Handreiking Autorisatie Digitale Patiënten Dossiers binnen zorginstellingen

Transcriptie

1 Handreiking Autorisatie Digitale Patiënten Dossiers binnen zorginstellingen Versie 1.0 augustus 2015

2 2/10 1. Inleiding Zorginstellingen zijn erop gericht om goede zorg te leveren aan de patiënten. Ter ondersteuning van het leveren van deze zorg gebruiken instellingen informatiesystemen waarin de digitale patiënten dossiers worden vastgelegd (hierna ook EPD). Het gebruik van informatiesystemen zorgt er onder andere voor dat informatie snel beschikbaar is binnen de instelling waar dat nodig is, dat informatie in samenhang gepresenteerd kan worden en efficiëntie wordt bevorderd. Zorgverleners en zorginstellingen hebben daarnaast ook de verantwoordelijkheid de persoonlijke gegevens van patiënten op een zorgvuldige wijze te registreren en de geheimhoudingsplicht te borgen. De Wet bescherming persoonsgegevens en het medisch beroepsgeheim dat is verankerd in de WGBO en de Wet BIG verlangen dit. Deze wetgeving beschermd de gegevens. Maatregelen en beveiliging moeten onrechtmatige en onnodige verwerking en toegang tot vertrouwelijke gegevens voorkomen. Het inrichten van goede autorisatie is daarvoor noodzakelijk. Doel van dit document is een passende handreiking voor de inrichting en het beheer van autorisatie te geven aan ziekenhuizen voor toegang tot de digitale patiëntendossiers in de instellingen, die zowel voldoet aan de wettelijke eisen als werkbaar en beheersbaar is. Dit document bevat een handreiking ten aanzien van de inrichting van processen en systemen in verband met autorisatie voor toegang tot het EPD binnen ziekenhuizen, alsmede de controle daarop.

3 3/10 2. Achtergrond wetgeving en begrippen a. Wetgeving In diverse wetten, zoals onder andere de Wet bescherming persoonsgegevens (Wbp) en de Wet op de geneeskundige behandelingsovereenkomst (WGBO) zijn bepalingen opgenomen over het verwerken van persoonsgegevens van patiënten. Deze wetten regelen door wie voor welke doeleinden, onder welke voorwaarden persoonsgegevens mogen worden verwerkt en aan anderen mogen worden verstrekt. De Wbp geeft algemene voorschriften voor het verwerken van persoonsgegevens, zoals gezondheidsgegevens, en stelt eisen aan de beveiliging van persoonsgegevens. De WGBO regelt de dossierverplichting van de hulpverlener en verankert de geheimhoudingsplicht in de behandelrelatie. Ook is in Wet BIG de geheimhoudingsplicht van professionals opgenomen en verankerd in het tuchtrecht. In het Wetboek van Strafrecht is schending van de geheimhoudingsplicht strafbaar gesteld. Op grond van de WGBO sluit een patiënt een behandelingsovereenkomst met een natuurlijk persoon of rechtspersoon die beroepsmatig handelingen op het gebied van de geneeskunst verricht. Dat is binnen een ziekenhuis de toegelaten medisch specialist en/of het ziekenhuis, afhankelijk van de manier waarop de specialist in het ziekenhuis werkzaam is. Zowel het ziekenhuis als de medisch specialist borgen in de relatie met de patiënt de patiëntenrechten op grond van de WGBO. De patiënt kan in alle gevallen het ziekenhuis aanspreken en hoeft zich daarbij geen zorgen te maken over de arbeidsconstructies en over wie daardoor formeel contractspartij is bij de geneeskundige behandelingsovereenkomst met de patiënt. b. Verantwoordelijke In de Wbp is de verantwoordelijke degene die het doel en de middelen van de gegevensverwerking vaststelt. Het is degene die (alleen of samen met anderen) de zeggenschap heeft over de gegevensverwerking, dat wat er met de gegevens gebeurt. In zorginstellingen worden het doel en de middelen voor de verwerking van persoonsgegevens bepaald door de Raad van Bestuur en is als zodanig de Raad van Bestuur de verantwoordelijke in de zin van de Wbp. De Raad van Bestuur van de zorginstelling is derhalve gehouden tot naleving van de in de Wbp aan de verantwoordelijke opgelegde verplichtingen. Een voorbeeld van een verplichting is de onder c. genoemde beveiligingsplicht. Ook de betrokken hulpverlener binnen de instelling heeft een verantwoordelijkheid ten aanzien van de gegevens. Hij is verantwoordelijk om de juistheid van door hem in het dossier vastgelegde gegevens te bewaken en op hem rust de zelfstandige plicht tot geheimhouding van de gegevens van de patiënt. De verplichting om te voldoen aan het bepaalde in artikel 7:457 eerste en tweede lid BW inzake geheimhouding rust zowel op de individuele hulpverlener als op de Raad van Bestuur van de zorginstelling die formeel de behandelingsovereenkomst aangaat. De zorginstelling is ook de (gemeenschappelijke) verantwoordelijke in de zin van de Wbp. c. Beveiligingsplicht De verantwoordelijke (RvB instelling) hoort passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De beveiliging garandeert, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend

