Patiëntdossiers bevatten gevoelige informatie die privé moet blijven. Daarom is het alleen toegestaan een dossier te raadplegen voor wie een behandelrelatie heeft met de patiënt. Om dit te controleren heeft ons moederbedrijf Enshore in samenwerking met het Martini ziekenhuis Logspect ontwikkelt. Deze applicatie analyseert de logbestanden van patiëntdossiers om te zien of alle inzages met de juiste autorisatie zijn uitgevoerd.
Wettelijke verplichting NEN7510
De NEN 7510 stelt zorginstellingen wettelijk verplicht om de logdata van patiëntdossiers te controleren. Maar zonder specifieke software is het niet mogelijk om dit voor alle dossiers te doen. Daarom stelt de NEN 7510 dat de controle ook handmatig en steekproefsgewijs mag plaatsvinden. Een maatregel die alleen lijkt opgenomen door gebrek aan een geautomatiseerd alternatief.
Vanuit de IT-afdeling van het Martini Ziekenhuis werd kritische gekeken naar een oplossing: geautomatiseerd de logbestanden van alle elektronisch patiëntdossiers analyseren, zoals de NEN 7510 voorschrijft. Logspect maakt dit mogelijk. In tegenstelling tot de steekproef, betekent dit dat de privacy van elke patiënt beter gewaarborgd wordt.
Hoe werkt Logspect?
Logspect analyseert de logdata van patiëntdossiers op verdachte patronen en ‘afwijkingen’. Welke patronen verdacht zijn, wordt geconfigureerd worden door de gebruiker (regels opstellen). Afwijkingen (opvallend afwijkende waarden) worden gevonden door Logspect zelf, op basis van statistische berekeningen.
1. Regels opstellen
Het is voor de gebruiker mogelijk om regels op te stellen die kunnen duiden op verdachte patronen. Hiermee kiest de gebruiker bijvoorbeeld om waardes met elkaar te vergelijken.
Voorbeeld: de achternaam van de behandelaar die een dossier inziet komt overeen met die van de patiënt.
2. Opvallend afwijkende waarden
Opvallend afwijkende waarden zijn waarden in de logdata die afsteken tegen het ‘normaal’. Logspect detecteert deze waardes en meldt deze aan de gebruiker.
Voorbeeld: Gemiddeld wordt een dossier 5 keer per week opgevraagd. Als een dossier in één week 40 keer wordt opgevraagd, steekt dit af tegen het normale patroon. Logspect detecteert dit als afwijking.
Via een dashboard krijgt de gebruiker van Logspect meldingen van de verdachte patronen en afwijkingen. Deze kunnen verder worden onderzocht door de data van de behandelaar en patiënt in te zien. Deze gegevens worden gepseudonimiseerd weergegeven. Dit betekent dat alleen het verband tussen de gegevens betekenis heeft, maar de gegevens zelf niet. De gegevens zijn dus veilig en privé, zodat de gebruiker onbevooroordeeld onderzoek kan doen naar de situatie.
Als de gebruiker na zijn onderzoek de betrokkenen wil achterhalen, is het mogelijk de gepseudonimiseerde data te herleiden naar de oorspronkelijke gegevens. Dit maakt het mogelijk de betrokken personen te betrekken, mocht de situatie erom vragen.
Verbeterde privacy en processen
Logspect heeft zich snel bewezen door met waardevolle inzichten te komen. Al in de testfase kwamen er inzages naar boven die voldeden aan de opgestelde regels en afwijkingen. Dit zorgde niet alleen voor inzichten waarmee in de toekomst de privacy van patiënten verbeterd kan worden, maar ook voor betere processen. Logspect gaf namelijk ook meldingen van inzages die bij nader onderzoek rechtmatig bleken, maar waar de behandelaar dit niet goed kon loggen. Met deze inzichten is het autorisatieproces om toegang te krijgen tot het EPD geoptimaliseerd.
Logspect inzetten in uw organisatie? Plan een demo in of kijk op nestor-security.nl/tools/logspect