandeld. Hoewel deze code voor alle organisaties relevant is, heb ik ervoor gekozen NEN 7510 Informatiebeveiliging in de zorgsector te behandelen. Op basis van de (algemene) code voor informatiebeveiliging is de NEN 7510 opgesteld als toegepaste norm voor informatiebeveiliging voor de zorg. Daarnaast is NEN 7511-1 Medische informatica – Informatiebeveiliging in de zorg – Toetsbaar voorschrift bij NEN 7510 voor complexe organisaties besproken. Deze norm is een nadere invulling van de norm 7510 voor complexe organisaties zoals ziekenhuizen. Als derde NEN-norm is gekozen voor NEN 7512 Medische informatica – Informatiebeveiliging in de zorg – Vertrouwensbasis voor gegevensuitwisseling. In deze norm wordt aandacht besteed aan de gegevensuitwisseling tussen partijen in de zorg. Met de invoering van een landelijk patiëntendossier zal de beveiliging van gegevensuitwisseling tussen partijen in de zorg nog belangrijker worden.
Mariëtte van Loo
Pagina 25
28 maart 2009
In het handboek “Van Wet naar Praktijk. Implementatie van de WGBO” geeft de KNMG richtlijnen voor zorgaanbieders om de WGBO te implementeren. Met name in deel 4 worden voor deze scriptie relevante zaken behandeld zoals de toegang tot patiëntengegevens. Tot slot zijn de voorschriften van NICTIZ voor de inrichting van het landelijk patiëntendossier behandeld. Het gaat daarbij om de Bedrijfs-, informatie- en technische architectuur AORTA. In de documenten opgesteld ten behoeve van het werkgebied van AORTA worden door NICTIZ richtlijnen gegeven die noodzakelijk zijn om de invoering van een landelijk elektronisch patiëntendossier mogelijk te maken.
Mariëtte van Loo
Pagina 26
28 maart 2009
3.3.2 Aandachtsgebieden van belang bij de bescherming van patiëntgegevens De tweede subvraag van de probleemstelling is welke aandachtsgebieden van belang zijn bij de bescherming van patiëntgegevens. Aan de hand van de in de vorige paragraag wet- en regelgeving zijn de volgende aandachtsgebieden te noemen die van belang zijn voor de bescherming van de privacy van patiënten: 1. behandelrelatie 2. toestemming patiënt 3. beroepsgeheim 4. beveiliging binnen zorgaanbieder 5. beveiliging tussen zorgaanbieder en externe partijen 6. noodzaak tot delen van gegevens met derden 7. inzage door patiënt Ad 1 Behandelrelatie De vastlegging van gegevens vindt conform de WGBO plaats op basis van het bestaan van een behandelrelatie. Het is derhalve van belang vast te stellen of sprake is van een behandelrelatie. Degenen die betrokken zijn bij de behandelrelatie zijn aan de ene kant de patiënt en andere kant de zorgverlener. De zorgverlener omvat naast de behandelend arts ook al die personen waarvan de patiënt kan verwachten dat zij zijn dossier inzien. Ad 2 Toestemming patiënt Op grond van de WBP mag gegevensverwerking slechts geschieden indien de patiënt zijn ondubbelzinnige toestemming heeft verleend. Tenzij de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst. Op grond van de WGBO ontstaat bij de behandeling van een patiënt een overeenkomst die gegevensverwerking noodzakelijk maakt. Voor het verstrekken van gegevens aan derden is echter weer (in de meeste gevallen) toestemming vereist. In het handboek “Van wet naar Praktijk. Implementatie van de WGBO” heeft de KNMG een beslissingsmatrix beschreven voor zorgaanbieders om vast te stellen of al dan niet toestemming is vereist. Deze matrix is in Bijlage 3: Beslissingsmatrix toestemming patiënt opgenomen. Voor patiënten moet het mogelijk zijn om gedeeltelijke toestemming te verlenen voor de verstrekking van hun patiëntgegevens. Ad 3 Beroepsgeheim De WBP stelt een eis voor het mogen vastleggen van gegevens omtrent de gezondheid van betrokkene. Gegevens mogen slechts worden verwerkt door personen die uit hoofde van ambt, beroep of wettelijke voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Ad 4 Beveiliging binnen zorgaanbieder NEN 7510 en NEN 7511-1 geven aanwijzingen voor de maatregelen die een zorgaanbieder moet treffen om de informatiebeveiliging binnen de eigen instelling in te richten. Het gaat daarbij zowel om organisatorische als om fysieke maatregelen. Ad 5 Beveiliging tussen zorgaanbieder en externe partijen NEN 7510 en NEN 7511-1 geven aan dat indien ook externe partijen fysieke en logische toegang hebben aanvullende maatregelen moeten worden getroffen. NEN 7512 geeft richtlijnen ten aanzien van de sterkte van authenticatie en versleuteling voor verschillende soorten informatieuitwisseling.
