Uit het Universitair Medisch Centrum Utrecht (UMCU) zijn harde schijven met medische gegevens van zo’n zevenhonderd patiënten gestolen. Op de harde schijven staan niet alleen medische dossiers, maar ook burgerservicenummers en namen.
Het ziekenhuis heeft de patiënten en de Autoriteit Persoonsgegevens geïnformeerd en aangifte gedaan bij de politie.
De diefstal gebeurde op 18 april. Bij de polikliniek interne geneeskunde en de polikliniek allergologie werden in totaal tien computers opengebroken.
De harde schijven, processoren en geheugenbanken werden uit de computerkasten gehaald en meegenomen.
Twee computers waren noodcomputers, waar artsen gebruik van kunnen maken als de gebruikelijke computersystemen uitvallen.
Volgens het ziekenhuis konden de behandelingen van de patiënten gewoon doorgaan. De gegevens zijn afgeschermd met een gebruikersnaam en wachtwoord
Door een datalek bij bemiddelingsplatform Tadaah zijn identiteitsbewijzen van honderden medewerkers uit de zorg en kinderopvang vrij toegankelijk geweest. Dat blijkt uit onderzoek van RTL Nieuws.
Tadaah is een organisatie die zelfstandigen in de zorg en kinderopvang in verbinding brengt met opdrachtgevers
Het gaat om de identiteitsbewijzen van achthonderd mensen, die een kopie van de voor- en achterkant van hun ID, paspoort of rijbewijs naar Tadaah hebben gestuurd.
Naast identiteitsbewijzen waren VOG’s (Verklaring Omtrent Gedrag), verzekeringen en diploma’s voor iedereen in te zien.
In totaal gaat het volgens RTL-nieuws om duizenden gelekte gevoelige documenten. Deze documenten stonden op een onbeveiligde en publiekelijk toegankelijke server en waren daardoor voor iedereen te vinden.
RTL Nieuws heeft het datalek gemeld bij Tadaah, het lek is inmiddels gedicht. “Het is een menselijke fout”, zegt Eike Dehling, één van de oprichters van Tadaah tegen het tv-programma. “Dit mag gewoon niet gebeuren.”
Tadaah heeft het lek gemeld bij de Autoriteit Persoonsgegevens.
De Nederlandse normcommissie voor Klinisch Onderzoek houdt op 28 mei een open vergadering in de vorm van een webinar waarin de nieuwe NEN-EN-ISO 14155 versie wordt toegelicht.
ISO 14155 is wereldwijd de norm voor het opzetten en uitvoeren van Good Clinical Practice (GCP) klinisch onderzoek met medische hulpmiddelen.
Nederlandse partijen hebben zich ingezet om de publicatie uit 2011 te optimaliseren tot ‘State of the Art’. De nieuwe publicatie wordt in juni 2020 verwacht.
NEN nodigt partijen uit om alvast kennis te maken met de nieuwe NEN-EN-ISO 14155. Dat kan door deelname aan het webinar op 28 mei 2020.
Weten welke vragen aan bod komen? Kijk op de webpagina van NEN Evenementen.
NEN-EN-ISO 14155:2020 bevat in hoofdlijnen dezelfde elementen als de publicatie uit 2011, maar gaat dieper in op bepaalde aspecten. Het doel daarvan is de sponsor van een klinische studie meer duidelijkheid te verschaffen zonder de normeisen te verzwaren.
Daarnaast is de norm in lijn gebracht met nieuwe regelgeving omtrent Data Privacy en de EU Medical Device Regulation (MDR). Dit leidde tot bijna een verdubbeling van de grootte van het document.
Nieuwe onderwerpen
Onderwerpen die nieuw in de norm zijn opgenomen, betreffen:
Het benadrukken van de principes van Good Clinical Practice (GCP);
De verantwoordelijkheden van de ethische commissies;
De toepassing van NEN-EN-ISO 14971:2019 (over risicomanagement voor medische hulpmiddelen) op klinische studies;
Klinische studieaudits;
Extra statistische principes.
Gezamenlijk werk
De Nederlandse normcommissie voor Klinisch Onderzoek voor medische hulpmiddelen heeft de afgelopen drie jaar intensief gewerkt aan de ontwikkeling van NEN-EN-ISO 14155.