4 4/10 beveiligingsniveau gelet op de risico's van de verwerking en de aard van de te beschermen gegevens. De beveiligingsplicht in de Wbp is algemeen geformuleerd. Zorgaanbieders kunnen (en moeten in veel gevallen) invulling geven aan de verplichting door toepassing van de bestaande normen voor informatiebeveiliging in de gezondheidszorg (NEN7510, 7512 en 7513). Toegang tot gegevens Belangrijke uitgangspunten uit de NEN normen op het gebied van toegangsverlening aan medewerkers tot gegevens in digitale patiëntendossiers zijn onder andere: Er is beleid voor het verlenen van toegang tot informatie: Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen. Dit beleid wordt ondersteund door inzet van technologische middelen. Toegang die gebruikers hebben verkregen tot persoonsgegevens worden vastgelegd in logbestanden (logging). De logbestanden worden periodiek gecontroleerd op indicaties van onrechtmatige toegang of onrechtmatig gebruik van persoonsgegevens en waar nodig wordt actie ondernomen door de verantwoordelijke. d. Behandelrelatie behandelrelatie: in deze Handreiking wordt met 'behandelrelatie' bedoeld de relatie tussen de cliënt en de zorgverlener met wie de cliënt een behandelingsovereenkomst als bedoeld in artikel 7:446, eerste lid BW heeft, of met degene die rechtstreeks betrokken is bij de uitvoering van die behandelingsovereenkomst, of met degene die optreedt als vervanger van degene die een behandelingsovereenkomst heeft met de cliënt.

5 5/10 3. Inrichting Autorisatie uitgangspunten a. Algemeen De instelling dient een autorisatiebeleid en -procedure op te stellen en daarop gebaseerd autorisatieprofielen. Behandelrelatie Uitgangspunt voor autorisatie moet zijn dat medewerkers in een instelling uitsluitend toegang hebben tot patiëntgegevens indien zij een behandelingsovereenkomst hebben met de patiënt of als zij rechtstreeks betrokken zijn bij de uitvoering van een behandelingsovereenkomst die een (andere) zorgaanbieder heeft met de patiënt of optreden als vervanger van die andere zorgaanbieder (samengevat een behandelrelatie hebben). Daarbij dient een medewerker uitsluitend toegang te hebben tot de gegevens die noodzakelijk zijn voor zijn taak in het kader van de behandelingsovereenkomst. Het gaat daarbij niet alleen om medische maar ook om administratieve ondersteuning en beheer van de instelling, voor zover de gegevens daarvoor noodzakelijk zijn (bijvoorbeeld het inschrijven van een patiënt, het inplannen van afspraken). Basis inrichting Als uitgangspunt voor de autorisatie is hiervoor van belang dat medewerkers uitsluitend onder de eigen naam werken (authenticatie op naam). De bevoegdheden zijn ingeperkt tot die patiënten waarmee logischerwijs een behandelrelatie is. De behandelrelatie komt overeen met de werkcontext van de medewerker. Waar mogelijk is de beperking van de toegang zo ingesteld dat uitsluitend patiënten geraadpleegd kunnen worden waarmee ook daadwerkelijk een behandelrelatie is vastgesteld. Na beëindiging van de behandelrelatie zal de toegang tot de gegevens in tijd beperkt moeten zijn voor een periode die redelijkerwijs noodzakelijk is om werkzaamheden in het kader van de behandelrelatie af te ronden. Technische en organisatorische beperking Het totale systeem van autorisatie bestaat uit technische en organisatorische maatregelen om de toegang te regelen. Zover als mogelijk moet de autorisatie middels de software worden ingeregeld. Daar waar dit softwarematig niet mogelijk is- gelet op de stand van de techniek en de kosten van de tenuitvoerlegging- of de veiligheid voor de patiënt dit vereist dienen organisatorische procedures de autorisatie en de controle daarop sluitend te maken. b. Daadwerkelijke toekenning van rechten In alle gevallen dienen rechten per individu of per individu/gebruikersprofiel actueel te zijn en beschikbaar. De rechten moeten worden onderhouden en op juistheid te worden gecontroleerd door de bevoegde persoon of personen. Daarnaast dient een procedure operationeel te zijn waarbij elke personele functiewijziging of -beëindiging op de kortste termijn wordt doorgevoerd in het autorisatieprofiel. c. Uitzonderingssituaties Niet in alle gevallen is vooraf exact vast te stellen voor welke medewerker(s) welke dossiergegevens benaderbaar dienen te zijn. In bepaalde gevallen kan de vereiste beschikbaarheid van gegevens voor de zorg, afwijken van de ingestelde autorisatie. Ingestelde beperkingen in autorisaties mogen nooit de oorzaak zijn van het feit dat