Mariëtte van Loo
Pagina 27
28 maart 2009
AORTA van NICTIZ bevat de regels en voorwaarden om communicatie via SSL verbindingen met het landelijk schakelpunt in te richten. Ad 6 Noodzaak tot delen van gegevens met derden De WGBO verbiedt het delen van gegevens van patiënten met derden. Slechts degenen die betrokken zijn bij de behandelovereenkomst hebben, zonder toestemming van de patiënt, toegang tot de gegevens. In Bijlage 4: Beslissingsmatrix verstrekken gegevens wordt weergegeven hoe de zorgaanbieder tot de beslissing omtrent het al dan niet verstrekken van gegevens kan komen. Ad 7 Inzage door patiënt Op grond van artikel 35 respectievelijk 36 van de WBP heeft de patiënt het recht de gegevens die omtrent hem zijn vastgelegd in te zien respectievelijk te corrigeren. Tevens heeft de patiënt het recht de gegevens af te schermen.
Mariëtte van Loo
Pagina 28
28 maart 2009
3.3.3 Te nemen maatregelen Op basis van de in de vorige paragrafen beschreven wet- en regelgeving en de relevante aandachtsgebieden heb ik de maatregelen die een zorgverlener moet treffen om aan de weten regelgeving rond de privacy van patiëntgegevens te voldoen afgeleid. De maatregelen zijn onder te verdelen in technische maatregelen, maatregelen in de informatiesystemen en procedurele maatregelen. De technische maatregelen zijn met name vastgelegd in de technische architectuur AORTA, in de NEN 7510 en NEN 7511-1 en omvatten de volgende maatregelen: - maatregelen voor beveiligde communicatie (SSL- verbindingen, gebruik van UZI-pas) - scheiding van omgevingen; - maatregelen tegen kwaadaardige programmatuur; - beheer van verwijderbare media; - identificatie van apparatuur; - onbeheerde gebruiksapparatuur. De technische maatregelen hebben vooral betrekking op de aandachtsgebieden beveiliging binnen de zorgaanbieder en beveiliging tussen zorgaanbieder en externe partijen. De maatregelen in de informatiesystemen zijn vastgelegd in de Informatiesysteemarchitectuur AORTA, NEN 7510, NEN 7511-1 en NEN 7512: - bedieningsprocedures; - beheer van wijzigingen; - identificatie; - authenticatiewijze; - beheer van identificatie-/authenticatiesystemen; - inlogprocedures; - autorisatieprotocol; - elektronische handtekening; - automatisch uitloggen. De maatregelen in de informatiesystemen hebben, net als de technische maatregelen, betrekking op de beveiliging binnen de zorgaanbieder en de beveiliging tussen zorgaanbieder en externe partijen. Daarnaast wordt aan de aandachtsgebieden behandelrelatie, noodzaak tot delen van gegevens met derden en inzage door de patiënt nadere invulling gegeven door de maatregelen in informatiesystemen. De procedurele maatregelen kunnen worden afgeleid uit de Bedrijfsarchitectuur AORTA, de Wet Bescherming Persoonsgegevens, de Wet op de Geneeskundige Behandelovereenkomst NEN 7510 en NEN 7512: - identificatie van de patiënt; - waarborgen rechten van de patiënt; - verkrijgen van toestemming van de patiënt; - procedures om vast te stellen wie de rechtstreeks betrokkenen zijn bij de behandelovereenkomst; - vormen informatiebeveiligingsbeleid; - procedures rond verlening van toegang aan personeel. De procedurele maatregelen richten zich vooral op de aandachtsgebieden behandelrelatie, toestemming patiënt en beroepsgeheim. In het volgende hoofdstuk zal worden beschreven in hoeverre enkele zorgverleners bovengenoemde maatregelen hebben ingevoerd. Tevens zal worden geïnventariseerd welke problemen hierbij zijn ontstaan.
Mariëtte van Loo
Pagina 29
28 maart 2009
4.
Praktijk
In dit hoofdstuk zal de vierde subvraag van de probleemstelling aan de orde komen: - In welke mate heeft het ziekenhuis de benoemde maatregelen ingevoerd? Allereerst zal in paragraaf 4.1 worden beschreven welke informatie is verkregen tijdens het praktijkonderzoek. Vervolgens zal in paragraaf 4.2 de relatie tussen de te nemen maatregelen zoals beschreven in paragraaf 3.3.3 en de praktijk worden gelegd.