Op 28 augustus 2018 hield de normcommissie voor Klinisch Onderzoek een open vergadering om de betrokken Nederlandse partijen te informeren en te bevragen over de conceptnorm. Bijdragen uit die vergadering zijn meegenomen in de ontwikkeling van de norm.
Meer informatie en aanmelden webinar
Voor aanmelding van het webinar, ga naar NEN Evenementen. Voor informatie over deze norm(en) of over het normalisatieproces: Lieke van Nierop, Consultant Zorg & Welzijn, telefoon 015 2 690 390 of e-mail zw@nen.nl.
Meepraten over de inhoud van normen
Wilt u als belanghebbende partij meepraten over de ontwikkeling van normen op dit gebied? De normcommissie ‘Klinisch onderzoek’ houdt zich bezig met het beoordelen, bijstellen en opstellen van normen voor het klinisch onderzoeken van medische hulpmiddelen. Stuur voor deelname aan of meer informatie over deze commissie een mail naar zw@nen.nl.
“Een noodsituatie vergt noodmaatregelen. Daar zijn we ons terdege van bewust. Maar ook noodmaatregelen moeten proportioneel, transparant en toetsbaar zijn. En daar lijkt de Autoriteit Persoonsgegevens (AP) nu toch een belangrijke steek te hebben laten vallen”, concluderen Platform Bescherming Burgerrechten, Privacy First, Humanistisch Verbond en Stichting KDVP.
“Omdat die haar goedkeuring heeft gegeven aan een problematische noodmaatregel, de zogenaamde ‘corona opt-in’, waarmee het medisch beroepsgeheim systematisch buitenspel wordt gezet. De medische privacy van alle Nederlandse burgers komt hiermee in gevaar.”
Platform Bescherming Burgerrechten, Privacy First, Humanistisch Verbond en Stichting KDVP hebben hun gezamenlijke standpunt gepubliceerd op de website van Platform Burgerrechten.
Waar gaat het om?
Ruim de helft van alle Nederlanders heeft nog geen toestemming gegeven om hun medische gegevens via het Landelijk Schakelpunt (LSP) te laten uitwisselen door zorgverleners.
Daardoor is er een groot niemandsland van potentiële corona-patiënten waarvan huisartsenposten en ziekenhuizen niet weten wat hun medische achtergrond is.
Terwijl ze daar wel behoefte aan hebben, als de nood aan de man komt. Vandaar dat ze aan het ministerie van VWS gevraagd hebben om daar iets voor te regelen.
Het ministerie van VWS heeft hiervoor de zogenaamde ‘corona opt-in’ bedacht. Een verwarrende term, omdat er door die maatregel juist géén expliciete toestemming (opt-in) meer vereist is; er wordt uitgegaan van een soort stilzwijgende toestemming dat je gegevens gedeeld mogen worden via het LSP. Tenzij je alsnog bezwaar maakt.
De nieuwe praktijk wordt daarmee: wie zwijgt, stemt toe (opt-out). Wat wettelijk gezien gewoon niet mag.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens vindt deze ‘corona opt-in’ niet bezwaarlijk, met dien verstande dat de patiënt nog wel even ter plekke toestemming moet geven.
In haar reactie op het voorstel stelt de AP: “Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.”
Medisch beroepsgeheim massaal omzeild
Klinkt logisch en redelijk. Vooral ook vanwege de extra voorwaarden die de AP heeft toegevoegd, zoals: dat deze maatregel tijdelijk is, en dat de gegevens alleen ingezien mogen worden door de huisartsenpost of de spoedeisende hulp. Maar toch kleven er aan deze oplossing belangrijke bezwaren. We noemen er vier (maar er zijn er nog meer).
Eerste probleem
Ten eerste is er een technisch probleem. Je kunt als patiënt wel zéggen dat je toestemming geeft, maar dan kan de arts nog steeds niet in je dossier. Degene die je dossier moet ontsluiten is namelijk de huisarts die je medische gegevens heeft vastgelegd in zijn patiëntdossier.
Deze noodmaatregel is nou juist bedoeld om het beroepsgeheim dat daarop rust te omzeilen.
Hoe dit logistiek moet worden gerealiseerd, wordt niet helder uit de brief van de AP. Maar wie is ingewijd in de technische kant van het LSP, weet dat dit alleen maar kan door álle dossiers waarvoor nog geen toestemming voor uitwisseling is gegeven, alsnog te ontsluiten (via een update van huisarts-systemen).
