Epic privacy en (patient)safety

Where the twain shall meet …

EPIC UGM 15 mei 2014 Arjen Noordzij, Léon Haszing

Wie is wie? Arjen Noordzij

• Spaarne ziekenhuis • Uroloog, opleider • Voorzitter stafbestuur

• EPIC specialist • Voorzitter privacy commissie SZH • Lid informatiebeveiligingsgroep SZH

Léon Haszing

• Radboudumc • IT auditor • Privacyfunctionaris

Epic privacy en (patient)safety

Agenda • Stellingen

• Wet & regelgeving en toezicht

• Individuele zorgverlener & instelling

• Good / best practice

• How to get there?

• Slotoverwegingen

Epic privacy en (patient)safety

Stellingen - casuïstiek Je werkt in het ziekenhuis Je kind is opgenomen in het eigen ziekenhuis. Arts: “bekijk de uitslagen maar in EPIC.” Mag dat?

Epic privacy en (patient)safety

Stellingen - casuïstiek

Je werkt als doktersassistente op een poli. Iemand belt om afspraak te maken. Is niet bekend op die poli, maar wel bij andere afdelingen. Mag je in het dossier kijken?

Epic privacy en (patient)safety

Stellingen - casuïstiek

Patiënte opgenomen voor kankerbehandeling Tijdens opname 2 dagen geplande overplaatsing naar het AvL 1e contactpersoon belt: “Hoe gaat het?” Vpl: “Uw moeder is 2 dagen in het AvL.” “Wat! Heeft mijn moeder kanker??!”

Epic privacy en (patient)safety

Stellingen - casuïstiek

Patiënt overlijdt Vpl laat in EPIC ‘verkeerde patiënt’ overlijden ADT bericht naar huisarts Correctie + nieuw ADT bericht Assistente huisarts ziet alleen 1e bericht Plaatst bericht op facebook…

Epic privacy en (patient)safety

Wet & regelgeving en toezicht Toegang tot gegevens alleen rechtmatig indien en voor zover een medewerker rechtstreeks betrokken is bij de behandeling/zorgverlening van een patiënt en/of bij de beheersmatige afwikkeling daarvan en de toegang beperkt blijft tot de gegevens die noodzakelijk zijn voor de uitvoering van de taken. Art. 21, eerste lid onder a, juncto artikel 9, vierde lid Wbp, juncto artikel 7:457, eerste en tweede lid BW.

Epic privacy en (patient)safety

Wet & regelgeving en toezicht Juni 2013 rapport CBP nav onderzoek bij 9 instellingen:

Geen van de onderzochte instellingen voldoet aan hetgeen wettelijk vereist is.

• Toegang op functie is onvoldoende; • Werkcontext minimaal vereiste maar nog onvoldoende; • Rechtstreekse betrokkenheid (bv vanuit behandelplan); • ‘Noodknop’ mag om veiligheid niet in gevaar te brengen; • Alles moet gelogd worden; • Logging moet structureel beoordeeld worden.

Epic privacy en (patient)safety

Hulpverlener & instelling Individuele hulpverlener: WGBO art. 457, BIG art. 88 Instelling: WGBO art. 457 en art. 446, WBP art. 13 WBP art 13 is uitgewerkt in NEN7510.

Epic privacy en (patient)safety

Good & best practice • Toegang op basis van reële kans betrokkenheid bij

behandeling/zorgverlening; • Zal vaak specialisme zijn (MDO’s, waarneming, collegiaal

overleg); • Uitzonderingen mogen, mits gedocumenteerd en

proportioneel; • Verblijfsafdeling: op basis van registratie verblijf(intentie):

kort ervoor, iets langer erna; • Logging goed inrichten en ‘slim’ beoordelen.

Epic privacy en (patient)safety

How to get there • Laaghangend fruit: ‘makkelijke’ afdelingen met weinig

multidisciplinaire patiënten; • Op basis van: kennis over het proces en informatie uit de

logging; • BTG: nooit blokkerend inrichten; • Integraal loggen; logafhandeling inrichten: ‘slim’ kijken,

incidenten opvolgen, steekproeven.

Epic privacy en (patient)safety

Ten slotte: overwegingen • Patient kan nu ook al zaken afdwingen: bv VIP behandeling

of vertrouwelijke behandeling; • Transparantie zal toenemen door publieksversies privacy

impact assessments; • Privacy is ‘hot’: specifieketoestemming.nl • Verschil in of tussen instellingen zal vervagen: zorgketens,

samenwerkingen, specialisaties • PHR’s en mogelijkheden van patiënten zelf de regie te gaan

voeren: blog Jan Vesseur.

• We moeten het vertrouwen van onze patiënten behouden!