Ook in Wallonië wordt ingebroken in elektronische medische dossiers
Wallonië heeft nu ook zijn privacy-schandaal
BRUSSEL 09/04 - We hebben het al eerder gesignaleerd en we blijven dit doen: toegang tot het elektronisch patiëntendossier is onvoldoende beveiligd.
We hebben de voorbije jaren herhaaldelijk gemeld dat zowel vanuit een perifeer ziekenhuis, AZ Groeninge Kortrijk, als vanuit twee Vlaamse universiteiten, Leuven en Gent, ingebroken werd in verschillende patiëntendossiers.
In Groeninge bracht de arts toen zelfs wijzigingen aan in het dossier, wat het verloop van een gerechtelijke procedure en de daaraan verbonden expertise ernstig beïnvloedde.
In alle gevallen gebeurde de inbraak door een arts, die een opdracht vervulde voor een verzekeringsmaatschappij.
Nu heeft ook het Réseau Santé Wallon (RSW) te maken met een specialist die in het CHU Tivoli in La Louvière werkzaam is, en inbrak in een patiëntendossier. De feiten zijn recent.
Het was niet het controlemechanisme maar de patiënte zelf die vaststelde dat de betrokken arts, waarmee zij al meer dan anderhalf jaar geen contact meer had gehad, toch op eigen initiatief een zogenaamde therapeutische relatie met haar had opgebouwd.
Via dit eenvoudige en eenzijdige manoeuvre kreeg de arts toegang tot haar dossier en kon hij naar believen alle documenten bekijken. Net zoals in de zaak Groeninge, heeft de patiënte de betrokken arts voor de rechtbank gedaagd.
Het Waalse gezondheidsnetwerk zei gisteren in een verklaring van maandag op dat "de mechanismen die ervoor moeten zorgen dat patiënten de controle houden over hun persoonlijke gegevens, welke patiënt X heeft geactiveerd, correct hebben gewerkt". De waarheid is echter dat het veiligheidsmechanisme niet gewerkt heeft en dat de patiënte zich pas bewust werd van de inbraak toen zij zelf inlogde op zijn privé account.
De feiten op een rijtje:
Patiënt X consulteerde ooit specialist Y. Die therapeutische relatie binnen een ziekenhuis eindigt drie maanden na de laatste consultatie. Vanaf dat ogenblik heeft de arts geen automatische toegang meer.
Op 9 januari 2019 logt de patiënte in op haar account. Op dat ogenblik realiseert zij zich dat specialist Y onrechtmatig een paar dagen eerder toegang heeft genomen tot haar dossier. Daartoe had de specialist de therapeutische relatie zonder medeweten van de patiënt hersteld.
"Hij logde tussen 3 en 4 januari tweehonderd veertien keer in op mijn dossier", zegt ze voor de rechtbank. "Mijn laatste bezoek aan hem dateert echter van januari 2017. Hoe kon hij toegang krijgen tot mijn dossier zonder dat er een echte therapeutische relatie tussen ons bestond? "
Verzwarend feit: de patiënte is in conflict met de betrokken arts en het ziekenhuis, CHU Tivoli, wegens een medische fout en wacht op een proces. Waarop patiënte X, die mondiger is dan de specialist verwachtte, deze relatie onmiddellijk en online verbrak en dokter Y voor altijd blokkeerde.
Het was dan ook de patiënte die het Waalse gezondheidsnetwerk RSW alarmeerde. Het RSW gaf haar daarop een gedetailleerd verslag van wat de betrokken specialist had geraadpleegd. En dat bleek een zeer groot aantal documenten te zijn.
Het incident was de aanleiding tot een uitzonderlijke vergadering van het Controlecomité van het Waals Gezondheidsnetwerk (RSW). Daarin zetelen de Federale Commissie voor de Patientenrechten, de Ligue des Usagers des Services de Santé, de Nationale Raad van de Orde van Artsen, de Koninklijke Academie voor Geneeskunde, de Société scientifique de Médecine générale, de Association francophone des Médecins-Chefs, en de Facultés de Droit et d'Informatique van de UNamur.
