Gegevens 200.000 Nederlandse en Belgische patiënten gelekt

De medische gegevens van ruim 200.000 Nederlanders en Belgen stonden lange tijd open en bloot online een fout van het Belgische scanbedrijf Iguana. Het gaat om patiënten van het Sint Anna Ziekenhuis in Geldrop en het Canisius-Wilhelmina Ziekenhuis in Nijmegen. Door het datalek waren de gegevens ruim een maand lang toegankelijk voor onbevoegden. Pas vorige week werd het lek gedicht.

De ziekenhuizen zijn van mening dat er geen medische gegevens  zijn gelekt. De geboortedata, dossiernummers en vermeldingen van specialisten waar de patiënten onder behandeling zijn, waren wel in te zien. De meeste getroffenen komen uit België; in totaal zo’n 195.000 mensen.

Deze schatting komt van Omroep Max uit het programma Meldpunt! De omroep bracht de ziekenhuizen afgelopen donderdag op de hoogte van het lek. De gegevens waren volgens de omroep in te zien via een openbare url. Iedereen die ervan afwist had zodoende toegang tot de gegevens.

De omroep ontdekt dat nog meer niet in de haak was en stelde de ziekenhuizen ook daarvan op de hoogte. Zo bleek het scanwerk van iGuana deels uitbesteed aan sociale werkplaatsen en gedetineerden. Dat laatste gebeurde onder andere in de Centrale Gevangenis in de  Belgische stad Leuven.De omroep weet in elk geval zeker dat medische dossiers van het  Isalaziekenhuis in Zwolle en het Bredase Amphia Ziekenhuis door de Leuense gedetineerde scanklaar zijn gemaakt. Gevangenen verwijderden bijvoorbeeld nietjes uit papieren dossiers zodat ze gemakkelijk gescand konden worden.

Op deze manier scanwerk uitbesteden is volgens de Wet Bescherming Persoonsgegevens (WBP) en de Wet op de Geneeskundige Behandelingsovereenkomst verboden. Onbevoegden mogen geen toegang hebben tot dergelijke dossiers.Deze bepaling is sinds 1 januari nog eens aangescherpt doordat de  meldplicht datalekken in werking trad. Volgens deze wet moeten  bedrijven en instanties ernstige datalekken meteen melden bij de Autoriteit Persoonsgegevens. Zo niet, staan er fikse boetes op het spel. Lekken er medische gegevens, moeten daarnaast ook de getroffen personen zelf worden ingelicht.

Het St. Anna Ziekenhuis stuurde inmiddels ruim 4.500 patiënten een brief. Bij het Nijmeegse Canisius-Wilhelmina Ziekenhuis ging het naar eigen zeggen om 52 patiënten. Ook zij zijn geïnformeerd.

Al jaren laten ziekenhuizen papieren archieven digitaliseren. De dossiers worden ingescand om ruimte en kosten te besparen. Ook zijn de patiëntgegevens veel toegankelijker voor artsen. Dat inscannen gebeurt vaak door het bedrijf dat dit werk tegen de laagste prijs kan uitvoeren.‘Meldpunt!’ kwam er achter dat vooral het arbeidsintensieve voorbereidingswerk uitgevoerd wordt in sociale werkplaatsen en gevangenissen.
ICT-beveiliger Sophos is niet verbaasd, maar vreest zelfs dat ook andere Nederlandse zorginstellingen onvoldoende maatregelen hebben genomen om de gegevens van patiënten te beschermen.

Gerelateerde berichten...