Een volkomen disproportionele maatregel. En ook nog bloedlink, getuige het tweede probleem.
Tweede probleem
Het tweede probleem is ook technisch van aard: de raadpleging van je dossier zou beperkt moeten blijven tot de zorgverleners die direct bij je behandeling zijn betrokken. Maar dat is in het LSP technisch niet mogelijk.
Dit informatiesysteem biedt geen mogelijkheid tot gericht opvragen: het is alles of niets. In dit geval dus alles, oftewel iedere zorgverlener aangesloten op het LSP. Dat zijn tienduizenden potentiële ingangen voor hackers.
De Eerste Kamer, die het LSP in 2011 unaniem verwierp, noemde het systeem daarom destijds “een dossier met duizend deuren aan de achterkant.”
Derde probleem
De ‘corona opt-in’ biedt daarmee slechts een schijnzeggenschap aan de patiënt – het derde bezwaar. Ongeacht of de patiënt toestemming geeft, zal diens dossier namelijk technisch al open staan voor raadpleging vanuit tienduizenden toegangspunten.
De toestemming die patiënten volgens de AP moeten geven, is daarmee niets meer dan een holle formaliteit.
Door in haar brief aan het Ministerie van Volksgezondheid ten onrechte te stellen dat deze toestemming een harde eis is om het dossier raadpleegbaar te maken, gaat de AP voorbij aan de verstrekkende technische implicaties van deze maatregel – en daarmee ook de juridische.
Vierde probleem
Daarmee komen we aan bij het vierde en overkoepelende bezwaar. De AP houdt officieel toezicht op de naleving van privacywetten, maar nergens in haar brief valt te lezen op welke wettelijke basis de ‘corona opt-in’ is gebaseerd.
Evenmin wordt duidelijk waarom de AP van mening is dat de voorgestelde ‘corona opt-in’ een noodzakelijke en proportionele maatregel en dat dit probleem niet op een minder ingrijpende manier kan worden opgelost.
Van een privacytoezichthouder in crisistijd mogen we een transparant en grondiger onderbouwd oordeel verwachten, waarbij bovenstaande gevolgen van de ‘corona opt-in’ expliciet worden meegewogen.
Toezicht op naleving van de privacywetgeving en de principes van het privacyrecht zijn de kerntaken van de AP, juist in crisistijd.
Als iemand nu het hoofd koel moet houden en niet mee moet gaan in overhaaste crisismaatregelen met onoverzienbare gevolgen, is het de nationale toezichthouder op de privacy.
Platform Bescherming Burgerrechten Privacy First Humanistisch Verbond Stichting KDVP
Privacy First schrijft in een opiniestuk in de Telegraaf “fel tegen iedere Corona surveillance-app te zijn en al zeker tegen een die het medisch beroepsgeheim ondermijnt.”
“Een mobiel EPD (elektronisch patiëntendossier) waarin iedere burger een potentiele verdachte is en tevens en masse alle bewegingen worden nagegaan, levert in onze ogen schijnverdenkingen en -zekerheden op, verdachtmakingen, stigmatisering en zelfcensuur”, schrijft Privacy First. “Dit vormt een enorme inbreuk op ieders bewegingsvrijheid, om nog maar niet te spreken van datalekken en hacking.”
Stichting Privacy First is opgericht in 2008. Het statutaire doel van Privacy First luidt als volgt: Het behouden en bevorderen van het recht op privacy, alsmede de persoonlijke vrijheid van leefomgeving, op welke wijze dan ook, onder meer door het in rechte optreden voor alle burgers in Nederland ter bescherming van dit algemene belang; en het verrichten van al hetgeen met voornoemd doel in de ruimste zin verband houdt of daartoe bevorderlijk kan zijn.
Tevens zal het volgens Privacy First niet bij deze app blijven. “Er zijn meer (toekomstige) ziekten en gedrag in kaart te brengen. En waarom dan niet meteen het hele dossier, gekoppeld aan triage? De geschiedenis leert dat dit soort maatregelen nooit worden teruggedraaid en alleen maar worden uitgebreid.”
“In ons rechtssysteem is het heel simpel”, zegt Privacy First. “We gaan uit van legitieme doelbinding, oftewel: wat is het probleem, wat is het doel en hoe kunnen we dit bereiken?”
