Medisch datalek. Fout met persoonsgegevens van 900 hartpatiënten Utrechts Medisch Centrum. Wat kunnen we leren van de media-aandacht, reacties van patiënten en gevolgen voor imago

Het Utrechts Medisch Centrum (UMC) heeft persoonsgegevens van 900 hartpatiënten per post naar verkeerde adressen verstuurd. zijn patiënten, meldt het ANP. Het betreft een deels vooringevulde vragenlijst die twee keer per jaar naar de patiënten wordt gestuurd. Volgens het UMC ligt de fout ’bij de drukker’.

Op de vragenlijst staan naam, adres, postcode, woonplaats, telefoonnummer, geboortedatum, e-mailadres, en huisartsgegevens van de patiënten die deelnemen aan een langlopend onderzoek naar de gevolgen van hartfalen al vooringevuld.

Volgens het UMC stonden er geen medische gegevens van patienten in de vragenlijst. Dat is een vreemde poging van het ziekenhuis om de impact van de datalek af te zwakken. Impliciet weet iedereen die de vragenlijst in handen krijgt namelijk dat deze vragenlijst alleen naar hartpatienten is gestuurd. Het betreft immers een onderzoek voor hartpatienten.

Datalekprocedure UMC

Het Utrechtse ziekenhuis zegt binnen 48 uur na het ontdekken van de fout een brief naar alle 900 hartpatienten te hebben gestuurd. Daar is het ziekenhuis op basis van de regels voor een datalekprocedure volgens de Algemene Verordening Gegevensbescherming (AVG) ook toe verplicht.

Na het ontdekken van een datalek moet er binnen 72 uur een datalekprocedure worden opgestart, waarbij de Autoriteit Persoonsgegevens en de personen of organisaties die betrokken zijn bij het datalek formeel moeten worden geinformeerd.

“Zo’n grote fout kun je niet met een excuusbriefje afdoen”

In De Telegraaf verwijten enkele betrokken hartpatienten dat het ziekenhuis zich er met de excuusbrief te gemakkelijk vanaf maakt. De journalist en de patienten weten duidelijk niet dat het ziekenhuis handelt op basis van wettelijke voorschriften. Die schrijven voor dat de betroffen partijen moeten worden geinformeerd over de oorzaak van het datalek en de maatregelen die worden getroffen.

Een woordvoerder van het UMC erkent de fout ruiterlijk. „In het productieproces van het orgaan dat dit regelt is inderdaad iets verkeerd gegaan, en dat is heel vervelend. We hebben binnen 48 uur na de eerste melding die excuusbrief laten versturen. Voor de zekerheid hebben we die aan de hele groep van zo’n 900 personen gestuurd.”

Het UMC had bij de formele brief, die door de getroffen patienten als een goedkope excuusbrief wordt ervaren, beter ook uitleg kunnen geven over de AVG en een datalekprocedure kunnen meesturen om de patienten duidelijk te maken dat het ziekenhuis nu automatisch ook een onderzoek kan verwachten van de Autoriteit Persoonsgegevens.

Klacht indienen bij Autoriteit Persoonsgegevens

Eén van de patienten heeft inmiddels zijn grote onvrede schriftelijk kenbaar gemaakt aan het UMC, een voorwaarde om een klacht in te kunnen dienen bij de Autoriteit Persoonsgegevens (AP). Hij zegt zich bovendien bij het UMC Utrecht te laten uitschrijven voor het onderzoek.

Het UMC laat weten te hopen dat de patienten hun medewerking blijven geven aan het onderzoek, omdat het belangrijk is voor de toekomstige zorg voor hart- en vaatpatiënten.

Europese toezichthouders melden record aantallen klachten over inbreuken op privacyregels

Europese toezichthouders melden een forse toename van klachten over schending van privacyregels.

De Europese gegevensbeschermingsautoriteiten zeggen momenteel meer dan 200 grensoverschrijdende klachten in behandeling te hebben. De toezichthouders werken nauw samen bij de behandeling van deze klachten.

Er wordt momenteel aan een aantal nieuwe gedragscodes gewerkt voor specifieke technische gebieden als medisch onderzoek en cloudinfrastructuur.

Nieuwe biometrische standaardverordening

Daarnaast wordt er volgens de Franse toezichthouder CNIL sinds 3 september ook aan een aantal nieuwe richtlijnen gewerkt, waaronder een biometrische standaardverordening.

Recordaantal privacyklachten in Frankrijk

De Franse toezichthouder CNIL meldt dat het sinds 25 mei, toen de Algemene Verordening Gegevensbescherming (AVG) in werking trad, 3.767 klachten heeft ontvangen. In dezelfde periode vorig jaar werde er 2.294 klachten ingediend in Frankrijk en dat was volgens CNIL al een record.

Verdubbeling van privacy klachten in Groot-Brittanie

Uit de gegevens van de Britse toezichthouder ICO (Information Commissioner’s Office) bleek in augustus 2018 ook een sterke stijging van het aantal klachten. De Britten registreerden tussen 25 mei en 3 juli 6.281 klachten. Meer dan het dubbele van de 2.417 klachten die in dezelfde periode in 2017 werden ingediend.

Forse groei klachten in Ierland

The Irish Times meldde eind juli 2018 soortgelijke stijgingen van ingediende klachten in Ierland. De Ierse Commissie voor Gegevensbescherming zou twee maanden na invoering van de AVG al 1.184 meldingen van inbreuken op privacyregels hebben ontvangen. – een aanzienlijke stijging ten opzichte van het gemiddelde van 230 meldingen per maand in 2017. De DPC heeft in de eerste twee maanden van de GPDR ook 743 klachten geregistreerd, waarbij de verordening naar verluidt in 267 gevallen van toepassing is.

Collectieve klachten in Frankrijk

De Franse toezichthouder CNIL ontvangt niet alleen recordaantallen klachten over de bescherming van de persoonlijke levenssfeer van individuele personen, maar merkt ook op dat twee organisaties namens consumenten klachten hebben ingediend op basis van de “collectieve verhaalsmogelijkheid” die voor de AVG in sommige EU-landen is ingevoerd.

De twee organisaties die namens consumenten in Frankrijk klachten indienen zijn Max Schrems’ privacy NGO, noyb en de Franse digitale rechtengroep La Quadrature du Net, die volgens CNIL klachten heeft ingediend tegen Google, Amazon, Facebook, LinkedIn en Apple.