Advies m.b.t. recht van patiënt en data

woensdag 12 december 2018 09:59

Acties:

0 Henk 'm!

Topicstarter

Dames en heren van Tweakers.

Ik ben op zoek naar advies m.b.t. een onderwerp wat steeds vaker voorkomt en nu, voor mij, een moreel/principe kwestie aan het worden is.

Members only: Lange lees helaas maar wel nodig vrees ik

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

Advies is dus welkom.

- Wat kan ik nog doen? Opties, rechten?
- Is de AP een optie? Is dat verstandig?
- Sta ik eigenlijk wel juist? (ben zeker van mening van wel, maar ja...)

Ik zoek dus meer als: "je hebt goedkeuring dus verwijder die meuk".

woensdag 12 december 2018 10:06

Acties:

0 Henk 'm!

emnich

kom je hier vaker?

Waarom behoort de logging tot de persoonsgegevens van Anna. Ik denk namelijk dat dat helemaal niet zo is en dat je prima kan beargumenteren dat logging na een bepaalde periode weggegooid mag worden.

Als de applicatie vorig jaar nog gebruikt werd dan is er wat voor te zeggen om het te bewaren maar het lijkt me niet nodig om dit 15 jaar te moeten bewaren.

Volgens mij heb je als persoon recht op inzage in alle gegevens die een organisatie heeft maar dat betekend niet dat een organisatie die gegevens altijd allemaal moet bewaren. Als je onderbouwd dat die gegevens niet meer relevant zijn dan mag je het weg gooien.

[edit]
Hoewel het er niet letterlijk staat, suggereert de norm (NEN-7513) inderdaad dat je het gewoon 15 jaar moet bewaren:

De algemene bewaartermijn van een medisch dossier is 15 jaar. Daarop zijn enkele uitzonderingen. Koppeling van de bewaartermijn van de loggegevens aan die van het patiëntdossier waarop deze betrekking hebben lijkt voor de hand te liggen

[ Voor 23% gewijzigd door emnich op 12-12-2018 10:30 ]

woensdag 12 december 2018 10:06

Acties:

+1 Henk 'm!

Bockelaar

Wat is je rol? Als uitvoerende heb je je best gedaan om kritische geluiden de organisatie in te sturen. Als de bestuurder besluit heb je als uitvoerende soms ook gewoon uit te voeren ... het is immers niet in je TBV (taken, bevoegdheden, verantwoordelijkheden) om op bestuurlijk niveau te acteren. Soms moet je vrede hebben met (in jouw ogen) foutieve besluiten

Remember: A CRAY is the only computer that runs an endless loop in just 4 hours...

woensdag 12 december 2018 10:07

Acties:

0 Henk 'm!

bszz

Dat lijkt mij voer voor juristen en je mag er van uit gaan dat het ziekenhuis zich daar goed over heeft laten informeren. Een audittrail bestaat natuurlijk niet voor niets maar ik betwijfel wel of dat data is waar een patient "recht" op heeft en zelfs of het wenselijk is dat een patiënt toegang heeft tot al die informatie. Daarvoor moeten toch wel zwaarwegende redenen zijn en dat lijkt mij dan weer aan de rechter.

woensdag 12 december 2018 10:12

Acties:

0 Henk 'm!

Desmoos

Topicstarter

emnich schreef op woensdag 12 december 2018 @ 10:06:
Waarom behoort de logging tot de persoonsgegevens van Anna. Ik denk namelijk dat dat helemaal niet zo is en dat je prima kan beargumenteren dat logging na een bepaalde periode weggegooid mag worden.

Als de applicatie vorig jaar nog gebruikt werd dan is er wat voor te zeggen om het te bewaren maar het lijkt me niet nodig om dit 15 jaar te moeten bewaren.

Volgens mij heb je als persoon recht op inzage in alle gegevens die een organisatie heeft maar dat betekend niet dat een organisatie die gegevens altijd allemaal moet bewaren. Als je onderbouwd dat die gegevens niet meer relevant zijn dan mag je het weg gooien.

Conform de wet zou een patiënt recht hebben op inzage in de logging.

Zie ook: https://www.rijksoverheid...van+gegevens+20170620.pdf

En dan de passage:

Op verzoek heeft een cliënt recht op
een overzicht van de logging:
categorieën van gegevens die zijn
verwerkt, de ontvangers of
categorieën van ontvangers van die
gegevens en informatie over de
herkomst van de gegevens.