“De eerste vraag kunnen we al niet beantwoorden; we meten namelijk vrijwel niet. De bevolking wordt dagelijks angst aangejaagd op basis van zeer selectieve cijfers inzake intensivecare-opnames en sterfgevallen. De totale besmette populatie is onbekend en het aantal mensen dat geneest wordt niet gerapporteerd.”
“Wat we hier zien is een crisis aangejaagd door emotie bij gebrek aan cijfers. En dan is een app de oplossing? Waarvoor precies?”
Naast doelbinding zijn volgens de Algemene Verordening Gegevensbescherming (AVG) noodzaak en proportionaliteit (is er een redelijke verhouding tussen het middel en het doel?) cruciaal. “In deze crisis is het grootste probleem een capaciteitsprobleem in de gezondheidszorg. Dan lijkt me duidelijk waar de aandacht naartoe moet gaan: capaciteitsuitbreiding met man en macht”, stelt voorzitter Bas Filippini, van Privacy First.
“Mensen, ic-bedden, mondkapjes, kleding, beademingsapparatuur et cetera. En natuurlijk testcapaciteit voor de gehele bevolking, zowel op infectie als op antilichamen. Zo komen we tot feiten en het vaststellen van het echte probleem. Volgens de laatste schattingen heeft 95% van onze bevolking helemaal niets en die zou nu continu met een app gecontroleerd moeten worden?”
Een ander vereiste in de AVG is subsidiariteit: wat zijn de alternatieve oplossingen voor een dergelijke horror-app, die alleen maar leidt tot meer angst en wantrouwen? Welke privacyvriendelijke alternatieven zijn er?
“Onze overheid krijgt nu vanuit vertrouwen zes weken de tijd om zijn zaakjes op orde te krijgen en de burger heeft daarom het recht om iets terug te krijgen. Welke behandelmethoden en testmiddelen zijn reeds voorhanden die de burger weer vertrouwen kunnen geven?”, zegt Filippini.
“Alle opties dienen te worden onderbouwd met cijfers. En testen kan gewoon via ons huidige gezondheidssysteem, dus via de huisarts. Niks nieuws onder de zon. Indien iemand besmet getest wordt, kan die in overleg met de huisarts of wellicht de GGD zelf actie ondernemen. Via dezelfde huisarts kan een burger natuurlijk altijd op basis van vrijwilligheid medische gegevens delen (eventueel via een privacyvriendelijke app) om anderen te helpen in het vinden van de beste behandelmethode. Uit onze analyse blijkt echter dat anonieme apps vrijwel onmogelijk zijn.”
De conclusie van de voorzitter van Privacy First: “Dus fix the fundamentals, test en los het echte probleem op in plaats van apps te bouwen. Dan kunnen we op 28 april weer aan het werk en applaudiseren voor alle ondernemende Nederlanders die deze operatie uiteindelijk financieren.”
Het ministerie van Binnenlandse Zaken van de Duitse deelstaat Saksen-Anhalt heeft de gezondheidsdiensten opgedragen om persoonlijke / gezondheidsgegevens van alle personen in quarantaine beschikbaar te stellen aan de politiediensten.
De Duitse politie heeft dus persoonlijke gegevens over coronageïnfecteerde personen en contactpersonen ontvangen. En dat is in strijd met de Europese privacywet.
De onwettige opdracht van het ministerie van binnenlandse zaken van Saksen-Anhalt werd onthuld door de website netzpolitik.org. De deelstaat ontkende de gang van zaken aanvankelijk. De politie wilde niet reageren.
De Staatscommissaris voor gegevensbescherming van Saksen-Anhalt stelt een onderzoek in.
Nader onderzoek van netzpolitik.org eerde dat Saksen-Anhalt niet de enige Duitse deelstaat is die de onwettige opdracht aan gezondheidsdiensten heeft gegeven.
Volgens netzpolitik.org zou de minister van Binnenlandse Zaken van Saksen-Anhalt op 22 april 2020 hebben beslist dat de gegevens van 27 tot 31 maart 2020 ter beschikking moeten worden gesteld van alle personen die zich in quarantaine van de federale staat bevinden.
Sindsdien geven de gezondheidsautoriteiten in Saksen-Anhalt gegevens van personen in quarantaine door aan de politie “naar eigen goeddunken en in individuele gevallen”.
