Onderzoek naar het gebruik van het Elektronisch Patiënten/Cliënten Dossier (EPD/ECD) in instellingen voor zorg en welzijn
Inhoud
Inleiding................................................................................................................................................. 2 methode................................................................................................................................................. 2 respondenten........................................................................................................................................ 2 resultaten.............................................................................................................................................. 2 AANTAL COMPUTERS OP DE AFDELING ................................................................................................... 2 BEVEILIGING VAN ELEKTRONISCH WERKEN ............................................................................................. 3 PRIVACY ................................................................................................................................................. 3 GRENSOVERSCHRIJDEND GEDRAG .......................................................................................................... 3 conclusie................................................................................................................................................ 4 aanbevelingen ...................................................................................................................................... 4 meer informatie ................................................................................................................................... 5
Commissie Kwaliteit Beroepsuitoefening Verpleging en Verzorging (KB V&V) Van CNV Publieke Zaak December 2011
Inleiding In veel instellingen wordt gewerkt met een elektronisch patiënten- of cliëntendossier (EPD/ECD). Door gebruik te maken van digitale mogelijkheden, kunnen zorgverleners eenvoudig vanaf verschillende plekken in de organisatie de gegevens van hun cliënten registreren en opvragen. Toch zijn er ook valkuilen aan het gebruik van zo'n EPD/ECD. Hoe ga je bijvoorbeeld om met beveiliging? En raadpleeg je wel eens gegevens van cliënten die niet op jouw afdeling verblijven? In de praktijk is gebleken dat werknemers berispt zijn, omdat ze onbevoegd in dossiers zouden hebben gekeken. CNV Publieke Zaak heeft naar aanleiding hiervan onderzocht in hoeverre zorgverleners zich bewust zijn van de risico's van elektronisch registreren en hoe ze daarmee omgaan. Methode Het onderzoek is gehouden door een enquête uit te zetten onder de leden van CNV Publieke Zaak die geregistreerd stonden als werkzaam in de zorg. De enquête heeft 1 week open gestaan voor het aangeschreven ledenpanel om in te vullen. Respondenten Op het onderzoek hebben in totaal 658 van de 13.873 aangeschreven mensen gereageerd (4,74 %). Dit lage percentage is vooral verklaarbaar uit het feit dat in de uitnodiging al werd aangegeven dat het onderzoek alleen bedoeld was voor mensen die met een EPD of ECD werken. Hierdoor viel op voorhand een groot deel van de aangeschreven mensen af. Van alle respondenten gaf 19% in het onderzoek aan niet werkzaam te zijn met een EPD of ECD. 6,8 % ging hier binnenkort mee werken en 74,2 % had al ervaring met het elektronisch verwerken van patiëntgegevens. De groep respondenten die met een patiëntendossier werkt, bestond voor 49% uit werknemers van middelbare leeftijd (tussen de 30 en de 50 jaar). Ruim 43% was ouder dan 50 jaar, de overige respondenten waren jonger dan 30. Van de respondenten was 78% vrouw. Een kleine 32 % van de respondenten was werkzaam in de VVT (Verpleging, Verzorging en Thuiszorg). De GGZ en de gehandicaptenzorg waren met 16,6 % respectievelijk 12,5 % daarna de best vertegenwoordigde sectoren. Andere sectoren waar mensen werkzaam waren, zijn de ambulancezorg, apotheken, de huisartsenzorg, de jeugdzorg, (Universitaire) ziekenhuizen en Welzijn en Maatschappelijke dienstverlening. Resultaten Aantal computers op de afdeling 26,5 % van de respondenten gaf aan dat het aantal computers op de afdeling niet toereikend is voor het aantal medewerkers dat er gebruik van moet maken. Vooral