De relevantie is dan niet van belang gezien de patiënt simpel weg het recht heeft tot die logging.

woensdag 12 december 2018 10:14

Acties:

0 Henk 'm!

Desmoos

Topicstarter

Bockelaar schreef op woensdag 12 december 2018 @ 10:06:
Wat is je rol? Als uitvoerende heb je je best gedaan om kritische geluiden de organisatie in te sturen. Als de bestuurder besluit heb je als uitvoerende soms ook gewoon uit te voeren ... het is immers niet in je TBV (taken, bevoegdheden, verantwoordelijkheden) om op bestuurlijk niveau te acteren. Soms moet je vrede hebben met (in jouw ogen) foutieve besluiten

Ik ben de uitvoerende hierin.
Begrijp idd dat ik tot een punt kan gaan en daarna "pech, jammer dan"
Weet alleen niet of dat punt er al is.

woensdag 12 december 2018 10:14

Acties:

0 Henk 'm!

The Eagle

I wear my sunglasses at night

Staat me bij dat de GDPR aangeeft dat je moet kunnen opleveren wie wanneer toegang heeft / had tot bepaalde data en met welk doel.
Da's natuurlijk evenwel pas geldig vanaf 2015, toen die hele regelgeving van kracht was. Dus de data daarvoor zou in principe weg kunnen.
Having said that: bedrijfskundig gezien is het idd een risicoafweging, en ik snap hem wel. Opslag kost geld, en hoewel storage goedkoop is moet het wel goed gebeuren, het spul beheerd worden, etc. Doe je het voor 1 applicatie doe je het voor alles. Dat loop best snel uit de klauwen. Staat tegenover hoe groot de kans is dat iemand daadwerkelijk om die logging vraagt (klein), wat een evt boete is (relatief klein tov wel bijhouden), en hoe groot de kans is dat een individueel persoon inderdaad een zaak voor de rechter brengt om die boete toe te laten kennen (zeer klein, kost dat individu veel meer dan het oplevert namelijk

).
Ben je daarmee legaal bezig? Nee. Ben je daarmee pragmatisch bezig: ja.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

woensdag 12 december 2018 10:15

Acties:

0 Henk 'm!

Desmoos

Topicstarter

bszz schreef op woensdag 12 december 2018 @ 10:07:
Dat lijkt mij voer voor juristen en je mag er van uit gaan dat het ziekenhuis zich daar goed over heeft laten informeren. Een audittrail bestaat natuurlijk niet voor niets maar ik betwijfel wel of dat data is waar een patient "recht" op heeft en zelfs of het wenselijk is dat een patiënt toegang heeft tot al die informatie. Daarvoor moeten toch wel zwaarwegende redenen zijn en dat lijkt mij dan weer aan de rechter.

De patiënt heeft er dus recht op.
Mijn issue is dan ook, hoe om gegaan wordt met dit recht.

woensdag 12 december 2018 10:15

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

@Desmoos confrom de wet... Als 3 tiers van jouw meerderen een mening en manier van data-destruction aan jou "opleggen", dan is dus nu de enige storende factor jouw morele waarde vs. aansprakelijkheid?

Je bent niet hoofdelijk aansprakelijk, conform de wet; doe gewoon wat je opgedragen wordt.

Alternatief: ga naar een vertrouwenspersoon om jouw dilemma te bespreken?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 12 december 2018 10:16

Acties:

0 Henk 'm!

Desmoos

Topicstarter

The Eagle schreef op woensdag 12 december 2018 @ 10:14:
Staat me bij dat de GDPR aangeeft dat je moet kunnen opleveren wie wanneer toegang heeft / had tot bepaalde data en met welk doel.
Da's natuurlijk evenwel pas geldig vanaf 2015, toen die hele regelgeving van kracht was. Dus de data daarvoor zou in principe weg kunnen.
Having said that: bedrijfskundig gezien is het idd een risicoafweging, en ik snap hem wel. Opslag kost geld, en hoewel storage goedkoop is moet het wel goed gebeuren, het spul beheerd worden, etc. Doe je het voor 1 applicatie doe je het voor alles. Dat loop best snel uit de klauwen. Staat tegenover hoe groot de kans is dat iemand daadwerkelijk om die logging vraagt (klein), wat een evt boete is (relatief klein tov wel bijhouden), en hoe groot de kans is dat een individueel persoon inderdaad een zaak voor de rechter brengt om die boete toe te laten kennen (zeer klein, kost dat individu veel meer dan het oplevert namelijk ).
Ben je daarmee legaal bezig? Nee. Ben je daarmee pragmatisch bezig: ja.