6 6/10 zorgverleners in specifieke situaties niet bij bepaalde gegevens kunnen komen in het kader van het verlenen van noodzakelijke zorg. Daarom zullen ingestelde autorisaties in bijzondere situaties overruled of uitgebreid moeten kunnen worden voor het leveren van noodzakelijke zorg. Hiertoe dient het ziekenhuis te beschikken over een specifieke Noodknopprocedure. Deze Noodknopprocedure (ook wel Breaking the glass genoemd) moet een geformaliseerd onderdeel zijn van de autorisatieprocedures van het ziekenhuis. Alle gevallen waarin gebruik gemaakt wordt van deze Noodprocedure-mogelijkheid dienen te worden gelogd, onder identificatie van de betrokkene en van degene die toegang verkrijgt. Het gebruik van de procedure dient te worden gecontroleerd - zie ook Logging en Controle op logging. d. VIP-regeling Een VIP-regeling betreft het extra afschermen van toegang tot de gegevens van een bepaalde patiënt. Toepassing van een VIP regeling dient in principe niet nodig te zijn als de autorisatieprocedure goed is ingericht en zal dan ook als hoge uitzondering gehanteerd moeten worden. Een VIP-regeling dient, indien dit in de instelling wordt toegepast, in een procedure te zijn geformaliseerd. Vooraf is moeilijk te definiëren wie onder een VIP-regeling kan komen te vallen. Afscherming zal ter beoordeling van de behandelend arts moeten komen. De Raad van Bestuur dient deze bevoegdheid te hebben indien het ziekenhuisbelang daarmee gediend is (bijvoorbeeld zwaarwegend publicitair belang). e. Voorlichting en Informatieverstrekking Het ziekenhuis heeft de verantwoordelijkheid elke patiënt die zich bij het ziekenhuis presenteert te informeren over het omgaan door het ziekenhuis met patiëntgebonden informatie in het digitale dossier. Daarbij dienen de rechten en plichten van de patiënt, artsen en medewerkers van het ziekenhuis te worden duidelijk gemaakt. f. Logging en controle op toegang Toegang tot patiëntgebonden informatie uit het EPD dient in alle gevallen te geschieden op basis van geldende en geïmplementeerde autorisatie-afspraken. De toegang dient te worden gelogd op gangbare wijze. Beveiliging en logging gebeurt overeenkomstig de uitgangspunten zoals gesteld in de NEN 7510 en NEN7513. Bewaren Elke toegang, inclusief de betreffende autorisatie, zal door het ziekenhuis worden gelogd. Deze logging-gegevens zullen minimaal voor een periode van een jaar raadpleegbaar zijn voor de bevoegde persoon of personen, of zoveel langer als nodig is om controles op de rechtmatige toegang tot persoonsgegevens uit te voeren. Ook de loggingbestanden worden conform de beveiligingseisen beveiligd en toegankelijk gemaakt. De totale bewaartermijn dient overeen te komen met de wettelijke bewaartermijn die nu onderwerp van overleg is. Controles Een mislukte toegangspoging alsmede een gerealiseerde niet-reguliere toegang tot het digitale dossier zal via deze logging regulier worden gecontroleerd op rechtmatigheid.

