Handreiking bij gedragscode raadplegen patiëntendossiers

Waarom is een gedragscode belangrijk

Nij Smellinghe hecht in zeer hoge mate aan het respecteren van privacybelangen van patiënten. Patiënten moeten erop kunnen vertrouwen dat hun gegevens in veilige handen zijn.

Naast veiligheid is snelle toegang tot medische informatie vooral in urgente situaties van belang. Daarom hebben alle behandelaars en zorgverleners in principe toegang tot het digitale patiëntendossier. Ook ondersteunende medewerkers (bijvoorbeeld poli, secretaresses) hebben toegang tot patiëntengegevens.

Op grond van artikel 88 Wet BIG en artikel 7:457 BW heeft iedere medewerker beroepsgeheim en mag hij/zij geen medische informatie raadplegen als hij/zij niet direct is betrokken bij de zorgverlening of behandeling.

In Nij Smellinghe gebruiken we het patiëntendossier voor een goed verloop en goede administratie van de patiëntenzorg.

Natuurlijk moeten de gegevens altijd toegankelijk zijn voor medewerkers die betrokken zijn bij de behandeling of zorg voor een specifieke patiënt. Maar tegelijkertijd mogen die gegevens niet in handen komen van medewerkers die niets te maken hebben met die patiënt. Maatregelen op het gebied van autorisaties (wie kan er bij de gegevens), logging (bijhouden van raadplegingen gegevens) en controle van logging zijn daarvoor onontbeerlijk.

Deze gedragscode gaat over het raadplegen van patiëntgegevens en medische informatie.

Het doel van de gedragscode is dat helder is welke regels binnen Nij Smellinghe gelden bij het raadplegen van patiëntendossiers en hoe dit wordt gecontroleerd en gesanctioneerd.

Wanneer mag het patiëntendossier niet worden geopend

Het is verboden om het dossier te openen als dat voor de uitoefening van je vak niet nodig is en als er geen sprake is van (ondersteuning bij) een zorg- of behandelrelatie of intercollegiale toetsing door hulpverleners. Bijvoorbeeld in de volgende situaties is het niet toegestaan om het dossier te raadplegen:

  • Een familielid, kind, vriend, kennis, buurman
  • Een spraakmakende zaak (ongeluk, criminaliteit)
  • Een plaatselijke of landelijke bekendheid
  • Het eigen dossier (je hebt als patiënt recht om het in te zien, via de daarvoor geldende procedure)

Ook OK-lijsten, bezetting van verloskamers en andere planningen zijn alleen toegankelijk voor personeel dat hier vanuit zijn/haar werk mee bezig moet zijn.

Voorbeeldsituaties van “geen zorg-relatie tot patiënt”, waarbij je als medewerker wordt geacht om het medisch dossier niet te raadplegen:

  • De buurman is via de SEH binnengekomen en je checkt wat er aan de hand is
  • De vrouw van een collega staat op punt van bevallen en je raadpleegt het schema van de verloskamers
  • In de krant staat dat iemand zwaar gewond naar het ziekenhuis is gebracht nadat hij is aangereden door een dronken automobilist. Je zoekt uit wie er is binnengekomen en raadpleegt vervolgens het EPD
  • Je bent ook patiënt bij Nij Smellinghe en kijkt in je dossier of je lab-uitslagen al bekend zijn
  • Je wilt weten hoe laat je zoontje ook al weer een afspraak had bij de KNO arts en kijkt in de planning
  • Een collega wordt opgenomen en dient een klacht in over de behandelend specialist. Je kijkt in het dossier wat er aan de hand is.

De norm is dat de medewerker niet in een dossier kijkt als dat niet nodig is. De afweging of het wel of niet geoorloofd is, zou niet aan de orde hoeven zijn. Als er een zorg- of behandelrelatie is, dan is het uiteraard de bedoeling om het dossier te openen. Ook is het raadplegen van het dossier van belang voor een goed verloop van de patiëntenzorg en goede administratie.

Twijfel
Ondanks de heldere regels, kan er toch een situatie ontstaan waarin een medewerker twijfelt, vooral als er een persoonlijke én een professionele relatie is. In dat geval wordt van hem of haar verwacht dat hij/zij het gesprek aangaat met de leidinggevende. Voor zover mogelijk, zal altijd naar een oplossing worden gezocht (bijvoorbeeld overdracht naar een collega).