Helemaal juist. En dat ergert me dan ook.
Dat is idd de afweging. ja, handig om het maar te verwijderen maar daarmee (vind ik) ontneem je patiënten rechten.

woensdag 12 december 2018 10:17

Acties:

0 Henk 'm!

Desmoos

Topicstarter

MAX3400 schreef op woensdag 12 december 2018 @ 10:15:
@Desmoos confrom de wet... Als 3 tiers van jouw meerderen een mening en manier van data-destruction aan jou "opleggen", dan is dus nu de enige storende factor jouw morele waarde vs. aansprakelijkheid?

Je bent niet hoofdelijk aansprakelijk, conform de wet; doe gewoon wat je opgedragen wordt.

Alternatief: ga naar een vertrouwenspersoon om jouw dilemma te bespreken?

Precies.
Ik heb de opdracht. Deze is als het ware "gedekt" dus ik kan het prima uitvoeren.
Het is idd het morele bezwaar hierin, wat het is (mijn optiek) niet juist.
De vertrouwenspersoon hierin is meer een klankbord dan iemand met juist advies. Deze heeft geen verstand van de inhoud of de paden welke ik nog kan bewandelen.

[ Voor 10% gewijzigd door Desmoos op 12-12-2018 10:18 ]

woensdag 12 december 2018 10:28

Acties:

0 Henk 'm!

Bockelaar

heb je overwogen dat de bestuurders wellicht zich breed hebben laten informeren over de uitzonderingen in de GDPR? Het is tenslotte hun verantwoordelijkheid. Bekijk het van de andere kant: er is een besluit genomen, daarop is gereageerd en er is een heroverweging genomen. Daarna is het genomen besluit bekrachtigd. Wat is er nog meer nodig vanuit een bestuurders oogpunt om jouw zover te krijgen dat je een besluit accepteert en je werk gaat doen?

Remember: A CRAY is the only computer that runs an endless loop in just 4 hours...

woensdag 12 december 2018 10:36

Acties:

0 Henk 'm!

Desmoos

Topicstarter

Bockelaar schreef op woensdag 12 december 2018 @ 10:28:
heb je overwogen dat de bestuurders wellicht zich breed hebben laten informeren over de uitzonderingen in de GDPR? Het is tenslotte hun verantwoordelijkheid. Bekijk het van de andere kant: er is een besluit genomen, daarop is gereageerd en er is een heroverweging genomen. Daarna is het genomen besluit bekrachtigd. Wat is er nog meer nodig vanuit een bestuurders oogpunt om jouw zover te krijgen dat je een besluit accepteert en je werk gaat doen?

Het werk gebeurd wel. Ook het besluit is duidelijk en idd reeds genomen. En dat dit hun verantwoordelijkheid is ben ik me wel degelijk van bewust.

Wat ik zoek is advies gezien ik er niet achter sta. Ik ben van mening dat het besluit niet juist is en dat dit de rechten van patiënten geen recht doet.

Het is voor mij niet iets als een verkeerde kleur op de muur of ranzige werk koffie (of het ontbreken er van).
Dit is voor mij een moreel iets. Een recht welke ik vind dat een patiënt heeft, waar de wet in mijn optiek duidelijk over is en waar mijn werkgever geen recht aan doet, bewust.

woensdag 12 december 2018 10:37

Acties:

0 Henk 'm!

The Eagle

I wear my sunglasses at night

Desmoos schreef op woensdag 12 december 2018 @ 10:16:
[...]

Helemaal juist. En dat ergert me dan ook.
Dat is idd de afweging. ja, handig om het maar te verwijderen maar daarmee (vind ik) ontneem je patiënten rechten.

Dat laatste is niet juist. Je ontneemt ze het recht niet, ze hebben zeker het recht om het te vragen en af te dwingen, op boete van. Maar in dit geval wordt de kans op een boete voor lief genomen.
Kun je twisten over de ethiek daarvan: zekers. Komt het vaker voor? Dagelijks. Het lijkt namelijk vrij sterk op te hard rijden op de snelweg of willekeurig welke andere overtreding van de wet: valt of staat met de pakkans en het gevolg als je wel gepakt wordt. Dat risico weeg je af en je neemt (in dit geval als management) een beslissing. Mag je het daar niet me eens zijn als uitvoerende: uiteraard. Moet je er me akkoord gaan: nee, hoeft niet, je mag je bezwaren prima uiten, maar uiteindelijk is het niet jouw keuze en als jij het niet uitvoert doet iemand anders het, en heb je een mogelijk conflict met je werkgever. En moet je je misschien afvragen of je voor een dergelijke werkever wilt werken. Maar dat ligt helemaal aan jezelf.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

woensdag 12 december 2018 10:40

Acties:

0 Henk 'm!

Desmoos

Topicstarter

The Eagle schreef op woensdag 12 december 2018 @ 10:37:
[...]