Tot 9 april 2020 zijn er meer dan 800 Corona besmettingen geregistreerd in Saksen-Anhalt. De gedeelde gegevens zouden namen, adressen, geboortedata, verblijfplaatsen, nationaliteiten, geslacht en het begin en einde van de officieel vastgestelde quarantaine hebben omvat.
De overdracht, verwerking en opslag van gezondheidsgegevens in politiedatabases was “juridisch problematisch” en de staatssecretaris voor gegevensbescherming moest bij de zaak worden betrokken.
Het ministerie van Binnenlandse Zaken van de deelstaat Saksen-Anhalt ontkende aanvankelijk tegenover netzpolitik.org dat er sprake was geweest van overdrachten van gezondheidsgegevens aan de politie. Later werd bekend dat gezondheids-/persoonsgegevens waren opgeslagen in de recherche-databank van het Rijksbureau voor Strafrechtelijk Onderzoek.
De overdracht van gegevens van besmette personen en contactpersonen werd volgens netzpolitik.org ook in andere Duitse deelstaten ingevoerd. Officieel was het doel van de maatregel om de naleving van de quarantaine te controleren en de politieagenten te beschermen.
Volgens de informatie waarover netzpolitik.org beschikt, heeft de Nedersaksische commissaris voor gegevensbescherming Barbara Thiel de maatregel ook voor haar staat onwettig verklaard. De deelstaatregering van Nedersaksen heeft de gegevensoverdracht echter gehandhaafd.
De controversiële praktijk werd ook in andere deelstaten ingevoerd. Als gevolg van hevige protesten werd de maatregel in de stadstaat Bremen herroepen.
In de deelstaat Baden-Württemberg wordt een verordening betreffende de datatransmissie overeenkomstig de privacywet positief verwacht.
De procedure is in de deelstaat Mecklenburg-Vorpommern gewijzigd. Hier is de overdracht van gezondheidsgegevens nu gebaseerd op de behoefte. Bovendien zal het nu verplicht zijn om de gegevens anoniem en gecodeerd door te geven aan een bepaalde groep mensen in de politiedienst.
Corona-preventie en de verwerking van gezondheidsgegevens
Er bestaat een grote spanning tussen gegevensbescherming / grondrechten en effectieve pandemiebestrijding. Het staat buiten kijf dat mensen en verplegend personeel, het ambtenarenapparaat en andere werknemers met de nodige contacten met het publiek bescherming nodig hebben.
Het is echter opvallend dat vooral bij dergelijke maatregelen de dialoog met de gegevensbeschermingsautoriteiten en ook met de officiële gegevensbeschermingsfunctionarissen actief wordt vermeden.
Juist op zulke momenten kan men verwachten dat men over de divisies heen coördineert met het oog op een holistisch crisismanagement.
Op deze manier kan ervoor worden gezorgd dat de verwerking en overdracht van de autoriteiten voldoen aan de absoluut noodzakelijke, actuele eisen op het gebied van gegevensbescherming en informatiebeveiliging/IT-beveiliging.
Veel Nederlandse bedrijven hebben hun ICT niet op orde, daardoor zijn 100.000 computers vatbaar voor datalekken. Dat vertellen ICT-experts in een video die YouTuber Sven van der Meulen vrijdag op YouTube heeft gezet.
Door een beveiligingsissue in Windows-computers kan “de gemiddelde ICT-student op het mbo” inbreken in de computers.
Van der Meulen voerde het onderzoek uit in samenwerking met cybersecuritybedrijf Dyna-Tech. Een ICT-expert van dat bedrijf vertelt in de video dat een fout in het besturingssysteem van Windows maanden geleden is ontdekt. Een fout die volgens de experts makkelijk te herstellen is, ware het niet dat veel bedrijven op ICT-gebied “hun zaken niet op orde hebben”.
Daar komt bij dat de kwetsbaarheden van de computers openbaar te vinden zijn op het internet. “Elke zolderhacker kan al maanden eenvoudig toegang krijgen tot deze computers, met alle gevolgen van dien”, vertelt een ander cybersecuritybedrijf, Fox-IT, in de video.
Om aan te tonen hoe slecht het gesteld is met de beveiliging bij bedrijven ging de YouTuber op bezoek bij een bibliotheek, waar hij een hacker opdracht gaf op een “ludieke manier” het systeem binnen te komen. De hacker printte vanuit het systeem het logo van Van der Meukens YouTube-kanaal Vrije Vogels via een printer van de bieb.