4.1
Opzet onderzoek
Om na te gaan in hoeverre de maatregelen zijn ingevoerd bij zorgverleners zijn twee interviews afgenomen bij universitaire ziekenhuizen. Ik heb gesproken met de Security Manager van het Erasmus Medisch Centrum en een medewerker AO/IC / EDP auditor van het Academisch Medisch Centrum in Amsterdam. Tevens is documentatie verkregen van regionaal ziekenhuis St Jansdal in Harderwijk, dat deel uitmaakt van het koplopertraject. De reden voor deze relatief beperkte selectie van zorgverleners is gelegen in het feit dat uit de eerste contacten met zorgverleners bleek dat zorgverleners nog niet of heel beperkt met de invoering van het landelijk elektronisch patiëntendossier bezig zijn. Een uitgebreider onderzoek zou, naar mijn inschatting, geen betere data opleveren. Dit onderzoek zou over één à twee jaar nogmaals moeten worden uitgevoerd om een goed antwoord op de probleemstelling te kunnen geven. Over twee jaar kan naar verwachting een onderzoek worden uitgevoerd onder een tiental zorgverleners die daadwerkelijk zijn aangesloten bij het landelijk schakelpunt. Aan de hand van de hieronder opgenomen vragenlijst is onderzocht welke beveiligingsmaatregelen zijn getroffen en in hoeverre patiënten en personeel worden geïnformeerd over hun rechten en plichten ten aanzien van privacy en beveiliging. De vragenlijst wordt hieronder weergegeven: Algemeen Maakt u onderdeel uit van het koploperproject van NICTIZ? Welke onderdelen maken momenteel geïntegreerd deel uit van het elektronisch patiëntdossier van uw organisatie? Welke normen hanteert uw organisatie t.a.v. beveiliging van elektronische gegevens? Op welke wijze zijn de normen gecommuniceerd met het personeel? Hoe vindt communicatie met patiënten plaats t.a.v. het EPD? Hebben specialisten een eigen inbreng in de procedures rond het EPD? Welke problemen bent u tegengekomen bij de invoer van het EPD? Welke problemen komt u tegen bij de dagelijkse gang van zaken rond het EPD? De overheid heeft de burgers geïnformeerd over het landelijk EPD. Hierbij bestaat de mogelijkheid bezwaar te maken. Verwacht u ook nog gevolgen voor uw eigen organisatie als patiënten door bezwaar te maken tegen het landelijk EPD er wellicht van uit gaan dat ze ook tegen lokale EPD bezwaar hebben gemaakt? Eigen EPD Hoe is uw eigen EPD uitgevoerd: is sprake van een geïntegreerd dossier (met uitslagen, foto’s, diagnoses, verrichtingen, financieel) of is nog sprake van de situatie met een ZIS voor het vastleggen van afspraken, verrichtingen en financiële gegevens? Maakt u onderscheid in soorten gegevens? (algemeen, administratief, medisch, wetenschappelijk)
Mariëtte van Loo
Pagina 30
28 maart 2009
Zo ja, hoe uit dat onderscheid zich in de inrichting van het EPD? Is er ook nog een papieren dossier of is/wordt alles gedigitaliseerd? Indien gegevens worden gedigitaliseerd: hoe wordt de volledigheid, integriteit en beschikbaarheid gewaarborgd? Heeft de patiënt ook inzicht in de gegevens? Hoe kan de patiënt bezwaar maken tegen het beschikbaar stellen van zijn gegevens aan derden? Maakt u al gebruik van het burger service nummer? Hoe is de toegang tot het eigen EPD geregeld? - per persoon - per afdeling - per specialisme - anders Welke middelen worden gebruikt voor identificatie en authenticatie? Is er een methode om er voor te zorgen dat een werkplek niet onbeheerd achterblijft met een openstaande sessie? Vindt er logging plaats? Wie bewaakt de logging en op welke wijze? Hoe is de fysieke beveiliging georganiseerd? Regio Is het eigen EPD ook opengesteld voor zorgverleners in de regio? Wijken de maatregelen voor toegang, identificatie en authenticatie af voor onderdelen die regionaal beschikbaar zijn? Vindt er logging plaats? Wie bewaakt de logging en op welke wijze? Koploper Zijn alle onderdelen van uw eigen EPD ook via het landelijk schakelpunt opengesteld? Wijken de maatregelen voor toegang, identificatie en authenticatie af voor onderdelen die landelijk beschikbaar zijn? Vindt er logging plaats? Wie bewaakt de logging en op welke wijze? Hierbij is zowel ingegaan op het landelijk Elektronisch Patiënten Dossier als op het eigen Ziekenhuis Informatie Systeem (ZIS) en de procedures daaromtrent.
