De medische dossiers van honderdduizenden patiënten van het OLVG in Amsterdam waren jarenlang toegankelijk voor medewerkers die ze niet mochten inzien. Hoe kon het grootste ziekenhuis van Nederland zo slordig zijn?

Wilt u dit artikel liever beluisteren? Hieronder staat de door Blendle voorgelezen versie.

Dit voelt niet goed, denkt Laura. Op het scherm voor haar verschijnt de volledige medische geschiedenis van een vriendin. Haar afspraken in het ziekenhuis, haar diagnose, haar medicijnen, haar thuissituatie, de opmerkingen die de artsen en verpleegkundigen in het dossier hebben geschreven. Meer privé dan dit kunnen gegevens niet worden. Toch kostte het Laura geen enkele moeite de geheime informatie op te roepen: naam invoeren in het zoekvenster en daar was ze. Snel klikt Laura het scherm weg, dit wil ze allemaal niet weten.

Een paar weken daarvoor heeft Laura zich gemeld bij het flexbureau van het OLVG in Amsterdam, qua patiëntenaantal het grootste ziekenhuis van het land. Ze zoekt een bijbaantje. Het flexbureau regelt werk voor verpleegkundigen en verzorgenden die niet in vast dienstverband willen werken, maar heeft ook functies voor studenten. Vooral bij geneeskundestudenten die al wat ervaring in het ziekenhuis willen opdoen zijn het geliefde bijverdiensten. Maar ook studenten van andere studies zijn welkom: Laura doet filosofie.

Het ziekenhuis kan mensen als Laura goed gebruiken. Ze zijn breed inzetbaar, leren snel, werken hard, en door de enorme krapte op de arbeidsmarkt zijn ze altijd gisteren nodig.

Dus als Laura haar cv en motivatiebrief heeft ingeleverd, wordt ze meteen opgeroepen voor een gesprek. Binnen vijf minuten is duidelijk dat ze snel kan beginnen. Als polikliniek-assistent: telefoon opnemen, afspraken inplannen, lengte en gewicht invoeren van patiënten. Na een korte uitleg slaat ze die gegevens op in een apart scherm van het elektronisch patiëntendossier, de rest van het dossier is voor haar werk niet van belang.

Roddelen uit dossiers

Toch merkt ze dat collega’s elkaar verhalen opdissen uit de dossiers, dat ze grasduinen in de opmerkingen die artsen en verpleegkundigen over de patiënten hebben genoteerd. Raar, denkt Laura, maar het gaat wel om patiënten die een afspraak hebben op de polikliniek en zal dus wel zijn toegestaan, vermoedt ze. Tot ze merkt dat een andere assistent het dossier van haar dochter erbij pakt, die elders in het ziekenhuis een aantal afspraken heeft staan. De moeder print het dossier om thuis samen met haar dochter te kunnen bespreken.

Dat mag niet. De Autoriteit Persoonsgegevens (AP) ziet er in Nederland op toe dat de privacy door (zorg)instellingen goed wordt bewaakt. De gouden regel is: alleen wanneer het voor de behandeling van de patiënt noodzakelijk is, moeten artsen, verpleegkundigen of andere medewerkers een medisch dossier kunnen inkijken. Ziekenhuizen moeten dat organisatorisch en technisch goed regelen. Dat betekent bijvoorbeeld dat er een noodoplossing is als een patiënt met acute problemen wordt binnengebracht: de break-the-glass-optie heet dat. Op die manier kunnen artsen toch patiënten helpen met wie zij geen vaste behandelrelatie hebben, mocht de situatie daar om vragen.

Die waarborgen zijn nodig, omdat juist in de zorg de privacy ontzettend belangrijk is, zegt Theo Hooghiemstra, een expert op het gebied van persoonsgegevensbescherming in de zorg. ‘Mensen moeten het vertrouwen hebben dat zij de dokter alles kunnen vertellen, zonder dat iemand anders dat ooit komt te weten. Durven zij niet meer alles te bespreken, dan kan dat hun eigen gezondheid in gevaar brengen, maar in het geval van infecties of geslachtsziektes ook die van anderen.’

Laura vraagt zich af: zou ik bij mijn eigen dossier kunnen? Jaren geleden is ze immers een keer als patiënt in het OLVG geweest. En ja hoor, een paar seconden later heeft ze haar dossier voor zich. Haar moeder dan? Een vriendin? Zonder enig probleem rollen de meest persoonlijke gegevens zich uit over het scherm. Ook van de gegevens prominente Amsterdammers is ze maar een muisklik verwijderd.