Daarnaast zocht hij contact met een abortuskliniek die ook de beveiliging van het systeem niet op orde had. De twee bedrijven hebben hun systeem inmiddels beter beveiligd.
Ziekenhuizen en abortusklinieken
Volgens de experts blijven nog steeds 100.000 computers over waarbij hackers makkelijk toegang kunnen krijgen tot alle data in het systeem, waaronder persoonsgegevens. Het gaat hierbij ook om computers van ziekenhuizen en abortusklinieken.
ICT-specialist Joost Pol legt in de video uit dat het probleem vaak is dat bedrijven hun software niet updaten. “Een van de meest basale dingen om de computer veilig te houden, het updaten van de software, gebeurt nog steeds niet vaak genoeg.”
37 procent van de ransomware-aanvallen is gericht op de zorgsector, meldt de cybersecurity verzekeringsmaatschappij Beazley Breach Response (BBR). De hoogste losgeldeis bedroeg maar liefst 2,8 miljoen dollar.
De extreem hoge losgeld eisen zijn volgens BBR gelukkig nog zeldzaam. De gemiddelde eis van cybercriminelen ligt momenteel rond de 10.000 dollar. Dit is beduidend hoger dan het gemiddelde van 1000 dollar dat in oktober 2016 werd gerapporteerd in de Breach Insights.
Volgens BBR is het aantal ransomware meldingen in september bijna verdubbeld ten opzichte van augustus.
In de eerste drie kwartalen van 2018 was 71% van de ransomware-incidenten die door BBR Services werden afgehandeld, bestemd voor het midden- en kleinbedrijf.
Er is volgens BBR momenteel ook een enorme groei van ransomaanvallen in de financiele en administratieve sector zichtbaar.
Een aantal ransomware-aanvallen in het derde kwartaal werden in verband gebracht met de campagnes van Ryuk en BitPaymer.
Er wordt veel BitPaymer ransomware gedetecteerd op netwerken die ook geïnfecteerd waren met banktrojans. Deze computer virussen worden gebruikt om gegevens te stelen van online platforms van banken.
BitPaymer ransomware besmette Schotse ziekenhuizen, verlamde de infrastructuur van een kleine stad in Alaska en sloot computers bij de Professional Golfers’ Association of America.
Ryuk, een variant van Hermes ransomware die werkt via speer phishing, besmette gezondheidszorgorganisaties in Canada en een watervoorziening in North Carolina.
Zo’n 71 procent van de ransomware-aanvallen was gericht op kleine en middelgrote bedrijven, wat aantoont hoe belangrijk het is voor alle bedrijven, ongeacht hun omvang, om meerdere, bijgewerkte back-ups bij te houden en serieus te investeren in IT.
De speer phishing aanvallen maken duidelijk hoe belangrijk het is om medewerkers te trainen in cybersecurity in een kantooromgeving.
Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding. Een AVG-wake-upp call voor iedereen die Whatsapp nog zakelijk gebruikt.
Iedereen die zonder toestemming werknemers, klanten of patienten toevoegt aan Whatsapp overtreedt de Europese privacywet.
De KNO-arts maakt met zijn Whatsappgroep honderden privé-nummers van patiënten inzichtelijk voor anderen.
Eén van zijn oud-patienten meldt bij de Amsterdamse lokale omroep AT5 het vreemd te vinden dat een arts hem benadert via zijn privételefoon.
“Je ziet van al die mensen een Whatsappfoto en ook de telefoonnummers. Dit kan echt niet. De arts schendt hiermee het medisch beroepsgeheim en de privacy van patiënten.”
Schending concurrentiebeding en medisch beroepsgeheim
De actie van de arts is niet alleen vanuit AVG-oogpunt bedenkelijk vanuit concurrentieoverwegingen. Hij probeert via de groepsapp patiënten mee te lokken naar zijn nieuwe werkgever: Acibadem International Medical Center.
In het groepsgesprek, dat de arts midden in de nacht aanmaakt met zijn privé-nummer, vertelt hij een nieuwe werkgever te hebben. De dokter plaatste volgens AT5 teksten als: “Hierdoor kunt u niet geopereerd/gecontroleerd worden in Ziekenhuis Amstelland. [Het] is uiteraard wel mogelijk dat u door mij geopereerd wordt in het International Medical Center Acibadem.”