Wanneer mag het patiëntendossier wel worden geopend

In alle gevallen waarbij een behandel- of zorgrelatie is of raadpleging van een deel van de gegevens nodig is om het vak uit te oefenen, administratieve/secretariële afhandeling te doen of kwaliteit te toetsen en te verbeteren. Dus werk dat de medewerker doet, en in zijn/haar plaats een andere collega precies zo zou doen. Zodra persoonlijke belangen, persoonlijke relaties of nieuwsgierigheid de drijfveer zijn om het patiëntendossier te openen, is de grens overschreden.

Gedragscode

In de gedragscode worden de regels en voorwaarden rond het gebruik van patiëntendossiers omschreven.

Om medewerkers te kunnen aanspreken op de uitvoering van regels en eventueel het te kunnen sanctioneren is het van belang dat

  • er een gedragscode is;
  • deze gedragscode is gecommuniceerd.

De gedragscode, die ook vanuit arbeidsrechtelijk oogpunt voldoet, is bijgevoegd.

HIX

Het raadplegen van het patiëntendossier gaat via HIX. Bij de inrichting van HIX is m.b.t. toegankelijkheid een aantal keuzes gemaakt. Zo krijgen HIX-gebruikers autorisaties vanuit een bepaalde rol: bijvoorbeeld als verpleegkundige of als specialist. Per rol wordt vastgesteld welke patiënten worden aangeboden in HIX en wat van die patiënten getoond wordt vanuit het patiëntendossier.

De meeste rollen kunnen in het HIX patiënten zoeken op naam en geboortedatum. Een aantal rollen (zoals externe onderzoekers) kan dit niet en krijgt een lijst met patiënten aangeboden.

Bij het raadplegen van HIX wordt niet specifiek aan de HIX-gebruiker gevraagd of er een behandelrelatie is. Dit is de eigen verantwoordelijkheid van de professional. Een verpleegkundige kan bijvoorbeeld alle patiëntgegevens van de eigen afdeling raadplegen, maar ook patiënten opzoeken van andere afdelingen en alle poli’s. Afhankelijk van de rol kan dan ook nog toegang tot uitslagen worden verkregen.

Een voorwaarde voor het werken met HIX is het volgen van een training, waarbij aandacht is voor privacy.

Controle

Bij een vermoeden van overtreding kan er een onderzoek worden gedaan. Daarnaast zal het ziekenhuis (in ieder geval twee keer per jaar) steekproeven houden. Als dit vermoedens van overtreding oplevert, kan op individueel niveau nader onderzoek plaatsvinden. Het is van belang dat open wordt gecommuniceerd dat deze controles plaatsvinden en dat in die controles kan worden achterhaald welk dossier hoe vaak door wie is geopend.

Het uitvoeren van de steekproef wordt gedaan door de toetsingscommissie die is ingesteld door de Raad van Bestuur.

Sanctie/arbeidsrechtelijke maatregel

Het is niet de bedoeling dat medewerkers zich nu bezwaard moeten voelen bij het raadplegen van een dossier. Deze sanctie wordt vastgesteld voor de gevallen waarin iemand toch op de verkeerde gronden het dossier raadpleegt.

Als vermoedens ontstaan dat een medewerker ten onrechte (bijvoorbeeld uit persoonlijke interesse of op basis van een persoonlijke relatie) een dossier heeft geraadpleegd, dan krijgt hij/zij eerst de gelegenheid om tekst en uitleg te geven aan de Raad van Bestuur of een leidinggevende die namens de Raad van Bestuur optreedt. Hoor en wederhoor wordt toegepast.

Als er een overtreding wordt geconstateerd, dan zal dit consequenties hebben. Afhankelijk van de ernst van de overtreding kunnen deze consequenties zijn: waarschuwing of schorsing. Mocht de schending van de privacy ernstig zijn (bijvoorbeeld als de gegevens van een bekende Nederlander worden geraadpleegd en de informatie ook nog wordt gedeeld in de kantine van de voetbalclub) dan kan dit aanleiding zijn om onmiddellijk een ontslagprocedure te starten. Uiteraard worden hierbij de gebruikelijke zorgvuldigheidsvereisten in acht genomen.

