Selecteer een pagina

Medisch datalek. Fout met persoonsgegevens van 900 hartpatiënten Utrechts Medisch Centrum. Wat kunnen we leren van de media-aandacht, reacties van patiënten en gevolgen voor imago

Het Utrechts Medisch Centrum (UMC) heeft persoonsgegevens van 900 hartpatiënten per post naar verkeerde adressen verstuurd. zijn patiënten, meldt het ANP. Het betreft een deels vooringevulde vragenlijst die twee keer per jaar naar de patiënten wordt gestuurd. Volgens het UMC ligt de fout ’bij de drukker’.

Op de vragenlijst staan naam, adres, postcode, woonplaats, telefoonnummer, geboortedatum, e-mailadres, en huisartsgegevens van de patiënten die deelnemen aan een langlopend onderzoek naar de gevolgen van hartfalen al vooringevuld.

Volgens het UMC stonden er geen medische gegevens van patienten in de vragenlijst. Dat is een vreemde poging van het ziekenhuis om de impact van de datalek af te zwakken. Impliciet weet iedereen die de vragenlijst in handen krijgt namelijk dat deze vragenlijst alleen naar hartpatienten is gestuurd. Het betreft immers een onderzoek voor hartpatienten.

Datalekprocedure UMC

Het Utrechtse ziekenhuis zegt binnen 48 uur na het ontdekken van de fout een brief naar alle 900 hartpatienten te hebben gestuurd. Daar is het ziekenhuis op basis van de regels voor een datalekprocedure volgens de Algemene Verordening Gegevensbescherming (AVG) ook toe verplicht.

Na het ontdekken van een datalek moet er binnen 72 uur een datalekprocedure worden opgestart, waarbij de Autoriteit Persoonsgegevens en de personen of organisaties die betrokken zijn bij het datalek formeel moeten worden geinformeerd.

“Zo’n grote fout kun je niet met een excuusbriefje afdoen”

In De Telegraaf verwijten enkele betrokken hartpatienten dat het ziekenhuis zich er met de excuusbrief te gemakkelijk vanaf maakt. De journalist en de patienten weten duidelijk niet dat het ziekenhuis handelt op basis van wettelijke voorschriften. Die schrijven voor dat de betroffen partijen moeten worden geinformeerd over de oorzaak van het datalek en de maatregelen die worden getroffen.

Een woordvoerder van het UMC erkent de fout ruiterlijk. „In het productieproces van het orgaan dat dit regelt is inderdaad iets verkeerd gegaan, en dat is heel vervelend. We hebben binnen 48 uur na de eerste melding die excuusbrief laten versturen. Voor de zekerheid hebben we die aan de hele groep van zo’n 900 personen gestuurd.”

Het UMC had bij de formele brief, die door de getroffen patienten als een goedkope excuusbrief wordt ervaren, beter ook uitleg kunnen geven over de AVG en een datalekprocedure kunnen meesturen om de patienten duidelijk te maken dat het ziekenhuis nu automatisch ook een onderzoek kan verwachten van de Autoriteit Persoonsgegevens.

Klacht indienen bij Autoriteit Persoonsgegevens

Eén van de patienten heeft inmiddels zijn grote onvrede schriftelijk kenbaar gemaakt aan het UMC, een voorwaarde om een klacht in te kunnen dienen bij de Autoriteit Persoonsgegevens (AP). Hij zegt zich bovendien bij het UMC Utrecht te laten uitschrijven voor het onderzoek.

Het UMC laat weten te hopen dat de patienten hun medewerking blijven geven aan het onderzoek, omdat het belangrijk is voor de toekomstige zorg voor hart- en vaatpatiënten.

Groot medisch datalek schandaal in Duitsland. Miljoenen patientendossiers 300 ziekenhuizen op straat

Miljoenen patiëntgegevens van ruim 300 Duitse ziekenhuizen liggen door een datalek op straat, meldt de Duitse website Datenschutzbeauftragter.de.  Er wordt gevreesd voor een enorm datalek. Justitie is met een onderzoek begonnen.

De  patientgegevens zouden in handen zijn gekomen van activisten van het “Medileaks”-platform.

Volgens Duitse media zijn honderden ziekenhuizen bespioneerd door de activisten. Vermoed wordt dat gevoelige bijzondere persoonsgegevens illegaal gekopieerd en doorgegeven zijn.

Een speciale vereniging die verantwoordelijk is voor klinieken in voornamelijk het Rijnland informeerde ziekenhuizen medio april in een mailing over  “mogelijke gegevensdiefstal”.

