insight featured image
Soms is het voor uw zorginstelling noodzakelijk om bij de behandeling van een patiënt/cliënt acuut toegang tot patiënten- of cliëntendossiers te krijgen. Toch is dit tot op de dag van vandaag een veelgehoord dilemma. Doordat de toegangscontrole vaak niet op orde is, leidt dit tot grote risico’s en zelfs boetes, zoals bij het HagaZiekenhuis. Hanteert uw zorginstelling de juiste uitgangspunten voor toegang tot het zorginformatiesysteem? Check dit door onderstaande aandachtspunten te doorlopen.
Onderwerpen
Blijf op de hoogte van de laatste updates voor de zorgsector

Richt toegangscontrole in en monitor deze

Stel een beleid op wie waar toegang tot heeft

De toegangscontrole begint bij het bepalen van een beleid met als uitgangspunt dat alleen die zorgverleners toegang hebben tot zorginformatie voor de patiënt of cliënt waarmee zij een behandelrelatie hebben. In dit beleid moet u een norm opstellen waaruit blijkt welke rollen en rechten per gebruiker zijn toegestaan in het zorginformatiesysteem: ‘role based access model’. Op basis van een risicoafweging legt u een basis vast per type gebruiker met daarin welke rechten en bevoegdheden deze in het systeem heeft. Het begint bij het goed inregelen van deze basisinrichting.

Zorg voor duidelijke procedures en handhaving

Om te zorgen dat deze basisinrichting gehandhaafd blijft, moet u ook duidelijke procedures opstellen over het (tijdelijk) verlenen van toegang tot bepaalde dossiers en het weer intrekken van deze bevoegdheden. Gaat een behandelaar uit dienst? Is het gebruikersaccount dan wel tijdig geblokkeerd en de toegang tot dossiers ingetrokken? Zorg dat u dit vastlegt in de in- en uitdienstprocedure en controleer periodiek of er nog medewerkers toegang hebben die wellicht niet meer in dienst zijn. Zo krijgt u hier meer grip op.

Houd grip op de noodknop

Het beperken van de toegangsrechten en een snelle en acute zorgverlening staan soms haaks op elkaar. Daarom zijn er zorginformatiesystemen die noodprocedures en een noodknop hebben om toch toegang te krijgen tot een dossier om snel een juiste behandeling uit te voeren. Hoe houdt u grip op het rechtmatig gebruik van deze noodknop? Een belangrijk middel hierbij is ‘logging’. Door het periodiek beoordelen van logging-bestanden monitort u hier actief op en signaleert u eventuele inbreuken. Ook de AP en de NEN 7510-2 (2017) zien het periodiek beoordelen van logging-bestanden als een belangrijke controle om toezicht te houden op de toegang tot dossiers.
Daarnaast is het belang van goede logging-registratie sinds 1 juli 2020 een stuk groter omdat ook de patiënt/cliënt zelf gerechtigd is tot inzage van deze logging-gegevens. Zo kan deze zelf verifiëren wie en wanneer toegang had tot zijn/haar dossier bij het gebruik van een elektronisch uitwisselingsysteem.

Communiceer duidelijk naar uw medewerkers

Communiceer dit beleid en de procedures rondom toegangsrechten en monitoring duidelijk richting uw medewerkers. Zij moeten zich hiervan bewust zijn en weten welke privacyregels gelden.

Stel duidelijke eisen aan beveiligingsmaatregelen

Breng in kaart via welke middelen men toegang heeft

Weet u waar uw toegangsrisico’s zitten ten aanzien van uw zorginformatiesysteem en welke IT-risico’s deze hebben? Toegang tot zorginformatiesystemen gaat tegenwoordig namelijk via meerdere middelen: smartphones, Ipads, webapplicaties of een lokale applicatie op desk- of laptop. Breng in kaart op welke manieren men toegang heeft tot het zorginformatiesysteem en welke IT-risico’s deze middelen mogelijk met zich meebrengen.

Zorg voor een sterk wachtwoordbeleid

Een sterk wachtwoordbeleid is essentieel. Helaas dwingt een zorginformatiesysteem niet altijd een sterk wachtwoordbeleid af of houden niet alle gebruikers zich aan dit wachtwoordbeleid. Een zwak wachtwoordbeleid wordt sneller gekraakt of misbruikt door collega’s wanneer zij elkaars wachtwoord weten. U kan dit risico beperken door een tweefactor authenticatie in te voeren voor het verkrijgen van toegang tot dossiers.

Tips om de wachtwoorden van uw onderneming te versterken

Beperk aantal administrators

Een ander risico is teveel administrator gebruikers binnen het systeem. Deze gebruikers hebben brede rechten en toegang tot alle data. Minimaliseer het aantal administrators en monitor het gebruik door hen om risico’s te beperken.

Zorg voor geautomatiseerde processen (controls automation)

Nu u weet hoe u de basisinrichting rondom toegang inregelt, is het belangrijk om te bepalen waar het restrisico ligt. Kan er toch nog onterecht iemand toegang krijgen? Het handmatig controleren op (onterechte) toegang is erg arbeidsintensief. Implementeer daarom een passende geautomatiseerde interne beheersingsmaatregel via ‘controls automation’.

Bijvoorbeeld een automatische signalering als iemand de ‘noodknop’ gebruikt om toegang tot een dossier te krijgen. Of elke maand een automatisch gegenereerd logbestand op basis van specifieke risicogerichte criteria ter beoordeling. Door dit te automatiseren is de controle efficiënter en effectiever doordat u minder handmatige handelingen hoeft te doen.

Breng in kaart waar uw risico’s vanuit toegangscontrole zitten en hoe het systeem controles hierop nog verder automatisch kan regelen.

Wat zijn nu belangrijke aandachtspunten bij toegangscontrole?

  • Uitgangspunt is dat toegang alleen rechtmatig is als er rechtstreekse betrokkenheid is bij de behandeling of bij de ondersteunende afhandeling daarvan en voor zover noodzakelijk voor die taak.
  • Stel de identiteit van gebruikers vast via tweefactor authenticatie.
  • Risico gebaseerde beheersing van uw zorginformatiesysteem. Waar zit de kritieke toegang, hoe is deze vanuit de rechtenstructuur beheerst en waar zit het restrisico? Welke maatregelen heeft uw zorginstelling vervolgens geïmplementeerd om dit restrisico te beheersen? Denk hierbij aan monitoring maatregelen zoals automatische signaleringen en logging.
  • Er moet een role-based toegangsbeleid aanwezig zijn die periodiek wordt getoetst. Uitgangspunt hierbij is alleen need-to-have toegang.
  • Periodieke controle van logging en follow-up acties.
  • Duidelijke communicatie van het beleid en procedures rondom toegangsrechten en monitoring. Medewerkers moeten zich bewust zijn van het beleid en de privacyregels die gelden.

Geef uw patiënten en cliënten vertrouwen in uw systeem

Door de toegangscontrole goed te regelen, waarborgt u de integriteit van uw zorginformatiesysteem. Dit is essentieel voor het vertrouwen van uw patiënten en cliënten. Wij helpen u graag met het evalueren van uw toegangscontrole en het verbeteren hiervan. Heeft u vragen over het inrichten en monitoren van toegangscontrole? Neem dan contact met ons op.