Patiëntdossiers bevatten gevoelige informatie die privé moet blijven. Daarom is het alleen toegestaan een dossier te raadplegen voor wie een behandelrelatie heeft met de patiënt. Om dit te controleren heeft ons moederbedrijf Enshore in samenwerking met het Martini ziekenhuis Logspect ontwikkelt. Deze applicatie analyseert de logbestanden van patiëntdossiers om te zien of alle inzages met de juiste autorisatie zijn uitgevoerd.
Wettelijke verplichting NEN7510
De NEN 7510 stelt zorginstellingen wettelijk verplicht om de logdata van patiëntdossiers te controleren. Maar zonder specifieke software is het niet mogelijk om dit voor alle dossiers te doen. Daarom stelt de NEN 7510 dat de controle ook handmatig en steekproefsgewijs mag plaatsvinden. Een maatregel die alleen lijkt opgenomen door gebrek aan een geautomatiseerd alternatief.
Vanuit de IT-afdeling van het Martini Ziekenhuis werd kritische gekeken naar een oplossing: geautomatiseerd de logbestanden van alle elektronisch patiëntdossiers analyseren, zoals de NEN 7510 voorschrijft. Logspect maakt dit mogelijk. In tegenstelling tot de steekproef, betekent dit dat de privacy van elke patiënt beter gewaarborgd wordt.
Hoe werkt Logspect?
Logspect analyseert de logdata van patiëntdossiers op verdachte patronen en ‘afwijkingen’. Welke patronen verdacht zijn, wordt geconfigureerd worden door de gebruiker (regels opstellen). Afwijkingen (opvallend afwijkende waarden) worden gevonden door Logspect zelf, op basis van statistische berekeningen.
Hoe werkt dat?
Logspect analyseert de inzages van patiëntendossiers op afwijkingen. Deze afwijkingen kunnen op twee manieren worden gedetecteerd:
- De gebruiker stelt criteria op
Het is voor de gebruikers, bijvoorbeeld uw security officers, mogelijk om criteria op te stellen waaraan degene die het dossier inziet moet voldoen. Hiermee kiest de gebruiker bijvoorbeeld om waardes met elkaar te vergelijken. Door de flexibele opzet kunnen we bijna alle denkbare gegevens inlezen en vergelijken, afdelingen, meisjesnamen, functies, etc.
Bijvoorbeeld: De achternaam van de medewerker die het dossier inziet mag niet overeenkomen met de naam van de patiënt of de medewerker moet op dezelfde afdeling ingeroosterd staan als waar de patiënt behandeld wordt.
- Opvallende inzages
Opvallende inzages zijn inzages in de logdata die afsteken tegen het ‘normale’ patroon. Logspect detecteert deze inzage en markeert deze als afwijking.
Voorbeeld: Een arts bekijkt vaak een bepaald dossier, waar verder geen andere medewerkers in kijken. Dit steekt af tegen het normale patroon, waardoor Logspect dit detecteert als een abnormaliteit.
Via een dashboard krijgt de gebruiker van Logspect meldingen van de verdachte patronen en afwijkingen. Deze kunnen verder worden onderzocht door de data van de behandelaar en patiënt in te zien. Deze gegevens worden gepseudonimiseerd weergegeven. Dit betekent dat alleen het verband tussen de gegevens betekenis heeft, maar de gegevens zelf niet. De gegevens zijn dus veilig en privé, zodat de gebruiker onbevooroordeeld onderzoek kan doen naar de situatie.
Als de gebruiker na zijn onderzoek de betrokkenen wil achterhalen, is het mogelijk de gepseudonimiseerde data te herleiden naar de oorspronkelijke gegevens. Dit maakt het mogelijk de betrokken personen te betrekken, mocht de situatie erom vragen.
Verbeterde privacy en processen
Logspect heeft zich snel bewezen door met waardevolle inzichten te komen. Al in de testfase kwamen er inzages naar boven die voldeden aan de opgestelde regels en afwijkingen. Dit zorgde niet alleen voor inzichten waarmee in de toekomst de privacy van patiënten verbeterd kan worden, maar ook voor betere processen. Logspect gaf namelijk ook meldingen van inzages die bij nader onderzoek rechtmatig bleken, maar waar de behandelaar dit niet goed kon loggen. Met deze inzichten is het autorisatieproces om toegang te krijgen tot het EPD geoptimaliseerd.
Logspect inzetten in uw organisatie? Plan een demo in of kijk op nestor-security.nl/tools/logspect