7 7/10 Gevallen waarin van de Noodknopprocedure gebruik is gemaakt zullen op rechtmatigheid worden gecontroleerd. Intelligente logging kan in deze controles voorzien. Daarnaast dient periodiek een steekproef uitgevoerd te worden op toegang tot het systeem conform de vastgestelde autorisatieprocedure. Van de uitgevoerde controles op de logging en het vervolg dat hieraan wordt gegeven, wordt een administratie ter verantwoording bijgehouden. In alle gevallen waarbij een mogelijke onregelmatigheid wordt geconstateerd zal het ziekenhuis nader onderzoek doen. De logging betreffende deze gevallen zal worden veiliggesteld. Toetsingscommissie Een ziekenhuiscommissie zal periodiek de daadwerkelijke gevallen van gebruikmaking van de Noodknopprocedure en onrechtmatigheden ten aanzien van autorisatie nader beoordelen. Acties ziekenhuis In die gevallen waar ernstige onrechtmatigheden worden geconstateerd welke de privacy van de patiënt treffen, zal het ziekenhuis de patiënt informeren en gepaste actie ondernemen. Waar relevant zal de organisatie aanvullende organisatorische of technische maatregelen treffen. g. Sanctiebeleid De Raad van Bestuur zal voor alle gevallen waarin onrechtmatig toegang is gezocht of verkregen, geëigende sanctiemaatregelen nemen naar de betreffende specialist, ziekenhuismedewerker of zover van toepassing gepaste actie ondernemen jegens een ander dan voornoemde. Hiertoe dient het ziekenhuis te beschikken over een geformaliseerd Sanctiebeleid. Dit Sanctiebeleid dient bij elke medisch specialist en ziekenhuismedewerker bekend te zijn. Het ziekenhuis handhaaft het Sanctiebeleid. h. PDCA Cyclus Passende beveiliging is altijd gerelateerd aan de stand van de techniek en de ontwikkeling van de gegevensverwerking. Het is nodig om in de organisatie beleid in te richten voor de periodieke evaluatie van de beveiligingsmaatregelen, waaronder ook de toegang tot patiëntgegevens behoort. Daartoe wordt een zogenaamde Plan Do Check Act (PDCA- Deming circle) cyclus ingericht in de organisatie. Daarnaast zullen ziekenhuizen met elkaar samenwerken om noodzakelijke verbeteringen en aanpassingen van software doorgevoerd te krijgen op basis van evaluatie van beveiligingsmaatregelen, teneinde voor de naleving van artikel 13 Wbp zorg te blijven dragen. i. Toegang voor onderzoek, statistiek of buiten behandelrelatie Soms is toegang tot gegevens mogelijk in het kader van wetenschappelijk onderzoek, statistiek of in uitzonderlijke situaties, bijvoorbeeld het moeten voldoen aan meldingsvoorschriften van de IGZ of de behandeling van een klacht. In die gevallen wordt steeds onder verantwoordelijkheid van de behandelend arts afgewogen welke toegang nodig is, of deze op persoonsniveau kan en mag plaatsvinden en welke