onder de jongeren tot 30 jaar werd dit bovengemiddeld als een probleem gezien (36,6%). In sommige instellingen verschilt dit per afdeling. Er zijn instellingen die maar 1 computer per afdeling beschikbaar hebben, terwijl duidelijk behoefte is aan meer. Eenmaal werd zelfs gemeld dat een locatie geen beschikking heeft over een computer, terwijl wel elektronisch gewerkt wordt. Er werd niet vermeld hoe dit probleem wordt opgelost. Een veelgehoord probleem is het feit dat stagiaires of andere disciplines mede gebruik maken van de computers, waardoor er onvoldoende capaciteit is om patiëntgegevens te verwerken of op te zoeken. Het grootste probleem bij onvoldoende capaciteit dat genoemd werd, is de noodzaak op elkaar te wachten. Naar sector bekeken kwamen grote verschillen aan het licht met betrekking tot beschikbaar aantal computers. Binnen de jeugdzorg en de huisartsenzorg gaf 100% aan dat er voldoende 2
computers op de afdeling waren, terwijl binnen de VVT 36,3 % van mening was dat het aantal computers niet toereikend was. Beveiliging van elektronisch werken In bijna 90% van alle gevallen, wordt gewerkt met inlogcodes. Een kleine 4% werkt met een (UZI)pas. Andere vormen van beveiliging die genoemd zijn, zijn het werken via een persoonlijke werkaccount en een intern netwerk waar alleen werknemers bij kunnen komen. Ruim 3,5 % heeft geen idee hoe de beveiliging van de elektronische dossiers geregeld is. Op de vraag hoe mensen met de beveiliging omgaan, antwoordde 84 % dat niemand de beschikking heeft over zijn of haar codes of pasje. Ruim 8 % van de respondenten gaf aan zijn of haar code of pasje wel eens uit te lenen aan anderen, zoals collega’s. Een kleine 8 % gaf aan dat er op andere manieren slordig met de veiligheid wordt omgegaan, zoals algemene bekendheid van alle inlogcodes, het vergeten uit te loggen na gebruik, een algemene inlogcode voor invalkrachten die bij iedereen bekend is of het noteren van de wachtwoorden in een algemene agenda. Eenmaal werd aangegeven dat de inlogcodes weliswaar geheim zijn, maar dat ze volgens een vast stramien worden toegekend zodat ze voor iedereen te achterhalen zijn. Ruim 28% van de respondenten gaf aan dat anderen wel eens rapporteren onder hun account. Bij de wijze waarop omgegaan wordt met beveiliging, is geen duidelijk onderscheid te maken op grond van leeftijd. Op sectorniveau viel op dat vooral in de gehandicaptenzorg mensen makkelijk zijn met het uitlenen van hun code of pasje (16,4%). Rapporteren onder andermans account komt volgens dit onderzoek in praktisch alle sectoren voor, behalve binnen de ambulancezorg. Privacy Op de vraag of de privacy van patiënten/cliënten voldoende gewaarborgd is, antwoordde gemiddeld zo’n 60% van wel. Opvallend is dat met name de mannelijke respondenten (71,3%) aangaven dat de privacy goed gewaarborgd is. De vrouwen waren hierover met ruim 56% sceptischer. Ruim 40% kon hierover geen zekerheid geven, waarbij 22,5% zelfs aangaf te denken dat dit onvoldoende gewaarborgd is. Vooral in de algemene ziekenhuizen gaf maar iets meer dan de helft van de respondenten (53,4%) aan dat de privacy voldoende gewaarborgd is. In sommige instellingen voor gehandicaptenzorg is sprake van het afschaffen van kantoorruimten, waardoor de computer in de huiskamer, bij de cliënten staat. Ook hier geldt dat de uitkomst voor alle leeftijdscategorieën vergelijkbaar is. Meer dan 55% van de respondenten heeft inzage in het dossier van patiënten/cliënten van andere dan hun eigen afdeling. Zo’n 29% van de mensen gaf aan dat zij ook deze dossiers MAG raadplegen. Dat wil zeggen dat ruim 15% ongeoorloofd in de dossiers kan komen van patiënten/cliënten. Zeker binnen de Welzijn en Maatschappelijke Dienstverlening lijkt het kunnen raadplegen van cliënten die niet tot de eigen afdeling behoren met 80% meer regel dan uitzondering. 50 % van de respondenten uit deze sector gaf aan dat dat ook geoorloofd is. Grensoverschrijdend gedrag 13,5 % van de respondenten heeft wel eens onjuist of grensoverschrijdend gedrag meegemaakt rondom het gebruik van het EPD/ECD. Binnen algemene ziekenhuizen was dit zelfs bijna 30%. In de Ambulancezorg, bij Apotheken en bij Welzijn en Maatschappelijke Dienstverlening werd geen melding gedaan van grensoverschrijdend gedrag op het gebied van EPD/ECD.
