Vormen automatiseringssystemen een risico voor artsen?

Op 4 maart jl. verscheen in het nieuws een bericht over een medewerker van het Flevoziekenhuis in Almere die een (onbeveiligde) USB-stick met gegevens van 4325 patiënten had verloren op een parkeerterrein. Op de USB-stick stonden de naam, geboortedatum en patiëntnummer van de patiënten en korte, inhoudelijke aantekeningen over de aard van botbreuken en de wijze van behandeling. Het bestand bevatte geen adresgegevens, bsn nummers en geen overige medische, zo liet het ziekenhuis geruststellend weten. Volgens het ziekenhuis had een medewerker deze patiëntgegevens ongeoorloofd op de USB-stick gezet met het doel om de effectiviteit van de behandeling later te kunnen analyseren.

Gelukkig ziet het ziekenhuis in dat dit niet de bedoeling is en heeft zij maatregelen genomen. Zo heeft het ziekenhuis de richtlijnen omtrent het bewaren van patiëntgegevens verscherpt. “ “ Het is voortaan verboden om USB-sticks te gebruiken voor het opslaan van herleidbare persoonsgegevens. Het Flevoziekenhuis heeft alle medewerkers opgeroepen om onbeveiligde USB-sticks die nog aanwezig waren, in het ziekenhuis in te leveren.”

Als advocaat zie ik het belang in van het hebben van duidelijke regels. Maar tegelijkertijd weet ik ook dat het stellen van regels niet betekent dat daarmee ook veiligheid wordt vergroot of geborgd. De kracht en veiligheid die van regels uit gaat staat of valt bijvoorbeeld met de mensen die de regels moeten opvolgen. En daar ligt nu juist het probleem. Waarschijnlijk was deze medewerker zich van geen kwaad bewust toen hij de gezondheidsgegevens (dus bijzondere persoonsgegevens in de zin van de AVG) onversleuteld op een onbeveiligde USB-stick kopieerde. Door de regels aan te scherpen wordt deze situatie niet voorkomen. Het gaat om bewustwording, en dat vereist communicatie en aandacht voor dit onderwerp.

Maar de vraag die misschien wel belangrijker is, is hoe het kan dat een medewerker, kennelijk heel eenvoudig, de gegevens van maar liefst 4325 patiënten kan downloaden uit het systeem van het ziekenhuis? Je kunt je afvragen, als dat zo makkelijk gaat, of de technische en organisatorische beveiliging van het systeem op orde is. Zelfs als deze medewerker rechtsgeldig toegang heeft tot, nota bene, niet-geanonimiseerde medische dossiers van maar liefst 4325 patiënten (waar ligt hier de noodzaak?) ligt het voor de hand om in het systeem in te bouwen dat gegevens niet gedownload kunnen worden zonder ten minste de medewerking van 2 of meer personen. Het lijkt er op dat het systeem van het Flevoziekenhuis een dergelijke organisatorische en technische beveiliging niet bevat. Een dergelijke oplossing voorkomt veel meer de kans op herhaling dan het aanscherpen van regels. Natuurlijk ben ik geen automatiseringsdeskundige, maar uit onze praktijk weet ik wel dat automatiseringsystemen onvoldoende waarborgen bieden om (on)bewuste datalekken zo veel mogelijk te voorkomen.

De verantwoordelijke artsen van het Flevoziekenhuis op wie de wettelijke dossierplicht en geheimhouding rust zouden zich naar mijn mening best zorgen mogen maken over de maatregelen die het ziekenhuis volgens dit bericht genomen heeft om herhaling te voorkomen. Als arts kan je je namelijk niet altijd verschuilen achter de wijze waarop de organisatie waar je aan verbonden bent, systemen heeft ingericht. De arts heeft ook een eigen plicht om zich er van te vergewissen dat zijn persoonlijke beroepsmatige wettelijke plichten voldoende gewaarborgd zijn. En zeker na een datalek als deze wordt het lastig om uit te leggen aan een medisch tuchtcollege waarom de betreffende arts er op mocht vertrouwen dat het ziekenhuis waar hij/zij aan verbonden was de veiligheid van medische dossiers voldoende heeft gewaarborgd. U bent gewaarschuwd.

Pascal Willems
Advocaat