8 8/10 maatregelen nodig zijn om de persoonlijke levenssfeer van patiënten en anderen te beschermen. Daarbij worden de wettelijke uitgangspunten die hiervoor gelden gehanteerd. Deze handreiking gaat niet over die gevallen. 4. Toets op de behandelrelatie in autorisatieproces Ten behoeve van het op juiste wijze autoriseren van gebruikers van het informatiesysteem met de digitale patiëntendossiers is het noodzakelijk om een proces voor het vaststellen en vastleggen van een behandelrelatie te implementeren. In alle gevallen waarin dat mogelijk is moet de behandelrelatie criterium zijn voor toegang van een gebruiker. Dit criterium wordt getoetst nadat aan de andere in dit document gestelde criteria is voldaan. Dit leidt tot de volgende autorisatieschema's voor voorkomende scenario's. Deze kunnen door de zorginstelling worden aangevuld met extra maatregelen: a. Autorisatie met authenticatiemiddel op naam (standaard) De autorisatie vindt plaats op basis van het aan de medewerker uitgegeven authenticatiemiddel op naam (Bijv. ziekenhuispas op naam): a. De autorisatie volgt functie en rol en de gegevenssoorten die daarbij noodzakelijk zijn; en b. De autorisatie volgt de werkcontext van de functie/rol op naam; en c. De autorisatie is afhankelijk van een geregistreerde behandelrelatie: Deze relatie blijkt uit: De patiënt is ingeschreven in de instelling; en De patiënt heeft een geregistreerde afspraak gemaakt via het afsprakenbureau of de poli met de betreffende gebruiker; of De patiënt wordt aan de balie van de poli of betreffende afdeling ingeschreven in de agenda van de betreffende gebruiker (op naam); of De patiënt wordt aan de balie van de betreffende afdeling ingeschreven voor opname en de geautoriseerde (bijv. verpleegkundige) heeft tijdens zijn (gelogde) werkuren toegang nodig tot in potentie alle patiënten op de afdeling. De behandelrelatie is technisch tevens beperkt tot de opnameduur. De patiënt wordt aan de balie van de poli of betreffende afdeling of de afdeling waarvan hij wordt doorverwezen, ingeschreven in de agenda van de betreffende afdeling die betrokken wordt (waar een verrichting moet worden uitgevoerd), en vervolgens bij aanvang van de behandeling of verrichting in het kader van de behandeling door de opvragende gebruiker vastgelegd als 'in behandelrelatie' (de gebruiker legt de behandelrelatie vast in deze omstandigheid, alsnog 'op naam' en tijdelijk, voor de duur van de interventie.) Na sluiten dossier in het scherm is deze behandelrelatie weer afgerond. Deze handeling zou op dezelfde afdeling door een ander of dezelfde persoon op die dag herhaald kunnen worden (behandelrelatie op naam vastgelegd en gelogd). Of als c niet mogelijk is: Er is sprake van een situatie die valt onder de Noodprocedure welke volgens vaste criteria is ingericht en wordt gecontroleerd, teneinde uitsluitend nood- of spoedsituaties te ondersteunen.

9 9/10 Elementen die in elk geval onderdeel uitmaken van de vast te stellen criteria: Er is sprake van een spoedeisende, niet vooruit geplande situatie; De patiënt is (controleerbaar) aanwezig op of onderweg naar de zorglocatie waar gebruiker een behandelrelatie met de patiënt zal aangaan. b. Autorisatie op werklocatie voor specifieke locaties en situaties Bepaald wordt voor welke functies en rollen op welke afdelingen het nodig is om anders dan onder a beschreven toegang te kunnen verlenen, gerelateerd aan de specifieke werklocatie en situatie, bij aanwezigheid van een behandelrelatie welke niet kan worden voorzien. Tenminste wordt daarbij rekening gehouden met: a. De autorisatie volgt functie en rol en de gegevenssoorten die daarbij noodzakelijk kunnen zijn; en b. De autorisatie volgt de werkcontext van de functie/rol; en c. De autorisatie is afhankelijk van een behandelrelatie die wordt aangegaan met een of meerdere beschikbare medewerkers (op een afdeling) binnen de instelling volgend uit: De patiënt is ingeschreven in de instelling; en De patiënt heeft een afspraak gemaakt via het afsprakenbureau of de poli met de betreffende afdeling; of De patiënt wordt aan de balie van de poli of betreffende afdeling ingeschreven in de agenda (voor een bepaalde functie/verrichting/onderzoek/observatie); of De patiënt wordt door de behandelaar op de afdeling of een huisarts doorverwezen voor een onderzoek waarvoor bloed of weefsel wordt afgenomen in de instelling dat op een later moment wordt onderzocht, waarbij de patient op de afdeling van afname wordt ingeschreven/de aanvraag vastgelegd; en Waar mogelijk wordt de toegang alleen gegeven in een bepaalde locatie waar de patiënt aanwezig is, dan wel het onderzoek is verricht of materiaal is afgenomen (bijvoorbeeld IC, OK kamer 1 of SEH); en De duur van de toegang is beperkt tot de functie/afdeling waarvoor toegang in die vorm nodig is (spoedzorg/incidentele zorg); De aanwezigheid van de beschikbare medewerker op de locatie waar toegang voor de medewerker mogelijk is, volgt uit het geregistreerde werkschema van de medewerker (aangemeld op een afdeling waar de toegang mogelijk is conform bovenstaande tijdens de werkuren waarin de toegang wordt verkregen). of als c niet mogelijk is: Er is sprake van een situatie die valt onder de Noodprocedure welke volgens vaste criteria is ingericht en wordt gecontroleerd, teneinde uitsluitend nood- of spoedsituaties te ondersteunen. Elementen die in elk geval onderdeel uitmaken van de vast te stellen criteria: Er is sprake van een spoedeisende, niet vooruit geplande situatie; De patiënt is aanwezig op of onderweg naar de zorglocatie waar gebruiker een behandelrelatie met de patiënt zal aangaan, of: De patiënt komt op de bedoelde afdeling voor een onderzoek dat of verrichting die door een zorgprofessional wordt uitgevoerd, zonder dat van te voren vaststaat welke zorgverlener de handeling zal uitvoeren (bij eerste beschikbaarheid).

