In dit hoofdstuk staat welke informatie aan de logging moet kunnen worden ontleend.
In het algemeen moet de logging het mogelijk maken achteraf onweerlegbaar vast te stellen welke gebeurtenissen hebben plaatsgevonden op een patiëntdossier. Daartoe moeten alle systemen die gegevens bevatten die deel uitmaken van een patiëntdossier, daarover ten minste bijhouden:
— welke gebeurtenis heeft plaatsgevonden;
— datum en tijdstip van de gebeurtenis;
— welke cliënt het betrof;
— wie de gebruiker was;
— wie de verantwoordelijke gebruiker was namens wie de gebruiker optrad.
Aanvullende eisen kunnen volgen uit de informatiebehoeften van de onderscheiden doelgroepen. In 5.2 t/m 5.5 wordt nader ingegaan op de informatiebehoefte per doelgroep.
In hoofdstuk 6 staat beschreven welke gebeurtenissen moeten worden gelogd. In hoofdstuk 7 volgt een nadere specificatie van de gegevens die moeten worden vastgelegd bij het loggen van een gebeurtenis. Beveiliging van de logging behoort de onweerlegbaarheid te waarborgen en de vertrouwelijkheid van de logging te garanderen. Hoofdstuk 8 benoemt de eisen die moeten waarborgen dat de logging betrouwbaar is en zorgvuldig wordt beheerd met een passende toegangsregeling. Hoofdstuk 9 tot slot gaat in op eisen ten aanzien van weergave van de logging.
Cliënten hebben recht op informatie over hun behandeling en recht op inzage in hun patiëntdossier. In het verlengde daarvan hebben cliënten recht te weten wie toegang tot hun patiëntdossier hebben en hebben gehad.
In de logging moet daarom worden opgenomen:
1) welke medewerkers van de zorginstelling toegang hebben gehad tot de gegevens van de cliënt in het elektronisch patiëntdossier;
2) welke medewerkers van de zorginstelling gegevens van de cliënt hebben opgevraagd bij andere organisaties;
3) welke andere organisaties toegang hebben gehad tot de gegevens van de cliënt in het elektronisch patiëntdossier;
4) of de cliënt zelf toegang heeft gehad tot het elektronisch patiëntdossier of de loggegevens van de cliënt in het elektronisch patiëntdossier.
Desgewenst kan de cliënt ook informatie krijgen over wie toegang tot zijn/haar loggegevens heeft gehad.
De logging moet kunnen worden getoetst aan het autorisatieprotocol en het toestemmingsprofiel, zoals die tijdens de actie van kracht waren.
Om dit mogelijk te maken moet in de logging worden opgenomen:
— op welk onderdeel van het patiëntendossier de gebeurtenis betrekking had;
— welk autorisatieprotocol is toegepast;
— welk toestemmingsprofiel gold.
Het opnemen van deze gegevens in de logging vereist nadere afspraken over compartimentering van het elektronisch patiëntdossier en over de identificatie en het beheer van toestemmingsprofielen. Wanneer over toestemmingsprofielen (nog) geen afspraken bestaan, wordt hiervoor een standaardwaarde ‘geen bijzonderheden’ ingevuld. Hetzelfde geldt indien vooralsnog geen hiërarchie in de compartimentering bestaat.
Zorginstellingen moeten een dossier bijhouden op grond van de WGBO. Verstrekking van informatie daaruit aan derden is volgens de WGBO in beginsel alleen geoorloofd in het kader van een behandelingsovereenkomst. Zorginstellingen moeten cliënten ook inzage kunnen geven in wie toegang heeft gehad tot het dossier dat zij over die cliënten bijhouden.
Voor het gebruik van persoonlijke gezondheidsinformatie voor bijvoorbeeld wetenschappelijk onderzoek is in principe altijd toestemming vereist. Er is een beperkt aantal – precies omschreven – situaties 5), waarin een wettelijke grondslag bestaat voor het achterwege laten van toestemming. In dat geval wordt van dit gebruik (zonder toestemming) onverminderd logging verlangd.
Om te kunnen aantonen dat aan de geldende toegangsregels is voldaan moet in de logging worden opgenomen dan wel reconstrueerbaar zijn:
— welk autorisatieprotocol is toegepast;
— in welke rol de gebruiker optrad.
OPMERKING Het opnemen van deze gegevens in de logging vereist nadere afspraken over autorisatieprotocollen en rollen. Wanneer daarover (nog) geen afspraken bestaan worden hiervoor de standaardwaarden ‘geen protocol’ en ‘rol onbekend’ ingevuld.