Voor de duidelijkheid: dit gaat echt om gevallen waarbij iemand niets te zoeken had in het patiëntendossier en er na onderzoek geen sluitende verklaring kon worden gegeven, ook niet door leidinggevenden, collega’s of specialisten. De arbeidsrechtelijke maatregel is niet bedoeld voor de grensgevallen die iedereen soms tegenkomt in het werk; bijvoorbeeld als er onbedoeld toch informatie onder ogen komt bij de uitvoering van behandeling of zorg. De beschikbaarheid van medische gegevens kan nooit helemaal worden “dichtgetimmerd”. Mocht iemand zich achteraf ongemakkelijk voelen (bijvoorbeeld omdat per ongeluk een verkeerd dossier is geopend), dan kan hij/zij dit altijd melden bij zijn/haar leidinggevende en een VIM melding doen. Mochten er dan toch vragen ontstaan n.a.v. een steekproef, dan kunnen medewerker en leidinggevende dit samen uitstekend verantwoorden.

Van toepassing zijnde regelgeving

Het beroepsgeheim en de bescherming van persoonsgegevens is in wetgeving en interne regels verankerd:

  • WGBO (wet op geneeskundige behandel overeenkomst)
  • WBP (wet bescherming persoonsgegevens)
  • Burgerlijk Wetboek
  • Beroepsvereniging/BIG/ beroepscodes
  • Beleidsdocument NEN 7510
  • Privacy regels internet- en e-mail

Er zijn twee interne beleidsdocumenten vastgesteld (NEN 7510 en privacy regels internet en e-mail).

De handreiking bij de gedragscode raadplegen patiëntendossier is vastgesteld door de Raad van Bestuur op 23 ­­januari 2017.

GEDRAGSCODE raadplegen patiëntendossiers Nij Smellinghe

Inleiding

In Nij Smellinghe wordt ziekenhuis breed gebruik gemaakt van het EPD op basis van HIX en daarnaast nog van een aantal specifieke systemen voor bijvoorbeeld de klinische farmacie en het Klinische Chemisch laboratorium. Hierna te noemen: ‘EPD’.

In het EPD staan vertrouwelijke persoons-, medische en andere gegevens van patiënten die in Nij Smellinghe in onderzoek en/of behandeling zijn of zijn geweest en/of opgenomen zijn of zijn geweest. Al deze gegevens vallen onder het medisch beroepsgeheim, wat onder andere wil zeggen dat een zorgverlener of behandelaar gegevens van een patiënt niet aan anderen mag verstrekken.

Dit medisch beroepsgeheim en het informeren van patiënten is onder meer opgenomen in de Wet op de Geneeskundige Behandel Overeenkomst (WGBO). Deze wet is ook van toepassing op het omgaan met het EPD. De Wet bescherming persoonsgegevens (WBP) geeft regels voor een zorgvuldige omgang met de persoonsgegevens. Ook deze wet is van toepassing op de gegevens in het EPD en allen die daar gebruik van maken.
Doelstelling van de gedragscode is om zorgvuldig gebruik van het EPD te bewerkstelligen. Nij Smellinghe heeft een handreiking en een gedragscode vastgesteld om medewerkers houvast te bieden bij het omgaan met het EPD.

De gedragscode is nadrukkelijk niet bedoeld om medewerkers in hun werken te belemmeren.

