Het bericht over de inloggegevens van medische dossiers wordt gemeld door Medisch Contact. Momenteel bepalen de zorginstellingen zelf hoe lang zij de inloggegevens bewaren. Die termijnen lopen uiteen van twee tot vijftien jaar.
De Autoriteit Persoonsgegevens (AP) hanteert momenteel als stelregel dat zorginstellingen de gegevens moeten opslaan zo lang als dat nodig is ‘in het belang van de patiënt’. Voormalig VWS-minister Edith Schippers stelde in 2016 echter dat het nodig is om ‘te allen tijde te kunnen achterhalen’ wie een dossier heeft ingezien.
Samantha de Jong
De kwestie werd actueel toen tal van medewerkers van het Haga Ziekenhuis vorig jaar de medische gegevens bleken te hebben bekeken van reality-persoonlijkheid Samantha de Jong, beter bekend als Barbie. In totaal kregen 85 medewerkers van het ziekenhuis hiervoor een officiële berisping.
Bewaartermijn medische dossiers
Voor de medische dossiers zelf geldt momenteel een bewaartermijn van ten minste vijftien jaar. De AP gaf eerder aan dat eenzelfde termijn voor de inloggegevens zou kunnen gaan gelden. Maar het ministerie van VWS liet weten dat dat vanwege de ‘bulk aan data’ mogelijk op praktische bezwaren stuit.
Richtlijn inloggegevens
Diverse ziekenhuizen geven inmiddels aan dat zij wachten op landelijke afspraken op dit vlak. Een woordvoerder van minister Bruins voor Medische Zorg laat weten dat het ministerie aan een richtlijn werkt. De verwachting is dat deze er ‘in de eerste helft van 2019’ gaat komen.
Ehhh… De NEN 7513 gaat over logging. De op te stellen richtlijn over inlog gegevens. Is, volgens mij, toch iets anders.
In het Besluit elektronische gegevensverwerking door zorgaanbieders (AMvB van 10 november 2017), die heel specifiek gaat over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders is in artikel 5 bepaald, dat de zorgaanbieder als verantwoordelijke voor een zorginformatie-systeem en de verantwoordelijke voor een elektronisch uitwisselingssysteem er zorg voor dient te dragen, dat de logging van het systeem voldoet aan het bepaalde in NEN 7513.
In NEN 7513:2018 is in onderdeel 8.5 specifiek aangegeven dat de de bewaartermijn voor logginggegevens minimaal 2 jaar en maximaal 15 jaar is. Deze 15 jaar is gerelateerd aan de algemene bewaartermijn van een medisch dossier.
NEN 7513:2018 schrijft feitelijk voor dat de bewaartermijn voor logginggegevens 2 jaar is, TENZIJ er een reden is om daarvan af te wijken. Een afwijking op de standaard minimale bewaartermijn voor loggegevens van 2 jaar treedt, ingevolge het bijschrijft bij de betreffende eis in NEN 7513:2018, bijvoorbeeld op “in geval er een klacht is ingediend of als er een juridische procedure aanhangig is gemaakt m.b.t. het onterecht raadplegen van een elektronisch patiëntdossier en/of m.b.t. het inhoudelijk handelen van de zorgverlener en/of zorginstelling”. In dat geval is voorgescrheven dat de loggegevens van het raadplegen van het patiëntdossier van de betreffende cliënt gefixeerd worden en apart wordt opgeslagen, zodat de logging langer kan worden bewaard dan de standaard termijn, tot maximaal 10 jaar na het ontstaan van de logging. (De termijn van 10 jaar wordt algemeen aangehouden voor het indienen van een klacht of procedure medisch tuchtrecht).
Het veld gaat er vanuit, dat VWS en AP bovenstaande als uitgangspunt hanteren bij het opstellen van de aangekondigde richtlijn. Dat betekent dat de bewaartermijn van logginggegevens in principe 2 jaar is.