Dat laatste is niet juist. Je ontneemt ze het recht niet, ze hebben zeker het recht om het te vragen en af te dwingen, op boete van. Maar in dit geval wordt de kans op een boete voor lief genomen.
Kun je twisten over de ethiek daarvan: zekers. Komt het vaker voor? Dagelijks. Het lijkt namelijk vrij sterk op te hard rijden op de snelweg of willekeurig welke andere overtreding van de wet: valt of staat met de pakkans en het gevolg als je wel gepakt wordt. Dat risico weeg je af en je neemt (in dit geval als management) een beslissing. Mag je het daar niet me eens zijn als uitvoerende: uiteraard. Moet je er me akkoord gaan: nee, hoeft niet, je mag je bezwaren prima uiten, maar uiteindelijk is het niet jouw keuze en als jij het niet uitvoert doet iemand anders het, en heb je een mogelijk conflict met je werkgever. En moet je je misschien afvragen of je voor een dergelijke werkever wilt werken. Maar dat ligt helemaal aan jezelf.

De werkgever is niet "evil" en tot dit punt was het prima maar dit..... et zit me dwars.

Uit de reacties tot nu toe maak ik op dat er weinig is wat ik kan doen hieraan en dat dit iets is wat je simpelweg moet doen.....

woensdag 12 december 2018 10:45

Acties:

+2 Henk 'm!

WhizzCat

www.lichtsignaal.nl

Over de schutting naar de Privacy functionaris die jullie hebben. Dit is niet jouw verantwoordelijkheid, maar als mede beheerder in de zorg snap ik je punt

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

woensdag 12 december 2018 10:49

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Dit lijkt me meer een onderwerp voor ons privacy forum, aangezien de discussie met name over privacy wetgeving en bewaartermijnen en dergelijke gaat en dus weinig van doen heeft met loopbaan (laat staan persoonlijke financiën of studie).

Bij deze dus een tikje naar Privacy & Beveiliging

[ Voor 13% gewijzigd door Orion84 op 12-12-2018 10:49 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 12 december 2018 10:51

Acties:

+1 Henk 'm!

Desmoos

Topicstarter

WhizzCat schreef op woensdag 12 december 2018 @ 10:45:
Over de schutting naar de Privacy functionaris die jullie hebben. Dit is niet jouw verantwoordelijkheid, maar als mede beheerder in de zorg snap ik je punt

Die heeft op mijn verzoek dit onder de aandacht gebracht en deelt mijn mening.
Echter is die heel duidelijk: Beslissing is genomen, klaar. Risico en verantwoordelijkheid voor de werkgever.

woensdag 12 december 2018 10:57

Acties:

0 Henk 'm!

The Eagle

I wear my sunglasses at night

Als dat zo is moet je dus bij jezelf bedenken of je daar aan mee wilt werken, en zo niet moet je je conclusies trekken.
Hou er wel rekening mee dat het bij willekeurig welke andere werkgever niet veel anders zal zijn. Kosten, baten, risico's. Alleen de overheid neigt er naartoe om het beste jongetje van de klas te willen zijn. Maar di ekennen het begrip "deadline" dan ook niet echt, daar mag het eeuwen duren - want als het te lang duurt lult de staatssecretaris het in de kamer wel weer recht

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

woensdag 12 december 2018 11:12

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

emnich schreef op woensdag 12 december 2018 @ 10:06:
Hoewel het er niet letterlijk staat, suggereert de norm (NEN-7513) inderdaad dat je het gewoon 15 jaar moet bewaren:

Je quote de oude versie van de norm, er is een nieuwe uitgekomen in 2018.