Mariëtte van Loo
Pagina 31
28 maart 2009
4.2
Bevindingen onderzoek
Ten aanzien van het landelijk EPD heb ik moeten vaststellen dat dit nog niet operationeel is. Wel is het elektronisch medicatie dossier (EMD) op regionaal niveau ingevoerd. De onderzochte zorgverleners geven aan als normen te hanteren: de Wet Bescherming Persoonsgegevens, de Wet op de Geneeskundige Behandelovereenkomst en de NEN 7510. Daarnaast hebben zij hun eigen richtlijnen en procedures uitgewerkt ten behoeve van het personeel. De communicatie met het personeel over de procedures vindt plaats door middel van brochures die worden uitgereikt bij indiensttreding, via werkoverleg en in sommige gevallen door middel van een communicatiecampagne met posters, films en flyers. De communicatie met de patiënten over de elektronische vastlegging van gegevens vindt op verschillende manieren plaats. Één van de zorgverleners heeft de informatie in een brochure verwerkt. Anderen verstrekken via hun internetsite informatie over zowel het landelijk EPD als de elektronische vastleggingen in het ZIS. De zorgverleners die via de site informatie verstrekken geven tevens de mogelijkheid om inzicht in het EPD/ZIS aan te vragen dan wel toegang van derden tot het EPD/ZIS te weigeren. Slechts één van de onderzochte zorgverleners maakt nu al gebruik van de mogelijkheid om het burgerservicenummer in de zorg toe te passen. Dit wordt alleen gebruikt bij de uitwisseling van gegevens met derden via het landelijk schakelpunt. Intern wordt nog het eigen patiëntnummer gebruikt. De andere zorgverleners zijn bezig met de invoering van het burgerservicenummer. Het elektronisch patiëntendossier bevat bij de onderzochte zorgverleners vooral medische zaken en afspraken. Naast het elektronisch dossier is er nog een (zeer) uitgebreid papieren dossier. De tendens die wordt gesignaleerd is dat men er steeds meer toe overgaat om informatie digitaal vast te leggen. Hierbij zijn echter de problemen rond volledigheid, integriteit en beschikbaarheid nog niet in alle gevallen opgelost. De toegang, voor verpleegkundig en medisch personeel, binnen de zorgverlener is geregeld door middel van een combinatie van gebruikersnaam en wachtwoord. Hierbij is zowel sprake van gebruikersnamen op persoonsniveau als op (verpleeg)afdelingsniveau. Indien werknemers via externe kanalen toegang zoeken tot het EPD dan dienen zij naast de gebruikersnaam en een wachtwoord ook via SMS of token een aanvullende authenticatie uit te voeren. Toegang via externe kanalen vindt altijd alleen plaats door individuen met een eigen gebruikersnaam. Om te voorkomen dat een opgestarte sessie niet onbeheerd actief blijft worden er verschillende methoden toegepast. De ene zorgverlener sluit de sessie automatisch af na een vast tijdsinterval. Bij een andere zorgverlener wordt na een vast tijdsinterval een screensaver met wachtwoord opgestart zodat alleen degene die de sessie gestart heeft deze weer kan hervatten. Binnen de zorgverlener heeft niet iedereen toegang tot het gehele EPD. De onderzochte zorgverleners geven aan dat de toegang per specialisme is geregeld. Hierbij bepaalt het afdelingshoofd welke mensen van zijn afdeling toegang hebben tot welke delen van het EPD dat betrekking heeft op zijn specialisme. Hierdoor kunnen personeelsleden alleen gegevens zien van patiënten die recent op hun afdeling zijn geweest en alleen gegevens met betrekking tot hun eigen afdeling. Bij het daadwerkelijk aanpassen van de toegangrechten
Mariëtte van Loo
Pagina 32
28 maart 2009
van het personeel controleert de afdeling security/EDP of de toegekende rechten passen binnen het informatiebeveiligingsbeleid van de zorgverlener. Om toegang te krijgen tot het elektronisch patiëntendossier dienen andere zorgverleners in te loggen met een UZI – pas. De andere zorgverleners krijgen toegang tot een beperkte set van gegevens zoals behandelplan, ontslagbrief en medicatie. In die gevallen waar de patiënt al toegang heeft tot het elektronische patiëntendossier, vindt de identificatie en authenticatie plaats via de DigiD en SMS authenticatie of via inlog op internet met patiëntnummer, registratiecode en verificatiecode. De toegang die op dit moment beschikbaar is voor patiënten, biedt inzicht in behandelplan, ontslagbrief en medicatie. Voor het overige zijn geen gegevens toegankelijk. Tijdens van het praktijkonderzoek is gebleken dat de verschillende onderzochte zorgverleners zich in verschillende stadia van invoering van een geïntegreerd (landelijk) EPD bevinden. De basismaatregelen, zoals logische toegangsbeveiliging en procedures voor personeel, zijn bij alle zorgverleners getroffen, de mate van detaillering verschilt. Aansluiting op het landelijk schakelpunt is voor één onderzochte zorgverlener van toepassing. De andere zorgverleners wisselen uitsluitend binnen de regio gegevens uit via een regioportaal. De maatregelen voor toegangsbeveiliging lijken in opzet voor alle zorgverleners te voldoen aan de eisen van NEN 7510 respectievelijk NEN 7512.