Ook schrijft de arts dat de wachttijden bij zijn nieuwe werkgever ‘aanzienlijk korter’ zijn en dat patiënten er goed aan doen om opnieuw een verwijsbrief van de huisarts te vragen.
Solo-actie
Zijn nieuwe werkgever Acibadem zegt dat het benaderen van deze patiënten een ‘solo-actie’ is van de KNO-arts. “Wij zijn hier vooraf niet van op de hoogte gesteld en de wijze waarop dit is gebeurd past niet binnen de richtlijnen van Acibadem.”
Ziekenhuis Amstelland, oud-werkgever van de dokter, kondigt juridische stappen aan tegen de oud-werknemer. “Er zijn door de betreffende arts gegevens van onze patiënten meegenomen die binnen onze muren hadden moeten blijven.”
Het VieCuri Medisch Centrum in Venlo is in opspraak vanwege een datalek waarbij de gegevens van 22 kinderen, inclusief medische gegevens, op straat zijn beland, meldt de regionale omroep 1Limburg.
Het betreft slechts vier vellen papier, maar de impact daarvan is qua negatieve publiciteit nu al groot. En die kan nog groter worden.
Datalekprocedure
Grote vraag is namelijk of het Limburgse ziekenhuis wel volgens de regels een datalekprocedure in gang heeft gezet.
Vinder Jeroen Dekkers van de papieren zegt bij L1 de indruk te hebben dat het ziekenhuis de zaak in de doofpot wilde stoppen. Hij zocht zondag meteen na zijn vondst al contact met het ziekenhuis.
Datalek uit de media houden
Dekkers zegt dat hij zich geïntimideerd voelt en dat hem meerdere malen is gevraagd om de zaak uit de media te houden.
Een woordvoerder van het ziekenhuis ontkent bij L1 dat zij dit gevraagd heeft.
Functionaris Gegevensbescherming (FG)
Opvallend is echter dat de Functionaris Gegevensbescherming (FG) van VieCuri volgens Dekkers pas woensdag persoonlijk contact opnam met Dekkers. Terwijl volgens de Algemene Verordening Gegevensbescherming (AVG) een organisatie binnen 72 uur na het ontdekken van een lek meteen passende maatregelen moet treffen en een datalekprocedure bij de Autoriteit Persoonsgegevens (AP) in gang moet zetten.
De FG is voor die datalekprocedure verantwoordelijk. Het is dan ook uitermate vreemd dat de FG niet eerder contact heeft opgenomen met de vinder.
Volgens de Autoriteit Persoonsgegevens is er inmiddels wel een datalekmelding door het ziekenhuis gedaan.
Ziekenhuis onderzoekt lek en afhandeling melding
Het ziekenhuis zegt te onderzoeken hoe het lek is ontstaan en hoe er is omgegaan met de melding.
De papieren werden zondag toevallig door Dekkers gevonden op de dijk langs de Maas, pal naast VieCuri.
Medische gegevens pasgeboren kinderen
In de documenten kon hij de voor- en achternaam, geboortedatum van de in sommige gevallen pasgeboren kinderen en gegevens van ouders en verzorgers lezen. Ook was er informatie over de medische situatie van de kinderen te vinden.
Uit de datum bovenaan de documenten blijkt dat ze dezelfde dag nog zijn gebruikt. Het betteft dienstlijsten van vermoedelijk de kinderafdeling.
Er komt een nieuw antivirus systeem voor smartphones in de zorg. Het is ontwikkeld door een ICT-bedrijf, maar het heeft – anders dan je zou verwachten na het lezen van de titel van dit bericht en eerdere berichtgeving over onveilige Android-smartphones op PrivacyZone – niets te maken met de Algemene Verordening Gegevensbescherming (AVG).
Uit onderzoek van Verpleegkundigen & Verzorgenden Nederland (VVN) blijkt dat een derde van de zorgmedewerkers zijn smartphone zelden tot nooit reinigt en dat hier in de zorg ook geen richtlijnen voor zijn.
Smartphone vol met bacteriën
Op een gemiddelde smartphone wemelt het van de bacteriën als streptokokken, stafylokokken en de E. colibacterie.
Patiënten, bezoekers en zorgmedewerkers hebben dit broeinest van bacteriën elk uur wel even in de hand, ook in het bijzijn van patiënten.
Een aantal zorginstellingen wil vanaf deze week een smartphone-reiniger testen.