Ziekenhuis OLVG in Amsterdam-Oost. Beeld Hollandse Hoogte / Berlinda van Dam

De kleine lettertjes

Wat studenten te horen krijgen over privacyregels is grotendeels verstopt in de kleine letters van de contracten die ze tekenen. Twee weken nadat ze aan de slag is gegaan in het OLVG krijgt Laura een mailtje van het flexbureau. Daarin staat een link naar alle regelingen en procedures van het OLVG. ‘Met het tekenen van je arbeidsovereenkomst teken je er ook voor dat je kennis hebt genomen van en instemt met de regelingen en procedures in OLVG: lees deze daarom aandachtig door’, schrijft het flexbureau.

Die regelingen en procedures tellen honderden pagina’s, verdeeld over 25 verschillende documenten. Het gaat om de ‘Cao voor de ziekenhuiszorg’, de Parkeerregeling, de ‘Handleiding Handhygiëne Infectiepreventie’, maar ook de ‘Regeling patiëntgegevens en gebruik communicatiemiddelen’ en het ‘Informatiebeveiligings- en privacybeleid’. Daarin staat bijvoorbeeld dat de privacy van de patiënt zo optimaal mogelijk wordt gewaarborgd, en dat zorgverleners ‘alleen in noodsituaties’ gegevens kunnen inzien ‘waartoe zij niet geautoriseerd zijn’; elk bezoek aan elk epd wordt gelogd, en bij misbruik volgen sancties.

Maar daar heeft Laura in haar eerste maand dus allemaal niets van gemerkt als zij met haar moeder bespreekt wat haar is opgevallen. Haar moeder, Maartje Schermer, houdt zich als hoogleraar Filosofie van de geneeskunde vooral bezig met ethische vraagstukken rond mensverbetering, gene-editing en vroegdiagnostiek, maar ze weet genoeg van privacyvoorschriften in de zorg om zich onmiddellijk te realiseren dat er iets niet klopt.

Alarmbellen

Schermer mailt op 29 augustus de privacyfunctionaris van het OLVG, ‘over het ernstige datalek’ dat zij van haar dochter heeft vernomen, en dat haar – als patiënt van het OLVG – ‘zeer verontrust’. Er volgt een telefoongesprek, waarin de privacyfunctionaris toegeeft dat dit niet zo zou moeten mogen.

Bij het OLVG gaan de alarmbellen af na het telefoontje van Schermer, zegt uroloog en kwaliteitsarts George van Andel. De ochtend erna komt de privacycommissie in spoedzitting bijeen, ’s avonds wordt de raad van bestuur ingelicht, en nog dezelfde week wordt er een - verplichte - melding gedaan bij de Autoriteit Persoonsgegevens over het datalek.

Loren Kruseman, manager van de EPD-dienst, ontdekt snel wat er mis is. Het functieprofiel van de werkstudenten in het OLVG is verkeerd ingesteld. Normaal gesproken wordt elke medewerker gekoppeld aan een specialisme. Maar de kracht van de studenten is juist dat zij flexibel zijn, dat zij op elke afdeling kunnen worden ingezet. Hun toegang is daarom niet ingesteld op (en beperkt tot) een bepaald specialisme. Daaruit volgt volgens de logica van de software dat zij toegang hebben tot alle dossiers. ‘Die regel is nog diezelfde week aangepast’, zegt Kruseman.

En vanaf dat moment lopen de lezingen van het OLVG en Laura uiteen. Het probleem, wat zeer beperkt van aard was en in de praktijk nauwelijks tot ongewenste situaties heeft geleid, was verholpen, zegt het OLVG.

Nog altijd een lek

Maar Laura merkt geen verschil.

Een maand later kan ze nog steeds in alle dossiers van alle honderdduizenden Amsterdammers die het ziekenhuis jaarlijks bezoeken, terwijl ze toch echt alleen op de afdeling voor jonge diabetespatiënten werkt, en dus alleen hun dossier zou moeten kunnen inzien. Ze krijgt wel een mailtje van haar manager waarin alle medewerkers worden gewezen op het belang van een verantwoord gebruik van het epd.

Op 8 oktober mailt Schermer opnieuw: dat er niets is veranderd, dat ze zich ernstig zorgen maakt, en ze van plan is naar de pers te stappen. ‘Burgers hebben er recht op gewaarschuwd te worden dat hun persoonlijke medische dossiers bij het OLVG niet veilig zijn en dat hun privacy wordt geschonden.’ Laura en haar moeder mogen op gesprek komen bij Van Andel en bij het hoofd Juridische Zaken.