3
Het grensoverschrijdend gedrag dat gemeld is, varieert van het opzoeken van gegevens van vrienden, familie, collega’s of andere patiënten waar iemand professioneel niets mee te maken heeft tot het opzoeken van gegevens van verkopers van een huis om te zien wat voor mensen dat waren. Ook werd melding gemaakt van veranderingen in een EPD zonder dat de cliënt of de persoonlijk begeleider hiervan op de hoogte waren. Eenmaal was sprake van informatie die niet zozeer de cliënt maar meer het personeel betrof. Hoewel hierin geen slechte opzet vermoed werd, is deze informatie later uit het dossier verwijderd. Conclusie Ruim een kwart van de respondenten is van mening dat er onvoldoende computers op de afdeling zijn om goed digitaal te kunnen werken. Daarnaast werd gemeld dat de snelheid van computers soms ook te wensen overlaat. Dit, in combinatie met het gebruik van de computers voor andere doeleinden dan cliënten/patiëntenregistratie, leidt tot onnodig veel tijdverlies bij het opzoeken en/of registreren van gegevens. Hoewel de meerderheid van de mensen aangaf zorgvuldig met de inloggegevens en/of pas om te gaan, wordt bij meer dan een kwart van de gebruikers die aan het onderzoek meededen de inlogcode niet voor zichzelf gehouden. De privacy van cliënten en/of patiënten is in veel gevallen niet met zekerheid te waarborgen. Ook blijkt dat in een aantal sectoren regelmatig dossiers worden ingezien door personeelsleden die daar vanuit hun functie geen recht op hebben. Uit deze gegevens valt af te leiden dat ongeveer een kwart van de werknemers binnen zorg en welzijn onvoldoende op de hoogte is van de risico’s van onzorgvuldigheid met het EPD/ECD, zoals tuchtrechtelijke aansprakelijkheid voor ongeoorloofd inzien van gegevens.
Aanbevelingen Op grond van de bevindingen in het onderzoek, doet CNV Publieke Zaak een aantal aanbevelingen om het werken met het EPD/ECD voor zowel cliënten en patiënten als voor werknemers veiliger en efficiënter te maken. Aanbevelingen voor de werkgever: • Zorg dat er voldoende (snelle) computers beschikbaar zijn voor het verwerken van cliënt/patiëntgegevens. Hoeveel dit er moeten zijn varieert per afdeling. Dat is het best af te stemmen met de werknemers die er gebruik van moeten maken. • Zorg voor een goede en toegankelijke back-up van gegevens, voor als het systeem uitvalt. • Maak afspraken op welke tijdstippen de computers niet gebruikt mogen worden voor andere zaken dan patiënt/cliëntgegevensverwerking. Een andere mogelijkheid is een aparte computer bestemmen voor nevenwerkzaamheden. • Zorg dat computers waarop privacygevoelige informatie verwerkt moet worden, in een afgeschermde omgeving, zoals een kantoor, staan. • Maak duidelijke afspraken over wie verantwoordelijk is voor het toekennen van accounts. Je kunt hierbij kiezen voor de toekenning óf dicht bij de werkvloer óf bij de afdeling ICT. In ieder geval is het belangrijk dat veranderingen direct doorgevoerd kunnen worden (binnen 24 uur) en er geen vertragingen optreden. • Accounts moeten persoonlijk zijn. Ook flexwerkers en invalkrachten dienen een eigen account toegekend te krijgen, met passende bevoegdheden. • Zorg dat wachtwoorden regelmatig (bijv. iedere 3 tot 6 maanden) aangepast moeten worden. • Maak duidelijke afspraken wie toegang heeft tot het EPD/ECD en wie welke autorisatie krijgt. Denk bijvoorbeeld aan een afdeling dagbesteding. In hoeverre krijgt deze toegang
4
• • •
•
tot zaken als medische gegevens. Maar ook aan de toegang tot het wijzigen van stamgegevens, indicatie, zorgplannen, etc. Betrek de (wettelijk vertegenwoordiger van) de cliënt/patiënt bij wie toestemming heeft de gegevens in te zien. Licht werknemers voor over de gevaren van het slordig omgaan met de inloggegevens en van het ongeoorloofd inzien van cliëntgegevens, bijvoorbeeld van een andere afdeling. Verleen werknemers alleen toegang tot cliënten/patiënten van de eigen afdeling. Daar waar het wenselijk is dat werknemers ook dossiers van andere afdelingen in kunnen zien, bijvoorbeeld omdat veel transversie plaatsvindt en inzage bij kan dragen aan een vlotte overdracht, is het aan te bevelen in het systeem in te bouwen dat werknemers bevestigen een relatie aan te gaan met de cliënt/patiënt wiens gegevens worden opgevraagd. Dit stimuleert het bewustzijn dat zorgvuldigheid belangrijk is. Blijf in werkoverleggen of andere contactmomenten het personeel attenderen op de afspraken die rondom het EPD/ECD bestaan. Zolang de discussie gaande is, blijft de bewustwording groeien.
Aanbevelingen voor CNV Publieke Zaak • Licht mensen voor over de mogelijkheden en het gebruik van EPD/ECD. Werk aan bewustwording van het belang van privacy van cliënten/patiënten en de risico’s van het niet zorgvuldig omgaan met de eigen inlogcode. Bijvoorbeeld door de publicatie van een artikel over dit onderwerp.
Meer informatie Heeft u vragen over dit onderzoek of over EPD/ECD? Of wilt u uw eigen ervaringen in het werken met een EPD/ECD met ons delen? Neem dan contact op met Siebe Doop, Commissielid Commissie KB V&V,
[email protected]
5