Om deze nesten uit te roeien, gaat Peak-It deze week de servicedesks van veertien van zijn zorgklanten voorzien van een smartphone-reiniger.
Na 8 minuten is smartphone bacterievrij
De werking van het apparaat is eenvoudig: deksel eraf, telefoon erin, acht minuten wachten en de telefoon is volledig bacterievrij.
Kenmerk van het apparaat is uv-licht, dat de celwanden van bacteriën en virussen binnendringt en beschadigt zodat ziektekiemen sterven.
Daarnaast maakt de reiniger gebruik van ozon, dat weer desinfecterende eigenschappen heeft.
Operationeel directeur van Peak-It Richard Stassen laat via een persverklaring weten dat de actie geen commercieel doel behelst. ‘We gaan ze niet verkopen. Het is puur als gebaar richting de zorginstellingen waarmee we samenwerken.’
Over Peak-It
Peak-It is een grote it-detacheerder met landelijk ruim vierhonderd medewerkers in dienst. Het bedrijf, met de beschikking over drie vestigingen in Naarden, Rijswijk en Eindhoven. Het bedrijf kwam in maart 2018 in handen van ManpowerGroup en maakt onderdeel uit van Experis-IT.
70% van de bedrijven in Groot-Brittannie heeft geen officieel proces of protocol heeft voor het weggooien van verouderde IT-apparatuur. De verwachting is dat de cijfers representatief zijn voor de rest van Europa.
De bedrijven blijken de gegevens van apparatuur en gegevensdragers die zij in de twee maanden na de invoering van de AVG hebben verwijderd, niet te hebben gewist. Dat is volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht.
Bovendien geeft 66% van de werknemers toe dat ze niet eens zouden weten wie ze in hun bedrijf moeten benaderen om oude of onbruikbare apparatuur op de juiste manier af te voeren.
Dat blijkt uit een enquête onder 1.002 Britse werknemers met een volledige of deeltijdse baan, uitgevoerd door Probrand.co.uk.
Probrand is een marktplaats voor business IT in het Verenigd Koninkrijk, met IT-producten, managed IT-services en IT-oplossingen.
Vooral transportsector overtreedt de AVG
Vooral transportbedrijven – waarvan er veel zullen beschikken over klant- en klantadressen en contactinformatie over hun systemen – gaan slordig om met IT-apparatuur die verwijderd wordt, blijkt uit het onderzoek.
Bedrijven in de verkoop en marketing (62%) – waarvan velen ook toegang zullen hebben tot openbare gegevens – waren de op één na meest schuldig aan deze situatie.
Top 10 bedrijfstakken die AVG overtreden
De top 10 industrieën die het meest schuldig zijn aan het niet wissen van het geheugen van IT-apparatuur voordat deze wordt verwijderd:
Vervoer – 72%
Verkoop en marketing – 62%
Productie – 59%
Nutsbedrijven – 58%
Detailhandel – 57%
Onderwijs – 54%
Vrije tijd en reizen – 49%
Gezondheidszorg en gastvrijheid – 45%
Handelaren / administratie – 44%
Voorlichting en communicatie – 39%
Verbazingwekkend dat bedrijven zelfs eenvoudig AVG beleid niet op orde hebben
“Gezien de hoeveelheid publiciteit rond de privacywet is het aantoonbaar onmogelijk dat bedrijven nog steeds niet op de hoogte zijn van de regels. Het is dus verbazingwekkend om te ontdekken hoeveel bedrijven er niet in slagen om een aantal van de eenvoudigste praktijken op het gebied van gegevensbescherming te implementeren en te volgen”, zegt Matt Royle, marketingdirecteur bij Probrand.co.uk.
De boetes in verband met een AVG-overtreding kunnen oplopen tot miljoenen. Daarnaast dreigen reputatieschade, minder klantenvertrouwen en minder loyaliteit voor bedrijven die als gevolg van nalatigheid tegen de lamp lopen vanwege een datalek of een controle door de Autoriteit Persoonsgegevens (AP).
Meer AVG awareness nodig. Bedrijven moeten verwijderingsbeleid ontwikkelen
“Gezien deze bevindingen is het duidelijk dat er meer moet worden gedaan om ervoor te zorgen dat alle bedrijven over een verwijderingsprocedure beschikken om te voorkomen dat er per ongeluk gevoelige gegevens uitlekken”, zegt Matt Royle.
