Ziekenhuizen blijken niet in staat om intern de privacy van patiënten voldoende te waarborgen. Alleen bij bekende Nederlanders en bestuursleden gaat de gegevensbescherming wel goed. 

Dat stelt het College bescherming persoonsgegevens (CBP) dat van plan is in te grijpen.

In totaal werden negen ziekenhuizen door het CBP doorgelicht op de vraag hoe de interne beveiliging en de gegevensbescherming patiënten vorm krijgt. Geen van de zorginstellingen bleek zich aan de normen te houden.

"Eigenlijk is het eenvoudig: je mag alleen bij medische gegevens als je een behandelrelatie hebt met de patiënt", stelt CBP-collegelid Wilbert Tomesen tegenover NUtech. Toch zijn gegevens in systemen niet afgedekt en gaat het ook in de praktijk verkeerd. "Een van de instellingen moest daarom zelfs iemand schorsen.

Rapport CBP over privacy in de zorg

Als voorbeelden noemt Tomesen een buurvrouw die werkzaam is in het ziekenhuis en checkt waarom de buurman is opgenomen, een stagiair die checkt waarom een medestudent in een GGZ-instelling wordt behandeld of een verpleegkundige die in het dossier van een collega kijkt.

In slechts één ziekenhuis was er volgens Tomesen een afdeling die een beetje in de buurt van de norm komt. Omdat het onderzoek diepgravend is geweest gaat Tomesen er vanuit dat het niet voldoen aan de regels voor alle zorginstellingen geldt. Omdat er een breed beeld is dat de regels niet worden nageleefd, wil het CBP nog geen namen van onderzochte instellingen noemen.

VIP's

Uit het onderzoek van het CBP kwam ook naar boven dat zorginstellingen wel in staat zijn de privacy te waarborgen als de patiënt een bekende Nederlander of een lid van de Raad van Bestuur van het ziekenhuis is. Dat wil het CBP nu veranderen.

"Iedereen is een VIP als het om de bescherming van de medische gegevens gaat", stelt Tomesen dan ook. "Het is duidelijk dat de keuze niet is gemaakt om de normen van de Wet bescherming persoonsgegevens na te leven, behalve in deze individuele gevallen. Ik wil een mindset hebben dat dat wel gaat gebeuren"

Ingrijpen

Het rapport moet zorginstellingen wakker schudden. Tomesen stelt een plan te eisen van de negen instellingen om hun gegevensbescherming beter op orde te krijgen. Als dat niet gebeurt zal vanaf september worden ingegrepen. Ook andere zorginstellingen kunnen dan op aandacht rekenen.

Het onderzoek is een vervolg op onderzoek uit 2007 toen samen met de Inspectie voor de Volksgezondheid (IGZ) onderzoek naar de beveiliging van gegevens is gedaan. Dat onderzoek keek naar hoe gegevens van buiten waren beveiligd. Ook toen kwam naar boven dat medische instellingen niet voldeden.

Patiëntenfederatie NPCF

Er moet snel actie wordt ondernomen om de privacy van patiënten beter te beschermen, laat patiëntenfederatie NPCF tegenover NUtech weten. 

“Ernstig dat dit nu nog niet goed geregeld is. Het is al jaren bekend dat dit een probleem is, er zijn wettelijke maatregelen genomen maar nog steeds wordt de privacy van patiënten met voeten getreden. Dit kan niet en dit mag niet meer,” zegt Wilna Wind, directeur patiëntenfederatie NPCF. 

“Het CPB moet zijn tanden laten zien, door bijvoorbeeld boetes op te leggen. Afwachten is geen optie, dit gaat om basale patiëntenrechten, die moeten gewoon op orde zijn", aldus Wind. 

Het NPCF gaat in gesprek met het College bescherming persoonsgegevens en de Inspectie voor de Volksgezondheid over de situatie. Een aanpak waarbij per instelling jaarlijks de voortgang wordt bekeken is volgens Wind nodig. Wie de informatiebeveiliging niet op orde heeft kan dan op een dwangsom rekenen.