Inzage in patiëntendossiers en de NIS2 – Logspect 

Inzage in patiëntendossiers en de NIS2 – Logspect 

Werkt uw organisatie met patiëntendossiers? Dan weet u hoe belangrijk het waarborgen van privacy en veiligheid is. Veel ziekenhuizen controleren steekproefsgewijs of de juiste mensen, de juiste dossiers bekijken. Een maatregel die vaak wordt genomen bij gebrek aan een beter alternatief. Maar de kans dat u iets tegenkomt bij een steekproef op duizenden inzages is echter erg klein. De NIS2 biedt zorginstellingen duidelijke richtlijnen om gevoelige medische informatie te beschermen tegen datalekken en andere bedreigingen en stelt duidelijke eisen aan het melden van incidenten. Met de meldplicht van incidenten vanuit de NIS2 is het belangrijk een betere analyse uit te voeren over wie patiëntendossiers inziet, zodat u incidenten op tijd detecteert. Daarom hebben wij in samenwerking met het Martini Ziekenhuis Logspect ontwikkeld. Logspect is een applicatie die alle raadplegingen van een elektronisch patiëntendossiers (EPD) analyseert.

Meldplicht vanuit de NIS2

In Nederland gelden sowieso al specifieke regels voor het loggen van toegang tot patiëntendossiers. Volgens de Wet aanvullende bepalingen gegevensverwerking in de zorg moet u vastleggen wie toegang heeft tot elektronische dossiers en wie daarin werkt. Maar zoals eerder benoemd mocht dit steekproefsgewijs. De NIS2 stelt echter duidelijke eisen aan het melden van incidenten. Een incident wordt gedefinieerd als een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gegevens of diensten in gevaar brengt. Dit kan bijvoorbeeld gebeuren als onbevoegde personen toegang krijgen tot patiëntendossiers. Met Logspect kunt u alle incidenten detecteren en dus voldoen aan de meldplicht vanuit de NIS2. 

100% van de EPD-raadplegingen analyseren 

Met Logspect geven we uw organisatie meer tooling om een volledig beeld te krijgen van de EPD-raadplegingen. Logspect maakt het namelijk mogelijk om 100% van de EPD-raadplegingen automatisch te analyseren. In tegenstelling tot de steekproef, betekent dit dat de privacy van alle patiënten beter gewaarborgd wordt.  

Hoe werkt dat? 
Logspect analyseert de inzages van patiëntendossiers op afwijkingen. Deze afwijkingen kunnen op twee manieren worden gedetecteerd: 

  1. De gebruiker stelt criteria op 

Het is voor de gebruikers, bijvoorbeeld uw security officers, mogelijk om criteria op te stellen waaraan degene die het dossier inziet moet voldoen. Hiermee kiest de gebruiker bijvoorbeeld om waardes met elkaar te vergelijken. Door de flexibele opzet kunnen we bijna alle denkbare gegevens inlezen en vergelijken, afdelingen, meisjesnamen, functies, etc. 

Bijvoorbeeld: De achternaam van de medewerker die het dossier inziet mag niet overeenkomen met de naam van de patiënt of de medewerker moet op dezelfde afdeling ingeroosterd staan als waar de patiënt behandeld wordt. 

  1. Opvallende inzages 

Opvallende inzages zijn inzages in de logdata die afsteken tegen het ‘normale’ patroon. Logspect detecteert deze inzage en markeert deze als afwijking. 

Voorbeeld: Een arts bekijkt vaak een bepaald dossier, waar verder geen andere medewerkers in kijken. Dit steekt af tegen het normale patroon, waardoor Logspect dit detecteert als een abnormaliteit. 

De gebruiker bekijkt meldingen van gedetecteerde afwijkingen via een dashboard. Vervolgens kunnen deze afwijkingen verder worden onderzocht door de data de onderliggende inzages in te zien. De gegevens worden anoniem weergegeven. Dit betekent dat alleen het verband tussen de gegevens een betekenis heeft, maar de gegevens zelf niet. Zo kan de gebruiker onbevooroordeeld zijn analyse uitvoeren.  

Mocht de situatie erom vragen, is het mogelijk om de gepseudonimiseerde gegevens te herleiden naar de oorspronkelijke gegevens van de betrokken personen, bijvoorbeeld als u na het analyseren van een afwijking de situatie verder wilt onderzoeken. 

Verbeteringen Logspect na gebruik in de praktijk 

Logspect heeft zich in de praktijk al bewezen bij meerdere ziekenhuizen en zorgaanbieders. Door testen in de praktijk werd duidelijk welke verbeteringen nodig waren.  

Bewijs tonen 
Wanneer u controles hebt uitgevoerd over de inzages van patiëntendossiers wilt u dit kunnen aantonen een een externe auditor, om te laten zien dat uw organisaties voldoet aan de richtlijnen. Logspect biedt daarom de mogelijkheid om bewijs te tonen dat u deze controles uitvoert. Dit houdt in dat u kunt aantonen welke controles zijn uitgevoerd en wanneer, wat essentieel is voor een transparante en verifieerbare audit trail. 

Inzages groeperen 
Het is essentieel om duidelijk inzicht te hebben wanneer een gebruiker herhaaldelijk één of meerdere regels overtreedt. Daarom hebben we in Logspect de functionaliteit toegevoegd om inzages per gebruiker te groeperen. Deze functie maakt het mogelijk om verschillende overtredingen van een gebruiker samen te voegen, waardoor u patronen kunt identificeren en gericht actie kunt ondernemen, zoals het informeren van een leidinggevende. 

Koppelen van applicaties 
Het detecteren van afwijkingen vereist informatie uit diverse bronnen. Denk aan patiëntendossiers, gegevens over wie de dossiers heeft ingezien, en soms ook roosterinformatie. Al deze gegevens komen uit verschillende applicaties. Met Logspect is het mogelijk om deze verschillende applicaties te koppelen, om een geïntegreerd en compleet overzicht te bieden.

Waarom Logspect gebruiken  

Logspect biedt uitgebreide controle over de inzage in patiëntendossiers, waardoor u veel meer grip krijgt op wat er binnen uw organisatie gebeurt. In plaats van beperkte steekproeven, kunt u alle inzages analyseren op merkwaardige patronen, wat leidt tot een beter beheer van patiëntengegevens. Daarnaast verhoogt Logspect de bewustwording bij medewerkers; door hen te informeren over de verbeterde controles, zullen zij zorgvuldiger omgaan met het inzien van dossiers. Met gebrek aan beter was het in het verleden oke om steekproefsgewijs controles uit te voeren over de inzages in patiëntendossiers. Maar met de komst van Logspect is het nu mogelijk om een volledige controle te doen, wat ervoor zorgt dat patiëntgegevens altijd veilig zijn bij uw organisatie.