Mariëtte van Loo
Pagina 33
28 maart 2009
4.3
Relatie te nemen maatregelen en praktijk
In paragraaf 3.3.3 zijn de te nemen maatregelen in drie categorieën ingedeeld: • technische maatregelen • maatregelen in het informatiesysteem • procedurele maatregelen. De te nemen technische maatregelen die ik heb afgeleid uit de behandelde wet- en regelgeving zijn opgenomen in de onderstaande tabel. Maatregelen Maatregelen voor beveiligde communicatie (SSL- verbindingen, gebruik van UZI-pas) Scheiding van omgevingen
Resultaten onderzoek Er zijn maatregelen getroffen voor beveiligde communicatie zoals SSL- verbindingen, Uzi-pas, inlog met token Omgevingen met verschillende niveaus van toegangsbeveiliging zijn gescheiden Maatregelen tegen kwaadaardige Door middel van firewalls en blokkering van o.a. programmatuur USB poorten zijn maatregelen getroffen tegen kwaadaardige programmatuur Beheer van verwijderbare media Apparatuur is met kabels vastgezet, USB sticks kunnen niet worden gebruikt Identificatie van apparatuur De onderzochte ziekenhuizen hebben de apparatuur geïdentificeerd en geregistreerd Onbeheerde gebruiksapparatuur Apparatuur is met kabels vastgezet. Binnen een bepaald tijdsinterval wordt het scherm geblokkeerd. Op basis van hetgeen ik tijdens gevoerde interviews aan informatie heb verkregen concludeer ik dat deze maatregelen bij de onderzochte zorgverleners zijn ingevoerd. De technische infrastructuur is aanwezig voor beveiligde communicatie. Tevens zijn maatregelen genomen om de apparatuur en software te beschermen tegen misbruik. Vervolgens heb ik maatregelen in informatiesystemen geïdentificeerd. De maatregelen in informatiesystemen worden mede mogelijk gemaakt door de technische maatregelen zoals beveiligde communicatie. Maatregelen Bedieningsprocedures
Beheer van wijzigingen
Identificatie Authenticatiewijze
Mariëtte van Loo
Resultaten onderzoek Voor het gebruik van de geautomatiseerde systemen zijn procedures beschreven. Deze zijn door middel van cursussen, brochures en tijdens introductiedagen gecommuniceerd met het personeel Ten aanzien van wijzigingen zijn procedures opgesteld waarbij rekening is gehouden met gescheiden omgevingen, acceptatietesten en toetsen aan intern beleid en wet- en regelgeving Identificatie van gebruikers vindt plaats door middel van gebruikersnamen en/of Uzi-pas Authenticatie vindt plaats door middel van het gebruik van wachtwoorden. Indien wordt aangelogd van buiten de zorgverlener is hierbij tevens authenticatie door middel van UZI-pas of token of SMS wachtwoord vereist
Pagina 34
28 maart 2009
Maatregelen Beheer van identificatie/authenticatiesystemen
Resultaten onderzoek De UZI-passen worden aangevraagd op basis van verzoeken van de specialisten. Het UZI-register is een door de overheid ingestelde organisatie die de UZI-passen uitgeeft aan personen en instellingen die aan de eisen voldoen.