Tijdens het gesprek krijgen Schermer en Laura het gevoel dat de mensen die tegenover hen zitten geen idee hebben wat er nou eigenlijk aan de hand is, hoe serieus het lek is. Het ligt aan de functieprofielen en aan de ‘harmonisatie’ daarvan tussen de twee locaties van het ziekenhuis die nog niet helemaal op orde is, krijgen ze te horen. Laura geeft nog een tip mee: instrueer het flexbureau dat er bij het inwerken expliciet op de privacy wordt gewezen. En ze spreken af dat Laura wordt uitgenodigd door iemand van de ict-afdeling, zodat ze kan laten zien waar ze zich nou zo druk om maakt.

Ict-afdeling onwetend

Drie weken later, als Laura al een keer ongeduldig heeft gevraagd waar haar beloofde afspraak blijft, lijkt de ict’er niet van tevoren op de hoogte van haar zorgen, vindt Laura. Hij is, zo lijkt het, hooglijk verbaasd over als hij het gemak ziet waarmee Laura toegang heeft tot al die dossiers van het ziekenhuis. Samen bekijken ze welke gebruikersprofielen zonder restricties toegang hebben tot het epd. Er zijn er meerdere, ziet Laura, en zelfs niet alleen van werkstudenten. Ook de studenten die als polikliniekassistent werken, kunnen nog steeds overal bij.

In november wisselt Laura van functie. Ze gaat werken op de patiëntadministratie, een afdeling op de negende verdieping van het OLVG West. Samen met zo’n tien andere studenten controleert ze of de artsen de juiste dbc-code hebben gekoppeld aan de behandeling. Voor het ziekenhuis belangrijk werk: op basis van de dbc-codes wordt het ziekenhuis door de zorgverzekeraar betaald.

Status aparte voor BN’ers? Voor bekende Nederlanders en bestuurders brengt slechte bescherming van hun medisch gegevens een extra gevaar met zich mee, zegt Jos Dute, hoogleraar gezondheidsrecht aan de Radboud Universiteit in Nijmegen. Want wat nu als criminelen weten van de psychische problemen van een politiecommissaris, of een medewerker op het idee komt informatie over de soa-test van een beroemde talkshowhost door te verkopen aan een roddelblad? De Autoriteit Persoonsgegevens krijgt geregeld meldingen van onbevoegden ‘die neuzen in een medisch dossier van een bekende Nederlander’, zegt een woordvoerder. Het bekendste voorbeeld stamt uit het Haga Ziekenhuis in Den Haag: daar werd vorig jaar het dossier van realityster Samantha de Jong, beter bekend als ‘Barbie’, tientallen keren onterecht geopend door medewerkers van het ziekenhuis. Het is daarom verstandig, vindt de Autoriteit, om ‘periodiek de toegang tot deze dossiers te loggen’. Oftewel: om eens in de zoveel tijd na te gaan of het medisch dossier van een BN’er onterecht is bekeken. Het OLVG zegt dat ‘steekproefsgewijs’ te doen.

Woede

Ook voor dit werk heeft Laura zonder enige restrictie toegang tot alle dossiers. Noodzakelijk, zegt epd-hoofd Kruseman, omdat ze alle dossiers moet kunnen controleren. Maar ze hoeft nooit op een waarschuwingsscherm aan te geven waarom het belangrijk is dat zij – filosofiestudente – al die dossiers kan bekijken, ook de dossiers die ze niet hoeft te controleren zijn vrij toegankelijk, en ook hier is er niemand die haar erop wijst dat ze – in de 150 dossiers die ze dagelijks doorploegt - met zeer vertrouwelijke gegevens van doen heeft. Sterker, haar collega-studenten geven elkaar tips. Het is saai werk, zeggen ze, maar als je je verveelt ‘kun je altijd nog sappige verhalen uit de patiëntendossiers opduiken’.

Wanneer Van Andel dit hoort staat het kippenvel op zijn arm van woede. ‘Dat is borrelpraat. Een medisch dossier is geen Libelle. Als iemand de technisch inhoudelijke gegevens van een kankerpatiënt een sappig verhaal vindt, dan is dat echt voor rekening van diegene die dat zegt.’