Regels en voorwaarden voor het gebruik van het EPD
  1. Een medewerker heeft uitsluitend toegang tot het EPD voor zover en in de mate waarin dat noodzakelijk is voor een goed verloop en goede administratie van de patiëntenzorg. Dit geldt bijvoorbeeld voor medewerkers op de polikliniek en in de kliniek die direct betrokken zijn bij de behandeling en verzorging en een medisch inhoudelijke rol vervullen bij de behandeling van de patiënt. Dit geldt ook voor in consult geroepen specialisten en gespecialiseerde verpleegkundigen en andere professionals, zoals diëtisten, medisch maatschappelijk werk en voor collegiale bespreking. Voorbeelden geoorloofde dossierraadpleging zoals hierboven bedoeld:
    • Consultvraag van een huisarts of collega specialist, dus degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst; is in het belang van het goed verloop van de patiëntenzorg.
    • Medewerkers van medisch ondersteunende afdelingen of medisch specialisten raadplegen een patiëntendossier om bij onduidelijkheid van aanvragen (betreffende inzender, herkomst van het materiaal e.d.) de ontbrekende informatie te achterhalen. Bovendien is er sprake van consultatie zodra van een patiënt microbiologisch onderzoek wordt aangevraagd, en is raadpleging van het EPD ter verduidelijking van de vraagstelling en ter beoordeling van de relevantie van de onderzoeksresultaten, van belang.
    • Medewerkers van poliklinieken zien patiëntendossiers in om spreekuren van de medisch specialist voor te bereiden; zij controleren bijvoorbeeld of aangevraagde onderzoeken zijn gedaan en of alsnog gedaan moeten worden.
  2. Informatie in het EPD is vertrouwelijk.
  3. Elke medewerker die het EPD inziet en van het EPD gebruik gaat maken dient zich vooraf geschoold te hebben in het goed en veilig gebruik van het EPD. Elke medewerker is verantwoordelijk voor het goed afschermen van het EPD zodat derden niet in de gelegenheid worden gesteld om het EPD onrechtmatig te gebruiken. Hieronder vallen onder meer het geheimhouden en het niet delen van toegangscodes en wachtwoorden/passwords, het verlaten van het programma of het vergrendelen van de pc bij het verlaten van de kamer. Alle handelingen die onder de inlognaam en/of code van een betreffende medewerker zijn verricht vallen onder de verantwoordelijkheid van de betrokken medewerker.
Maatregelen ter controle van goed gebruik van het EPD

Om de bescherming en de veiligheid van de patiëntgegevens te waarborgen is een aantal controlemaatregelen genomen:

  1. Elk gebruik van het EPD wordt vastgelegd en centraal gelogd. Op deze login-gegevens is te zien onder welke naam is ingelogd, welke datum en tijd, en welk dossier en welke patiënt het betreft.
  2. In het EPD wordt de ingelogde persoon boven in het scherm getoond.
  3. Steekproefsgewijs wordt in opdracht van de Raad van Bestuur gecontroleerd of de personen die in het EPD hebben ingelogd conform de hierboven genoemde voorwaarden hiertoe bevoegd waren. Deze steekproeven worden onder meer gedaan op naam, op postcode, op datum en op afdeling. Het uitvoeren van de steekproef gebeurt door de toetsingscommissie die is ingesteld door de Raad van Bestuur en waarvan de leden door de Raad van Bestuur worden benoemd. Twee maal per jaar en vaker indien daar aanleiding toe is, worden steekproeven gedaan. Indien de steekproef vragen oproept over de legitimiteit van de inzage in het EPD door de medewerker, wordt de informatie aan de leidinggevende verstrekt. Deze controleert de informatie en hoort indien noodzakelijk de betrokken medewerker.
  4. Vermoeden van misbruik dient de werknemer te melden bij zijn /haar leidinggevende.
Misbruik van de regels en schending van de gedragscode

Schending van de genoemde voorwaarden wordt beschouwd als misbruik van het EPD en schending van de geheimhoudingsplicht en de Wet Bescherming Persoonsgegevens. Het opzettelijk schenden van het beroepsgeheim is niet alleen tuchtrechtelijk strafbaar, maar is tevens strafbaar gesteld in het Wetboek van Strafrecht en de Wet Bescherming Persoonsgegevens.
In geval van ernstig vermoeden van handelen in strijd met deze gedragscode behoudt Nij Smellinghe zich het recht voor om alle door de betreffende medewerker geraadpleegde of bewerkte bestanden en gegevens te controleren.
Bij oneigenlijk gebruik kan Nij Smellinghe een waarschuwing geven of arbeidsrechtelijke maatregelen nemen, afhankelijk van de ernst van het misbruik of de overtreding. Daarnaast kan besloten worden melding te doen aan het tuchtcollege en de strafrechter.

De gedragscode EPD en handreiking raadplegen patiënten dossiers zijn in samenhang vastgesteld door de Raad van Bestuur op 23 januari 2017.