Een medewerker van het Flevoziekenhuis die gegevens van ruim 4.300 patiënten op een USB-stick in bezit had, is de stick kwijtgeraakt. Gegevens van deze patiënten lagen enige tijd op straat.
Het ziekenhuis heeft de patiënten inmiddels geïnformeerd.
Het ziekenhuis zegt in een verklaring dat meenemen van de stick niet de bedoeling en ongeoorloofd was. De medewerker zou de stick zijn verloren op een parkeerterrein bij het ziekenhuis.
De stick is wel weer terecht. Hij werd gevonden door een voorbijganger die op de parkeerplaats liep. Dit gebeurde al op 9 oktober vorig jaar. De vinder heeft thuis de USB-stick even geopend en gezien waar het om ging. Daarna bracht de vinder de stick meteen terug naar het ziekenhuis.
Oude gegevens
De USB-stick bevatte oude gegevens van 4325 patiënten die in de periode 2014 tot en met 2017 in behandeling waren bij de gipskamer. Het gaat om de naam, geboortedatum, patiëntnummer en korte, inhoudelijke aantekeningen over de aard van botbreuken en de wijze van behandeling.
Het bestand bevatte geen adresgegevens en Burgerservicenummers (BSN), en geen overige medische gegevens. De gegevens waren volgens de betrokkene op de USB-stick gezet met het doel om de effectiviteit van de behandeling later te kunnen analyseren. Het Flevoziekenhuis heeft alle patiënten die het betreft met een brief op het huisadres geïnformeerd.
Gemeld
Het datalek is na de ontdekking gemeld bij de Autoriteit Persoonsgegevens. Er is met behulp van een extern bureau een onderzoek ingesteld. Het Flevoziekenhuis heeft de betrokken patiënten geïnformeerd over het datalek en hen onze oprechte excuses aangeboden.
In reactie op de gebeurtenis zijn de bestaande regels en protocollen rond bewaren en gebruik van patiëntengegevens aangescherpt. Volgens het ziekenhuis is het voortaan verboden om USB-sticks (ook beveiligde) te gebruiken voor de opslag van herleidbare persoonsgegevens.
Gebruik van onbeveiligde USB-sticks is sowieso niet meer toegestaan. Het ziekenhuis heeft alle medewerkers opgeroepen om onbeveiligde USB-sticks die nog aanwezig waren meteen in te leveren.
Verder wordt het in het ziekenhuis vanaf de zomer technisch onmogelijk om vanaf een computer gegevens over te zetten op een USB-stick. Er zijn volgens de directie voldoende veilige alternatieven zoals beveiligde email, een beveiligde messenger-service voor zorgverleners en een beveiligde thuiswerkomgeving. Alle medewerkers zijn gewezen op het aangescherpte beleid.
Toestemming
“Dit had écht niet mogen gebeuren”, zegt Anita Arts, voorzitter van de raad van bestuur. “Patiëntgegevens mogen alleen opgeslagen worden als dit noodzakelijk is voor de medische behandeling of met voorafgaande toestemming van de patiënt. Beide was hier niet het geval. En áls opslaan van patiëntgegevens al gepermitteerd is, dan moet het veilig gebeuren. We nemen dit zeer serieus.”
Meldingen
Het aantal datalekmeldingen blijft overigens stijgen. In 2019 ontving de Autoriteit Persoonsgegevens (AP) bijna 27.000 meldingen. Dat is een stijging van 29% ten opzichte van 2018.
De AP ontving dit jaar een kwart (25%) meer meldingen naar aanleiding van hacking, phishing of malware-incidenten dan in het jaar daarvoor. Vooral grotere organisaties, die persoonsgegevens van veel mensen verwerken, lijken hier doelwit van.
