Onrechtmatige inzage patiëntgegevens door medewerker in 2022
We vinden het belangrijk om open te zijn over situaties in het Catharina Ziekenhuis die niet goed zijn gegaan. Daarom delen we informatie over een onrechtmatige inzage in een patiëntendossier, die zich in 2022 heeft voorgedaan. Deze kwestie is inmiddels in de media verschenen.
Het Catharina Ziekenhuis betreurt deze situatie ten zeerste. Dit had niet mogen gebeuren. Wij begrijpen dat dit incident vragen kan oproepen. Hieronder leest u wat er is gebeurd en welke stappen we hebben genomen.
Eind vorig jaar heeft het Catharina Ziekenhuis vanuit een patiënt een melding ontvangen dat er mogelijk sprake zou zijn geweest van onrechtmatige dossierinzage. Na deze melding is direct intern onderzoek ingesteld en hebben wij moeten constateren dat er in 2022 inderdaad sprake is geweest van onrechtmatige inzage door een toenmalige medewerker. Dit betreuren wij ten zeerste.
Omdat de betreffende medewerker op het moment van constatering al geruime tijd niet meer in dienst was, heeft het Catharina Ziekenhuis het sanctiebeleid niet kunnen toepassen. Door de patiënt is aangifte gedaan van de onrechtmatige inzage bij de politie. Het Catharina Ziekenhuis heeft hieraan zijn volledige medewerking verleend en staat in contact met de betrokkenen. Wij vinden het belangrijk om ruimte te bieden om persoonlijk in gesprek te gaan en hebben de uitnodiging daartoe gedaan.
In het onderzoek naar deze onrechtmatige inzage is ook komen vast te staan dat er eenmalig is ingelogd vanuit een andere medewerker zonder dat dit goed te verklaren was. Uit het onderzoek naar deze inzage is zowel door de politie als het ziekenhuis echter geen sluitend bewijs gevonden dat deze tweede persoon daadwerkelijk onrechtmatige inzage heeft gehad in het patiëntendossier.
Het Catharina Ziekenhuis neemt de privacy van zijn patiënten uiterst serieus. Het Elektronisch Patiënten Dossier (EPD) is zo ingericht dat een medewerker alleen directe toegang heeft tot de dossiers van patiënten met wie hij/zij op basis van functie en afdeling een behandelrelatie heeft. Zodra de medewerker toegang nodig heeft tot een patiëntendossier, terwijl hij/zij geen behandelrelatie met die patiënt heeft, dan geldt er een noodprocedure, het zogenoemde ‘breaking the glass’ principe.
Bij het gebruik van het ‘breaking the glass’ principe moet de medewerker een reden invoeren waarom hij/zij het patiëntendossier in wil en die handeling wordt in het systeem geregistreerd. Hierop wordt regelmatig steekproefsgewijs gecontroleerd, volgens de geldende landelijke normen. Daarnaast worden medewerkers gewezen op hun verantwoordelijkheid in het veilig en verantwoord omgaan met patiëntgegevens. Ondanks al deze voorzorgsmaatregelen is in dit geval sprake geweest van een bewuste onrechtmatige inzage door de toenmalige medewerker. Hiervoor bieden we oprecht onze excuses aan.
Het Catharina Ziekenhuis volgt alle landelijk ontwikkelingen rondom informatieveiligheid om zo volgens de laatste standaarden te kunnen werken. Naast het zorgvuldig doorlopen van alle verplichte stappen in deze casus, onderzoeken we momenteel mogelijke aanvullende maatregelen om het bestaande systeem verder te versterken, zoals het verhogen van de steekproeven door een geautomatiseerd controlesysteem.