Zorgverleners niet tuchtrechtelijk aansprakelijk voor softwarefouten

Zorgverleners niet tuchtrechtelijk aansprakelijk voor softwarefouten

Een individuele beroepsbeoefenaar kan er niet voor verantwoordelijk worden gehouden als patiëntengegevens als gevolg van een fout in de software onbedoeld beschikbaar worden voor andere zorgverleners. Dat is althans het oordeel van het Centraal Tuchtcollege in een uitspraak tegen een apotheker d.d. 14 juni 2012.

Casus

De betreffende apotheker had de patiëntengegevens van haar patiënten opgenomen in een elektronisch patiëntenbestand. Op 28 juli 2008 heeft de klager deze apotheker een brief geschreven waarin hij met het oog op de komst van het EPD aan de apotheker verbood om zonder zijn nadrukkelijke schriftelijke toestemming medische gegevens op een andere wijze aan derden te verstrekken. Expliciet gaf hij hierbij aan hij met derden ‘medici en niet-medici’ bedoelde. De apotheker heeft in reactie op de brief van de klager aan hem meegedeeld dat zij aan zijn verzoek gevolg zou geven. Vervolgens heeft de apotheker in 2008 deelgenomen aan een nationaal OZIS verbetertraject, waarbij de via OZIS beschikbare patiëntenbestanden zijn opgeschoond. Bij deze opschoning zijn de patiëntgegevens van klager abusievelijk weer opengesteld voor derden. Als gevolg daarvan zijn patiëntgegevens van klager in strijd met zijn brief van 2008 en zonder zijn toestemming verstrekt aan een samenwerkingsverband tussen openbare apotheken in de regio en het ziekenhuis. Dit wordt door de klager ontdekt en aan de apotheek meegedeeld. De apotheker schrijft daarop een excuusbrief, waarin zij een verklaring geeft waarom ze patiëntgegevens per ongeluk weer opvraagbaar zijn geworden.

Regionaal Tuchtcollege

In de tuchtprocedure klaagt de patiënt desondanks over het feit dat de gegevens beschikbaar zijn gekomen voor andere zorgverleners. Het regionaal tuchtcollege verklaart de klacht gegrond. Het regionale tuchtcollege is van oordeel dat met de wijze waarop in eerste instantie werd gepoogd te voorkomen dat de gegevens voor andere zorgverleners beschikbaar werden, het risico in het leven werd geroepen dat de blokkering bij een eventuele latere geautomatiseerde statuswijziging verloren zou gaan, tenzij afzonderlijke waarborgen zouden zijn getroffen om tegen te gaan dat dit risico zich zou verwezenlijken. Nu blijkt dat patiëntengegevens inderdaad voor andere zorgverleners beschikbaar werden, terwijl niet gebleken is dat de apotheker waarborgen had getroffen om dit te voorkomen en klager bovendien expliciet kenbaar had gemaakt dat hij geen toestemming gaf voor verstrekking van zijn gegevens van derden, acht het tuchtcollege dit tuchtrechtelijk verwijtbaar. Dat de gegevens niet ter beschikking zijn gekomen aan anderen die daarin geen inzage mochten hebben en dat de apotheker nadien correct heeft gehandeld om het probleem op te lossen doet hieraan volgens het tuchtcollege niet af. Het regionaal tuchtcollege legt daarom een waarschuwing op.

Centraal Tuchtcollege

Het Centraal Tuchtcollege vernietigt de uitspraak van het regionaal tuchtcollege en verklaart de klacht alsnog ongegrond. Volgens het Centraal Tuchtcollege maakte de apotheker gebruik van een algemeen geaccepteerd softwaresysteem, waarbij het softwarehuis de apotheker heeft voorgehouden dat de privacy van haar patiënten zou worden beschermd door de wijze waarop de apotheker de gegevens van de klager had afgeschermd. Er was geen aanleiding om aan te nemen dat de apotheker redelijkerwijs niet op de deskundigheid van het softwarehuis had mogen vertrouwen. De apotheker had er daarom niet op bedacht hoeven zijn dat als gevolg van de ‘landelijke opschoningsactie aangebrachte blokkeringen door een script van datzelfde softwarehuis ongedaan zouden worden gemaakt. Toen dat bekend werd heeft de apotheker volgens het Centraal Tuchtcollege adequaat gehandeld. De apotheker is bovendien overgeschakeld op andere software in de apotheek, om de privacy van haar patiënten in de toekomst beter te waarborgen.

Beschouwing

Uit de uitspraak kan worden gedestilleerd dat een individuele beroepsbeoefenaar er in ieder geval voor moet zorgen dat wanneer hij gebruik maakt van software om zijn patiëntendossiers elektronisch te beheren ervoor moet zorgen dat die software aan de algemene standaard voor veiligheidseisen voldoet. Wanneer hij gebruik maakt van een algemeen  erkend softwaresysteem van een softwareleverancier, mag de individuele beroepsbeoefenaar normaal gesproken op de deskundigheid van die leverancier vertrouwen. Ook is duidelijk dat een individuele beroepsbeoefenaar het verzoek van een patiënt om zijn gegevens niet zonder zijn uitdrukkelijke (schriftelijke) toestemming beschikbaar te stellen aan derden in beginsel moet opvolgen, ook al gaat het daarbij om andere zorgverleners.

  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
Naar boven scrollen