Het beheer van identificatie- en authenticatiesystemen binnen de zorgverlener vindt plaats vanuit de centrale ICT afdelingen. Hierbij moet worden aangetekend dat deze afdelingen slechts uitvoerend zijn. Op basis van gegevens van HRM wordt personeel in bepaalde profielen ingedeeld. Inlogprocedures Voor het inloggen zijn procedures beschreven. Deze zijn door middel van cursussen, brochures en tijdens introductiedagen gecommuniceerd met het personeel Autorisatieprotocol Voor de inrichting van de autorisatieprotocollen blijkt in de praktijk dat vooral de inbreng van de medisch specialisten groot is. Toegang tot medische gegevens is slechts voor een beperkte groep mensen toegestaan Elektronische Het gebruik van elektronische handtekeningen is niet ter handtekening sprake gekomen tijdens de gesprekken. De insteek was vooral vanuit de kan van toegang tot gegevens. Het onderzoek was vooral gericht op het ophalen van gegevens en niet op het actief verstrekken van gegevens. Automatisch uitloggen De opgestarte sessies blijven slechts een beperkte periode (15 minuten) open staan na de laatste toetsaanslag of muisklik waarna opnieuw moet worden aangelogd. Uit de gevoerde interviews en de bestudeerde documentatie concludeer ik dat de maatregelen in de informatiesystemen zijn ingevoerd. Hierbij moet ik echter wel de kanttekening plaatsen dat twee van de drie zorgverleners (nog) niet zijn aangesloten op het landelijk schakelpunt. De procedures zijn bij deze zorgverleners dan ook vooral gericht op de eigen medewerkers en in beperkte mate op regionale samenwerking. Bij de regionale samenwerking wordt alleen medicatie, behandelplan en de ontslagbrief uitgewisseld. De zorgverlener die sinds februari 2009 wel is aangesloten op het landelijk schakelpunt stelt via dit medium alleen de Electronische Medicatiedossiers van de afdeling oogheelkunde ter beschikking. Tot slot komen de procedurele maatregelen aan de orde. Maatregelen Resultaten onderzoek Identificatie van de Identificatie van de patiënt vindt plaats door middel van een patiënt patiëntnummer. Slechts bij één zorgverlener wordt het burgerservicenummer gebruikt. Invoering hiervan is gestart in januari 2009. Waarborgen rechten Het waarborgen van de rechten van de patiënt is niet expliciet van de patiënt vastgelegd. Bij twee van de zorgverleners is via de internetsite te lezen dat er een mogelijkheid is om de eigen gegevens in te zien. De derde zorgverlener heeft hier niets over opgenomen. Verkrijgen van Het verkrijgen van toestemming van de patiënt is eveneens toestemming van de niet expliciet via procedures vastgelegd. Hierbij wordt ervan patiënt uitgegaan dat de specialisten op basis van hun beroepsgeheim en de voorschriften van uit de medische beroepsgroepen bepalen of al dan niet toestemming van de patiënt is vereist.
Mariëtte van Loo
Pagina 35
28 maart 2009
Maatregelen Procedures om vast te stellen wie de rechtstreeks betrokkenen zijn bij de behandelovereenkomst Vormen informatiebeveiligingsbeleid Procedures rond verlening van toegang aan personeel
Resultaten onderzoek Bij de zorginstellingen zijn deze procedures ingericht waarbij de specialisten een grote inbreng hebben.
Binnen alle onderzocht zorgverleners is sprake van een informatiebeveiligingsbeleid. Hierbij wordt vooral aansluiting gezocht bij de NEN 7510 normen. De afdeling HRM geeft aan welke personeelsleden een bepaald profiel hebben. De specialisten geven vervolgens aan welke profielen toegang mogen hebben tot de patiëntgegevens.
Voor de inrichting van de autorisatieprotocollen en het vaststellen van wie betrokken zijn bij de behandelovereenkomst blijkt in de praktijk dat vooral de inbreng van de medisch specialisten groot is. Hierbij blijkt dat zij niet geneigd zijn informatie met anderen te delen. Ook binnen de zorginstelling krijgt een beperkt deel van het medisch en verpleegkundig personeel toegang tot gegevens. Er wordt slechts toegang gegeven tot informatie van het eigen specialisme en slechts tot informatie die maximaal drie jaar oud is. Gegevens die ouder zijn dan drie jaar zijn alleen toegankelijk voor de specialist zelf. Uitwisseling tussen specialismen vindt niet automatisch plaats. Het verkrijgen van toestemming van de patiënt vindt niet actief plaats. Via de internetsites van de instellingen kan informatie worden verkregen en eventueel bezwaar worden gemaakt, voor het overige wordt vooral uitgegaan van veronderstelde toestemming van de patiënt. Door middel van de campagne van de overheid ten aanzien van het landelijk patiëntendossier worden patiënten zich nu bewuster van het feit dat hun gegevens, al dan niet digitaal, worden vastgelegd. Hierbij is veel aandacht voor het feit dat patiënten bezwaar kunnen maken tegen de inzage door andere zorgverleners.
Mariëtte van Loo
Pagina 36
28 maart 2009
5.