In een persbericht somt de RSW de maatregelen op die zullen worden genomen uit reactie op deze zaak, die als "ongekend" werd beschouwd, met inbegrip van eventuele juridische stappen. "Dit is geen veiligheidsinbreuk van onze kant", zegt Damien Giry, Data Protection Officer van de RSW.
De twee Franstalige platforms voor de uitwisseling van medische documenten (een Waalse en een Brusselse) zijn net als het Vlaams platform gebaseerd op het principe van de "geïnformeerde toestemming" van de patiënt. Dit betekent dat artsen die in het netwerk zijn geregistreerd, alleen toegang hebben tot de dossiers van patiënten die zich vrijwillig hebben geregistreerd. 1,7 miljoen Walen zijn sinds de oprichting in 2006 tot het netwerk toegetreden. 17.000 artsen hebben in principe toegang, mits ze een "bewezen therapeutische relatie" met de betrokken patiënt delen.
Bij huisartsen wordt deze link gemaakt na het inlezen van de identiteitskaart van de patiënt. In de ziekenhuisomgeving daarentegen "is het aan de ziekenhuizen om te beslissen hoe de therapeutische link kan worden gelegd", zegt Damien Giry. Sommige ziekenhuisadministraties maken gebruik van een identiteitskaart, andere niet. Giry: "Het RSW is slechts een onderaannemer en is niet bevoegd om de therapeutische relatie te controleren of voorwaarden te stellen aan het ontstaan van de therapeutische relatie. We vertrouwen op de ethiek van het ziekenhuis. »
Bij het CHU Tivoli beweert men dat "de therapeutische relatie tussen een arts en zijn patiënt dertig jaar geldig is". Het ziekenhuis zou "verplicht zijn de medische dossiers gedurende deze periode beschikbaar te houden voor raadpleging".... Nogal naast de waarheid. Op het federale eHealth platform staat duidelijk dat een therapeutische relatie in een ziekenhuis beperkt is tot drie maanden. Voor huisartsen is dit één jaar en voor apothekers zes maanden. Op de vraag van de RSW om het bewijs te leveren van een reële therapeutische relatie heeft het CHU Tivoli nog niet gereageerd.
De patiënte nam ook contact met de Ligue des usagers des services de santé (LUSS), die ook contact nam met het ziekenhuis. Zonder resultaat overigens. Bernadette Pirsoul, e-Health Project Manager bij LUSS: "Als de feiten waar zijn, kan dit leiden tot een sanctie voor het ziekenhuis en tot een procedure bij de Orde." Om dit soort situaties te vermijden, pleit de Franstalige federatie van patiëntenverenigingen ervoor dat een therapeutische link alleen mogelijk is door middel van een identiteitskaart en een pincode in een ziekenhuisomgeving (met uitzondering van de hulpdiensten).
Het RSW zegt dat het zijn verplichtingen in het kader van de Algemene Verordening Gegevensbescherming (AVG genoemd) heeft nageleefd. Volgens deze Europese verordening treedt het Waals gezondheidsnetwerk in het kader van de elektronische uitwisseling van gezondheidsgegevens op als onderaannemer van de instellingen en beroepsbeoefenaars uit de gezondheidssector. Het zijn de ziekenhuizen en artsen die de elektronisch uitgewisselde gegevens leveren of raadplegen, die wettelijk verantwoordelijk zijn voor de verwerking ervan. Het ziekenhuis is dus wel degelijk verantwoordelijk.
Tenslotte nog dit: begin dit jaar stelden we het kabinet de vraag hoe vaak er ingebroken werd of onrechtmatig gebruik gemaakt werd. Het kabinet verwees ons door naar de heer Frank Robben van Smals, de organisatie die uiteindelijk instaat voor het beheer van de elektronische medische dossiers. 's Avonds kregen we een telefoontje van de heer Robben: niet één, misschien één inbreuk was tot nu toe gemeld. Dat maakt er nu tenminste twee.
09/04/2019 Auteur: Marc van Impe Bron: MediQuality
