Het Utrechts Medisch Centrum (UMC) heeft persoonsgegevens van 900 hartpatiënten per post naar verkeerde adressen verstuurd. zijn patiënten, meldt het ANP. Het betreft een deels vooringevulde vragenlijst die twee keer per jaar naar de patiënten wordt gestuurd. Volgens het UMC ligt de fout ’bij de drukker’.

Op de vragenlijst staan naam, adres, postcode, woonplaats, telefoonnummer, geboortedatum, e-mailadres, en huisartsgegevens van de patiënten die deelnemen aan een langlopend onderzoek naar de gevolgen van hartfalen al vooringevuld.

Volgens het UMC stonden er geen medische gegevens van patienten in de vragenlijst. Dat is een vreemde poging van het ziekenhuis om de impact van de datalek af te zwakken. Impliciet weet iedereen die de vragenlijst in handen krijgt namelijk dat deze vragenlijst alleen naar hartpatienten is gestuurd. Het betreft immers een onderzoek voor hartpatienten.

Datalekprocedure UMC

Het Utrechtse ziekenhuis zegt binnen 48 uur na het ontdekken van de fout een brief naar alle 900 hartpatienten te hebben gestuurd. Daar is het ziekenhuis op basis van de regels voor een datalekprocedure volgens de Algemene Verordening Gegevensbescherming (AVG) ook toe verplicht.

Na het ontdekken van een datalek moet er binnen 72 uur een datalekprocedure worden opgestart, waarbij de Autoriteit Persoonsgegevens en de personen of organisaties die betrokken zijn bij het datalek formeel moeten worden geinformeerd.

“Zo’n grote fout kun je niet met een excuusbriefje afdoen”

In De Telegraaf verwijten enkele betrokken hartpatienten dat het ziekenhuis zich er met de excuusbrief te gemakkelijk vanaf maakt. De journalist en de patienten weten duidelijk niet dat het ziekenhuis handelt op basis van wettelijke voorschriften. Die schrijven voor dat de betroffen partijen moeten worden geinformeerd over de oorzaak van het datalek en de maatregelen die worden getroffen.

Een woordvoerder van het UMC erkent de fout ruiterlijk. „In het productieproces van het orgaan dat dit regelt is inderdaad iets verkeerd gegaan, en dat is heel vervelend. We hebben binnen 48 uur na de eerste melding die excuusbrief laten versturen. Voor de zekerheid hebben we die aan de hele groep van zo’n 900 personen gestuurd.”

Het UMC had bij de formele brief, die door de getroffen patienten als een goedkope excuusbrief wordt ervaren, beter ook uitleg kunnen geven over de AVG en een datalekprocedure kunnen meesturen om de patienten duidelijk te maken dat het ziekenhuis nu automatisch ook een onderzoek kan verwachten van de Autoriteit Persoonsgegevens.

Klacht indienen bij Autoriteit Persoonsgegevens

Eén van de patienten heeft inmiddels zijn grote onvrede schriftelijk kenbaar gemaakt aan het UMC, een voorwaarde om een klacht in te kunnen dienen bij de Autoriteit Persoonsgegevens (AP). Hij zegt zich bovendien bij het UMC Utrecht te laten uitschrijven voor het onderzoek.

Het UMC laat weten te hopen dat de patienten hun medewerking blijven geven aan het onderzoek, omdat het belangrijk is voor de toekomstige zorg voor hart- en vaatpatiënten.

Wees de eerste die dit bericht deelt

Aanmelden PrivacyZone Nieuwsbrief

Met een gratis abonnement op de PrivacyZone Nieuwsbrief voldoet u aan een van de eisen van de Europese privacywet GDPR / AVG. Wij houden u wekelijks op de hoogte met nieuws, jurisprudentie en advies. U wordt geacht deze ontwikkelingen actief te volgen en indien noodzakelijk gepaste maatregelen te treffen.

Bedankt voor uw aanmelding voor de PrivacyZone Nieuwsbrief.