Selecteer een pagina

Miljoenen patiëntgegevens van ruim 300 Duitse ziekenhuizen liggen door een datalek op straat, meldt de Duitse website Datenschutzbeauftragter.de.  Er wordt gevreesd voor een enorm datalek. Justitie is met een onderzoek begonnen.

De  patientgegevens zouden in handen zijn gekomen van activisten van het “Medileaks”-platform.

Volgens Duitse media zijn honderden ziekenhuizen bespioneerd door de activisten. Vermoed wordt dat gevoelige bijzondere persoonsgegevens illegaal gekopieerd en doorgegeven zijn.

Een speciale vereniging die verantwoordelijk is voor klinieken in voornamelijk het Rijnland informeerde ziekenhuizen medio april in een mailing over  “mogelijke gegevensdiefstal”.

Op 11 april werd de vereniging anoniem geïnformeerd dat het internetplatform “medileaks.cc” gevoelige gegevens bevat van meer dan 300 ziekenhuizen in Duitsland over een periode van tien jaar.

In de brief staat verder: “Volgens de exploitant, die zijn identiteit niet bekendmaakt en het internetdomein op de Australische Cocoseilanden heeft geregistreerd, bezit hij een derde van alle zogenoemde artikel 21 patientgegevens van ziekenhuizen in Duitsland van de afgelopen tien jaar.”

De Cocos-eilanden liggen in de Indische Oceaan en zijn een buitengebied van Australië.

Artikel 21 van de wetgeving over de financiering van Duitse ziekenhuizen (Krankenhausentgeltgesetzes  – KHEntgG) regelt de jaarlijks voorgeschreven overdracht van digitaal opgeslagen patientgegevens van ziekenhuizen aan het verantwoordelijke datacenter op federaal niveau.

De gegevensbestanden bevatten de informatie over het vorige kalenderjaar en moeten uiterlijk op 31 maart worden ingediend.

Duitse ziekenhuizen geven informatie over de omvang en structuur van het ziekenhuis en geeft inzicht in de financiën.

Er wordt echter ook gedetailleerde informatie over individuele patiënten en hun behandeling verstrekt.

Het datacenter heeft tot taak de informatie te verifiëren.

De geanonimiseerde gegevens worden ook opgenomen in de officiële statistieken, die onder meer bedoeld zijn om het federale ministerie van Volksgezondheid te helpen bij het nemen van beslissingen.

Medileaks is actief sinds begin 2018. Het platform exploiteert Medileaks “Data-analyse voor een eerlijker gezondheidssysteem”.

Het doel van Medileaks is om “de waarheid over Duitse ziekenhuizen” aan het licht te brengen.

Sinds het begin van het jaar zijn op de website talrijke verslagen gepubliceerd over vermeend wanbeheer in de gezondheidszorg, bijvoorbeeld over absenteïsme en personeelsverloop in ziekenhuizen, doktersalarissen en statistieken over sterfte en complicaties bij diverse operaties.

Ook gegevens van zorginstellingen zijn geanalyseerd.

Medileaks zorgt ervoor dat er geen patiëntgegevens of ziekenhuisgegevens worden gepubliceerd of doorgegeven aan journalisten, zegt het platform.

De gegevens van de ziekenhuizen zijn “veilig”, beweert Medileaks. “Wat niet zeker is, is het beleid van veel ziekenhuizen en ketens om economische efficiëntie boven het welzijn van de patiënt te stellen,” schrijven de activisten in hun blog.

De argumenten van Medileaks laten onverlet dat zij verantwoordelijk zijn voor diefstal van bijzondere persoonsgegevens, zoals patiëntgegevens in de nieuwe Europese privacywet GDPR genoemd worden. Zowel de actievoerders als de ziekenhuizen kunnen bijzonder zwaar bestraft worden voor het datalek dat er voor gezorgd heeft dat de patiëntgegevens van miljoenen Duitsers nu op straat liggen.

Bijzondere persoonsgegevens moeten door de verwerkingsverantwoordelijke ziekenhuizen extra goed beveiligd worden, volgens de GDPR. Nalatigheid kan bestraft worden met een boete van 4 procent van de jaaromzet van een ziekenhuis met een maximum van 20 miljoen Euro. In totaal kan dit de ziekenhuizen honderden miljoenen Euro’s kosten.

Daarnaast hebben de ziekenhuizen op basis van medische wetgeving te maken met geheimhoudingsplicht. Op basis van deze wetgeving kan de overheid ook boetes opleggen.

Naast financiële en persoonlijke gegevens van de klinieken kunnen namelijk ook gevoelige patiëntgegevens zoals leeftijd, geslacht en postcode in de op het platform opgenomen gegevens zijn opgenomen.

Justitie in Duitsland neemt de zaak hoog op. Een woordvoerder van het Keulse parket zegt dat de zaak wordt onderzocht. “Het parket heeft een klacht ontvangen. Welke gegevens zijn gestolen en hoe, zal nu worden bepaald.”

Justitie maakt bij het onderzoek gebruik van een team van internationaal ervaren IT forensisch experts van auditkantoor Ernst & Young.

Een woordvoerder van de Ziekenhuisvereniging Rijnland had de authenticiteit van de brief van Medileaks bevestigd. Volgens eigen verklaringen zijn 164 klinieken lid van de vereniging.

Wees de eerste die dit bericht deelt

Aanmelden PrivacyZone Nieuwsbrief

Met een gratis abonnement op de PrivacyZone Nieuwsbrief voldoet u aan een van de eisen van de Europese privacywet GDPR / AVG. Wij houden u wekelijks op de hoogte met nieuws, jurisprudentie en advies. U wordt geacht deze ontwikkelingen actief te volgen en indien noodzakelijk gepaste maatregelen te treffen.

Bedankt voor uw aanmelding voor de PrivacyZone Nieuwsbrief.