Op 11 april werd de vereniging anoniem geïnformeerd dat het internetplatform “medileaks.cc” gevoelige gegevens bevat van meer dan 300 ziekenhuizen in Duitsland over een periode van tien jaar.

In de brief staat verder: “Volgens de exploitant, die zijn identiteit niet bekendmaakt en het internetdomein op de Australische Cocoseilanden heeft geregistreerd, bezit hij een derde van alle zogenoemde artikel 21 patientgegevens van ziekenhuizen in Duitsland van de afgelopen tien jaar.”

De Cocos-eilanden liggen in de Indische Oceaan en zijn een buitengebied van Australië.

Artikel 21 van de wetgeving over de financiering van Duitse ziekenhuizen (Krankenhausentgeltgesetzes  – KHEntgG) regelt de jaarlijks voorgeschreven overdracht van digitaal opgeslagen patientgegevens van ziekenhuizen aan het verantwoordelijke datacenter op federaal niveau.

De gegevensbestanden bevatten de informatie over het vorige kalenderjaar en moeten uiterlijk op 31 maart worden ingediend.

Duitse ziekenhuizen geven informatie over de omvang en structuur van het ziekenhuis en geeft inzicht in de financiën.

Er wordt echter ook gedetailleerde informatie over individuele patiënten en hun behandeling verstrekt.

Het datacenter heeft tot taak de informatie te verifiëren.

De geanonimiseerde gegevens worden ook opgenomen in de officiële statistieken, die onder meer bedoeld zijn om het federale ministerie van Volksgezondheid te helpen bij het nemen van beslissingen.

Medileaks is actief sinds begin 2018. Het platform exploiteert Medileaks “Data-analyse voor een eerlijker gezondheidssysteem”.

Het doel van Medileaks is om “de waarheid over Duitse ziekenhuizen” aan het licht te brengen.

Sinds het begin van het jaar zijn op de website talrijke verslagen gepubliceerd over vermeend wanbeheer in de gezondheidszorg, bijvoorbeeld over absenteïsme en personeelsverloop in ziekenhuizen, doktersalarissen en statistieken over sterfte en complicaties bij diverse operaties.

Ook gegevens van zorginstellingen zijn geanalyseerd.

Medileaks zorgt ervoor dat er geen patiëntgegevens of ziekenhuisgegevens worden gepubliceerd of doorgegeven aan journalisten, zegt het platform.

De gegevens van de ziekenhuizen zijn “veilig”, beweert Medileaks. “Wat niet zeker is, is het beleid van veel ziekenhuizen en ketens om economische efficiëntie boven het welzijn van de patiënt te stellen,” schrijven de activisten in hun blog.

De argumenten van Medileaks laten onverlet dat zij verantwoordelijk zijn voor diefstal van bijzondere persoonsgegevens, zoals patiëntgegevens in de nieuwe Europese privacywet GDPR genoemd worden. Zowel de actievoerders als de ziekenhuizen kunnen bijzonder zwaar bestraft worden voor het datalek dat er voor gezorgd heeft dat de patiëntgegevens van miljoenen Duitsers nu op straat liggen.

Bijzondere persoonsgegevens moeten door de verwerkingsverantwoordelijke ziekenhuizen extra goed beveiligd worden, volgens de GDPR. Nalatigheid kan bestraft worden met een boete van 4 procent van de jaaromzet van een ziekenhuis met een maximum van 20 miljoen Euro. In totaal kan dit de ziekenhuizen honderden miljoenen Euro’s kosten.

Daarnaast hebben de ziekenhuizen op basis van medische wetgeving te maken met geheimhoudingsplicht. Op basis van deze wetgeving kan de overheid ook boetes opleggen.

Naast financiële en persoonlijke gegevens van de klinieken kunnen namelijk ook gevoelige patiëntgegevens zoals leeftijd, geslacht en postcode in de op het platform opgenomen gegevens zijn opgenomen.

Justitie in Duitsland neemt de zaak hoog op. Een woordvoerder van het Keulse parket zegt dat de zaak wordt onderzocht. “Het parket heeft een klacht ontvangen. Welke gegevens zijn gestolen en hoe, zal nu worden bepaald.”

Justitie maakt bij het onderzoek gebruik van een team van internationaal ervaren IT forensisch experts van auditkantoor Ernst & Young.

Een woordvoerder van de Ziekenhuisvereniging Rijnland had de authenticiteit van de brief van Medileaks bevestigd. Volgens eigen verklaringen zijn 164 klinieken lid van de vereniging.