De verantwoordelijke voor de logging moet termijnen vaststellen voor het bewaren van loggegevens.
In aanvulling op 12.4 van NEN 7510‐2:2017 geldt dat bij de vaststelling van de bewaartermijn van de
loggegevens rekening moet worden gehouden met de informatiebehoeften van de in hoofdstuk 5
genoemde belanghebbenden.
Tenzij anders is bepaald 7), is de bewaartermijn minimaal 2 jaar en maximaal 15 jaar (De algemene
bewaartermijn van een medisch dossier is 15 jaar.) Huidige of toekomstige wettelijk of in regelgeving
bepaalde termijnen prevaleren boven deze bewaartermijnen indien deze afwijken.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 12 december 2018 11:16

Acties:

0 Henk 'm!

Desmoos

Topicstarter

F_J_K schreef op woensdag 12 december 2018 @ 11:12:
[...]

Je quote de oude versie van de norm, er is een nieuwe uitgekomen in 2018.
[...]

Als het sowieso minimaal 2 jaar is, dan zit men als nog fout.
Daarnaast is het bewaarplicht van het dossier 15jaar. En is het pakket waar alles nu in staat nog niet oud genoeg om aan het minimum te voldoen.

Daarnaast. Als men rekening moet houden met die informatie behoeften, dan zou een clientenraad zich daarover dienen uit te spreken. Ik kan me voorstellen dat, in een situatie waarbij men gelekte info heeft van 3 jaar oud, dat men wilt weten wie dat dan was.

Wellicht moet iets dergelijks eerst plaatsvinden met in de hoofdrol een publiek/politiek/rijk persoon voordat het een issue is.
net als wat al eerder gemeld is, afweging risico vs pakkans vs boete bedrag.

En waar zou je dan heen moeten als patiënt? De AP? Rijksoverheid? NZA?

[ Voor 39% gewijzigd door Desmoos op 12-12-2018 11:19 ]

woensdag 12 december 2018 11:29

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Inderdaad. Maar men moet dus niet slechts naar de AVG kijken.

Maar goed, als je managers aangeven dat het op manier X moet gebeuren en je weet niet zeker dat het fout is, dan kan je het ook zo laten.

Je zou, als je iemand kent die er patiënt is geweest, die obv. de AVG een inzageverzoek kunnen laten doen expliciet inclusief alle logging van wijziging en inzage. Dan kan je daar naar verwijzen als ze het verschaffen of piepen als ze het niet verschaffen

offtopic:
Overigens gaat de bewaartermijn binnenkort van 15 naar 20 jaar na de laatste wijziging in het dossier. En is de 110 jaar in de topicstart 100 jaar na geboorte terwijl de 20 jaar na laatste mutatie is. Die 20 kan dus eerder aan de beurt zijn dan de 110.

Edit: ah de post is aangevuld. Ik reageerde alleen op de 1e alinea en moet nu weg.

[ Voor 5% gewijzigd door F_J_K op 12-12-2018 11:30 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 12 december 2018 11:37

Acties:

0 Henk 'm!

defusion

Ik neem aan dat een UMC beschikt over een interne juridische afdeling en ook over een compliance officer.

Wellicht kun je het daar nog kwijt. Ik zou er niet standaard van uit gaan dat het management dat uit zichzelf heeft gedaan.

woensdag 12 december 2018 11:46

Acties:

0 Henk 'm!

Desmoos

Topicstarter

defusion schreef op woensdag 12 december 2018 @ 11:37:
Ik neem aan dat een UMC beschikt over een interne juridische afdeling en ook over een compliance officer.

Wellicht kun je het daar nog kwijt. Ik zou er niet standaard van uit gaan dat het management dat uit zichzelf heeft gedaan.

Aannames hé

Ik heb gevraagd of hun besluit ook idd langs hen is opgegaan waarop ik vooralsnog geen duidelijk antwoord heb.

dinsdag 18 december 2018 12:36

Acties:

0 Henk 'm!

Frogmen

Je moet je ook serieus afvragen wat de kosten en de resultaten zijn van het bewaren en afgeven van die logging. Leuk dat de techniek het weet maar nu heeft in 2008 Stagiar x het dossier bekeken zonder duidelijk reden. X gaan we nu opsporen en ondervragen waarom X dat 10 jaar geleden heeft gedaan? Kan het antwoord nu alvast geven ik weet het niet meer. Gaan we X nu vervolgen ?
Bedenk bij deze vooral ook dat je wetten niet met terugwerkende kracht kan toepassen. Een dossier moet bewaard blijven omdat er nog voor het heden belangrijke informatie in kan staan.
Alles bewaren omdat het kan tegenwoordig vindt ik persoonlijk een gevaarlijke ontwikkeling. Soms moet je zaken ook vergeten.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

Pagina: 1

Reageer

Onderwerpen