Analyse/Conclusie
Voor mijn scriptie is de volgende probleemstelling onderzocht: “In hoeverre voldoet een ziekenhuis aan privacyeisen van wet- en regelgeving op het gebied van de elektronische patiëntgegevens?” Om te komen tot het beantwoorden van de probleemstelling zijn in de vorige hoofdstukken de volgende subvragen beantwoord: - Welke wet- en regelgeving is van toepassing? - Welke aandachtsgebieden zijn van belang bij de bescherming van patiëntgegevens? - Welke concrete maatregelen, op het gebied van informatiebeveiliging, moet een ziekenhuis treffen om aan de wet- en regelgeving en patiëntenrechten te voldoen? - In welke mate heeft het ziekenhuis de benoemde maatregelen ingevoerd? In hoofdstuk 3 is de eerste subvraag beantwoord. Van toepassing voor de beantwoording van de vraag zijn, naar mijn mening, drie wetten. Het gaat dan om de Wet Bescherming Persoonsgegevens, de Wet Geneeskundige Behandelovereenkomst en de Wet Burger Service Nummer in de Zorg. De regelgeving die relevant en van toepassing is, bestaat vooral uit richtlijnen van NEN/ISO en NICTIZ. Daarnaast is het Handboek “van Wet naar Praktijk: Implementatie van de WGBO” behandeld. Aan de hand van deze wet- en regelgeving is tevens in hoofdstuk 3 de tweede subvraag behandeld. De aandachtsgebieden van belang bij de bescherming van patiëntgegevens zijn: • beveiliging binnen zorgaanbieder; • beveiliging tussen zorgaanbieder en externe partijen; • noodzaak tot delen van gegevens met derden; • beroepsgeheim; • behandelrelatie; • toestemming patiënt; • inzage door patiënt . Om de beveiligings- en privacygevaren in deze aandachtsgebieden tegen te gaan zijn beheersingsmaatregelen noodzakelijk. In de derde subvraag van de probleemstelling wordt de vraag naar concrete maatregelen gesteld. De maatregelen zijn eveneens in hoofdstuk 3 aan de orde gekomen en zijn onder te verdelen in technische maatregelen, maatregelen in het informatiesysteem en procedurele maatregelen. Hoofdstuk 4 behandelt de vierde subvraag naar de daadwerkelijke invoering in de praktijk van zorgverleners. Tijdens het uitvoeren van het praktijkonderzoek is gebleken dat de zorgverleners als norm vooral NEN 7510 hanteren. Deze norm is vooral van toepassing voor de inrichting van de zorgverleners zelf en niet zozeer voor de invoering van een landelijk elektronisch patiëntendossier. De zorgverleners hebben de NEN 7510 in grote lijnen ingevoerd. Daarnaast zijn de door mij benaderde zorgverleners bezig met de invoering van regionale of landelijke patiëntendossiers. Echter bij geen van de zorgverleners heeft invoering al geheel plaatsgevonden. Voor wat betreft het landelijk elektronisch patiëntendossier moet dan ook vastgesteld worden dat de door mij onderzochte zorgverleners de maatregelen nog niet volledig hebben ingevoerd als gevolg van het feit dat zij ook nog niet zijn aangesloten op het landelijk schakelpunt.
Mariëtte van Loo
Pagina 37
28 maart 2009
Het antwoord op de vraag “In hoeverre voldoet een ziekenhuis aan privacyeisen van wet- en regelgeving op het gebied van de elektronische patiëntgegevens?” kan op basis van deze scriptie twee antwoorden krijgen. Het eerste antwoord heeft betrekking op de interne en regionale situatie en luidt: De door mij onderzochte zorgverleners lijken in opzet in hoge mate te voldoen aan de regelgeving op het gebied van de beveiliging van elektronische patiëntgegevens. Het tweede antwoord heeft betrekking op het landelijk elektronische patiëntendossier en luidt: De zorgverleners zijn nog niet daadwerkelijk aangesloten en in twee van de drie gevallen is ook nog geen software aangeschaft waarmee aansluiting op het landelijk dossier mogelijk is. Hierdoor kan geen conclusie worden getrokken of de zorgverleners voldoen aan de privacyeisen van wet- en regelgeving op het gebied van de elektronische patiëntgegevens. Nu de vraag van de probleemstelling voor het landelijk elektronisch patiëntendossier niet beantwoord kan worden is de volgende vraag relevant: “Kan een ziekenhuis voldoen aan de privacyeisen van wet- en regelgeving op het gebied van de elektronische patiëntgegevens voor het landelijk elektronisch patiëntendossier?” Op deze vraag is het antwoord: ja. De eisen zijn zodanig dat deze technisch en procedureel ingevoerd kunnen worden. De onderzochte ziekenhuizen hebben deze maatregelen dan ook reeds voor de regionale situatie ingevoerd. Op basis van het gevoerde onderzoek verwacht ik dat ook de invoering van de benodigde additionele maatregelen voor het landelijk elektronisch patiëntendossier geen onoverkomelijke problemen zullen opleveren.