Die boosheid kan Laura begrijpen, maar aan de andere kant: wanneer je een groep 20-jarigen bij elkaar zet aan wie nooit is duidelijk gemaakt waarom de privacy in de zorg zo belangrijk is, die eigenlijk zonder toezicht hun werk doen, dan is het toch niet zo vreemd dat op een onbewaakt moment de nieuwsgierigheid het wint de ratio.

Privacy versus werkbaarheid Het op de juiste manier regelen van de toegang tot het elektronisch patiëntendossier in een ziekenhuis met ruim 6.000 personeelsleden is een zeer ingewikkeld proces. De privacy moet worden gewaarborgd, maar de medewerkers moeten ook hun werk goed kunnen doen, zonder hoorndol te worden van waarschuwings- en popup-schermpjes. Daarbij: mensen wisselen van functie, dagelijks beginnen nieuwe medewerkers en hebben andere medewerkers hun laatste dag. Zieke verpleegkundigen moeten een paar uur voor hun dienst begint worden vervangen door mensen die misschien gewend zijn op een andere afdeling te werken. De zorg moet immers doorgaan, 24 uur per dag, 7 dagen per week. Over het algemeen geldt: hoe gespecialiseerder de medewerker, hoe meer toegang tot het dossier. Een medisch specialist heeft de beschikking over meer gegevens dan een polikliniek-assistent. Werk je op één afdeling, dan heb je alleen toegang tot de patiënten die daar onder behandeling zijn, werk je op meerdere afdelingen, dan word je toegang ruimer. En werk je op de spoedeisende hulp of de zorgadministratie, waar alle dossiers van belang kunnen zijn, dan kun je overal in. Eigenlijk, zegt uroloog en kwaliteitsarts George van Andel bij het OLVG, zou het zelfs zo moeten zijn dat hij als uroloog geen toegang heeft tot de dossiers van patiënten die een collega-uroloog in hetzelfde ziekenhuis als hun vaste behandelaar hebben. ‘Dat is wat er in de wet staat, maar dat zou betekenen dat wanneer ik een week weg ben, we alle patiënten om toestemming moeten vragen of ook een andere uroloog hen mag zien. Daar zit niemand op te wachten, en is ook niet meer van deze tijd. We werken in een team.’ Al blijft het uitgangspunt: zoek je een dossier op waar je geen recht toe hebt, dan stuit je op een waarschuwingsscherm met de vraag wat je in dat dossier te zoeken hebt.

Het OLVG ziet naar aanleiding van de ervaringen van Laura – en andere werkstudenten - twee ‘verbeterpunten’. Bij de aanname- en inwerkprocedure van de studenten moet er meer aandacht komen voor de privacygevoeligheid van de gegevens waarmee zij komen te werken. En de autorisatieprofielen voor de werkstudenten moeten in de toekomst nog strakker worden afgesteld; als zij vaak wisselen van afdeling, zoals gebruikelijk is bij werkstudenten, dan zou hun profiel ook vaak moeten wisselen.

Een dag na het gesprek van de Volkskrant in het OLVG, meldt Laura zich per app. Ze is gestuit op een break-the-glasscherm, de popup die haar waarschuwt dat ze op het punt staat een dossier te betreden waar ze gezien haar profiel geen recht toe heeft - overigens in een dossier waar ze toch moest zijn voor haar werk. Het is de eerste keer dat ze zo’n scherm ziet. Ze werkt dan 7,5 maand in het OLVG.

Uit een interne mail blijkt ook dat begin februari de ‘specifieke problemen rondom de autorisaties van werkstudenten’ nog niet zijn opgelost. Het OLVG wil pas herzien wie recht heeft op welke dossiers als de functieprofielen in het OLVG West en het OLVG Oost zijn ‘geharmoniseerd’. Dat staat voor later dit jaar op de agenda.

Verantwoording

De Volkskrant heeft voor dit verhaal drie studenten gesproken die het afgelopen jaar in het OLVG hebben gewerkt. Twee van hen werken er nog steeds. Zij bevestigen alle drie dat er tijdens de aannameprocedure geen speciale aandacht is geweest voor de privacy, ook niet in 2019. Ook hadden zij alle drie, vanaf hun eerste dag in het OLVG, brede toegang tot patiëntendata waartoe zij volgens de regels geen toegang zouden moeten hebben. Het gaat dan om persoonsgegevens, de data van afspraken, de afdelingen waar mensen onder behandeling waren, maar ook diagnoses en zelfs – maar niet in alle gevallen – foto’s en röntgenbeelden en de opmerkingen van artsen onderling.