10 10/10 c. Autorisatie op naam, met een niet op naam gesteld of aan een rol gekoppeld middel (machtiging) In het ziekenhuis werken verpleegkundigen en artsen in opleiding (AIO). Die werken onder verantwoordelijkheid van een bevoegde opleider/arts. Deze medewerkers kunnen in de situaties onder 4. a en b bij de zorgverlening betrokken worden, al dan niet tijdelijk. Bepaald wordt voor welke functies en rollen op welke afdelingen (conform 4 a en b) het nodig is om met niet op naam of rol uitgegeven authenticatiemiddelen toegang te kunnen verlenen, in de onder a en b genoemde situaties. Een niet op naam en of rol authenticatiemiddel wordt afgegeven middels inschrijving van het identificatienummer van de pas in een uitgifteregister/ uitgiftelogboek (op naam). De pas wordt altijd uitgegeven voor een bepaalde korte periode (resetten wachtwoord na verloop periode) onder mandaat van een verantwoordelijke hulpverlener met authenticatiemiddel op naam; d. Autorisatie voor bepaalde functies tot beperkte gegevens Om de bovengenoemde autorisaties vorm te geven en om bepaalde basale functies uit te voeren hebben medewerkers in een aantal vastgestelde rollen toegang nodig tot beperkte identificerende informatie van de patiënt. Het gaat daarbij om de medewerkers op het afsprakenbureau of op de balie van een afdeling waarbij een patiënt zich moet melden. De medewerker van de inschrijfbalie/ receptie mag de noodzakelijke contactgegevens invoeren en inzien ter controle of verificatie. De medewerker van de balie op een afdeling ziet deze gegevens in combinatie met de doorverwijzing naar de afdeling of een bepaalde hulpverlener op de afdeling, en de agenda. De autorisatie hiertoe kan gekoppeld zijn aan het moment en de plek (dus tijdelijk, voor een poli/afdeling waarnaar verwezen is). De functionaris die de werkzaamheden op dat moment (dag) daar (locatie) uitvoert, heeft een bepaalde functie/rol waarop een autorisatie is ingericht. Dit kan, afhankelijk van de instelling op naam of niet op naam (onder mandaat) plaatsvinden. e. Autorisatie voor administratieve functies tot beperkte gegevens in verband met controle, facturatie en beheer Om bepaalde administratieve functies uit te voeren hebben medewerkers in een aantal vastgestelde rollen toegang nodig tot beperkte identificerende informatie van de patiënt en waar nodig vastgestelde aanvullende gegevensvelden. Het gaat daarbij om de medewerkers op de (financiële) administratie. De autorisaties worden zo beperkt mogelijk, betreffende persoon en of functie, gegevenssoorten en periode, ingericht. Extra beveiligings- en controle maatregelen worden ingericht om misbruik te voorkomen.