Mariëtte van Loo
Pagina 38
28 maart 2009
Bijlage 1: Literatuurlijst -
Wet Bescherming van Persoonsgegevens Wet Gebruik Burgerservicenummer in de Zorg Wet op de Geneeskundige Behandelovereenkomst NEN 7510 informatiebeveiliging binnen de zorgsector NEN 7511-1 Medische informatica – Informatiebeveiliging in de zorg – Toetsbaar voorschrift bij NEN 7510 voor complexe organisaties NEN 7512 Medische informatica – Informatiebeveiliging in de zorg – Vertrouwensbasis voor gegevensuitwisseling Van wet naar praktijk. Implementatie van de WBGO, Samenwerkingsverband Implementatieprogramma WGBO, KNMG, 2004 Bedrijfsarchitectuur AORTA, NICTIZ, 30 mei 2007 Technische architectuur AORTA, NICTIZ, 31 mei 2007 Informatiesysteemarchitectuur AORTA, NICTIZ, 31 mei 2007
Mariëtte van Loo
Pagina 39
28 maart 2009
Bijlage 2: Gebruikte afkortingen BSN DCN EMD EPD GBZ KNMG LSP NICTIZ PAD RA RF SBV-Z SEH UZI WBGO WBP WDH WID XIS ZIM ZSP
Burger service nummer Datacommunicatie netwerken Elektronisch medicatiedossier Elektronisch patiënten dossier Goed beheerd zorgsysteem Koninklijke Nederlandsche Maatschappij ter bevordering der Geneeskunst Landelijk schakelpunt Nationaal ICT Platform in de Zorg Elektronisch pathologiedossier Registratie autoriteit Routeer functie Sectorale berichten voorziening in de zorg Spoedeisende hulp dossier Unieke zorgverleners identificatie Wet Geneeskundige Behandelovereenkomst Wet bescherming persoonsgegevens Waarneemdossier huisartsen Wettelijk identificatie document Zorginformatiesysteem Zorg informatie makelaar Zorg service provider
Mariëtte van Loo
Pagina 40
28 maart 2009
Bijlage 3: Beslissingsmatrix toestemming patiënt Moet ik voor deze informatieverstrekking toestemming vragen aan de patiënt? Verplicht: Verplicht door wettelijke regeling?
Ja
A) Gegevens verstrekken is verplicht. Toestemming van de patiënt is niet nodig
Nee
Clausule: Heeft de patiënt vooraf de toegang ingeperkt?
Nee
Rechtstreeks betrokken: Is de ontvanger rechtstreeks betrokken bij de uitvoering?
Ja
Valt de voorgenomen informatievoorziening binnen de clausule
Nee
Ja
B) Toestemming van de patiënt is niet nodig
Nee
Verondersteld: Mag ik in dit geval uitgaan van veronderstelde toestemming?
Ja
C) Er is (veronderstelde toestemming van de patiënt
Nee
D) Expliciete toestemming van de patiënt is nodig. Er kan niet worden geconcludeerd dat de patiënt al toestemming heeft gegeven.
Mariëtte van Loo
Pagina 41
28 maart 2009
Ja
Bijlage 4: Beslissingsmatrix verstrekken gegevens Zal ik de gevraagde patiëntgegevens verstrekken? A) Gegevens verstrekken is verplicht. Toestemming van de patiënt is niet nodig
B) Toestemming van de patiënt is niet nodig
D) Expliciete toestemming van de patiënt is nodig. Er kan niet worden geconcludeerd dat de patiënt al toestemming heeft gegeven.
C) Er is (veronderstelde toestemming van de patiënt
“Eigen overwegingen” van de hulpverlener: wil ik de gegevens verstrekken?
Ja
“Eigen overwegingen” van de hulpverlener: wil ik de gegevens verstrekken?
Nee
Ja
Nee
Na toestemming vragen: Expliciete toestemming verkregen van de patiënt?
Ja
Gegevens verstrekken
Mariëtte van Loo
Nee
Gegevens niet verstrekken
Pagina 42
28 maart 2009
Bijlage 5: Dienstenmodel AORTA
Mariëtte van Loo
Pagina 43
28 maart 2009