Datalek bij VieCuri Medisch Centrum in Limburg veroorzaakt door verpleegkundige die patiëntenlijst verloor

Het Limburgse VieCuri Medisch Centrum onderzoekt samen met de Functionaris Gegevensbescherming hoe de interne procedure rond datalekmeldingen verbeterd kan worden.

Het Venlose ziekenhuis kwam donderdag in opspraak toen de Limburgse regionale omroep L1 meldde dat zondag papieren met persoonsgegevens van patienten op straat waren gevonden door een passant.

Deze passant gaf te kennen dat er door de omroep druk op hem was uitgeoefend om geen ruchtbaarheid aan zijn vondst te geven.

Persbericht VieCuri Medisch Centrum

Het ziekenhuis ontkent dat. In een persbericht wordt de zaak nu vanuit het oogpunt van VieCuri Medisch Centrum toegelicht.

„Dit kan en mag niet gebeuren. Patiëntgegevens mogen het ziekenhuis niet op een onbeveiligde manier verlaten. Wij balen hier enorm van en hebben uiteraard een grondig onderzoek ingesteld“, schrijft het ziekenhuis.

Melding bij Autoriteit Persoonsgegevens (AP) en Inspectie Gezondheidszorg en Jeugd

“Uiteraard wordt hier melding van gemaakt bij de daartoe bevoegde instanties, te weten Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Daarnaast bekijken we samen met onze Functionaris Gegevensbescherming of de huidige procedure rond dit soort meldingen verbeterd kan worden. Voor al onze collega’s moet het heel helder zijn hoe te handelen als zoiets zich voordoet.“

Intussen is bekend hoe de papieren verloren zijn geraakt. „Om snel te kunnen handelen tijdens haar dienst, had een zorgverlener van de kinderafdeling een patiëntenlijst bij zich (géén patiëntendossiers). Deze lijst zat in haar broekzak en heeft ze tijdens haar pauze onbewust en onbedoeld mee naar buiten genomen. Toen ze vervolgens werd gebeld om met spoed terug te komen naar het ziekenhuis, is de lijst uit haar broekzak gevallen.“

Slordige communicatie

Volgens VieCuri Medisch Centrum is zondag met de melder afgesproken dat hij de gevonden papieren diezelfde dag zou komen brengen. „Helaas is dat niet gebeurd en doordat het ziekenhuis geen gegevens had van de melder, kon hij niet worden teruggebeld. Toen de melder gisteren (woensdag, red.) zelf nog eens contact zocht, is daar meteen op gehandeld door de functionaris gegevensbescherming van VieCuri.“

Het ziekenhuis geeft dus aan door slordigheid in de communicatie geen contactgegevens van de vinder van de papieren te hebben genoteerd. Dat zou de reden zijn waarom niet direct opnieuw contact met de man kon worden opgenomen. Er zou dus geen sprake van zijn dat de zaak stilgehouden moest worden, zoals de melder bij L1 verklaarde.

Alle patiënten en ouders/verzorgers worden geinformeerd

“We herkennen ons niet in het beeld van de melder en diens signaal dat hij niet serieus zou zijn genomen. We zijn de melder juist dankbaar dat hij zich meldde bij ons, dat hij integer is omgegaan met de gegevens en deze niet verder naar buiten zijn gebracht. Door het bij ons te melden, kunnen we bovendien alles in het werk stellen om te voorkomen dat dit nog eens gebeurt“, schrijft het ziekenhuis. „Dit is een zeer serieuze kwestie die we ons zeer aantrekken. Alle patiënten en ouders/verzorgers die op de lijst stonden, worden persoonlijk geïnformeerd over deze kwestie.“

Tweede datalekmelding bij VieCuri Medisch Centrum dit jaar

Het is overigens de tweede keer dit jaar dat VieCuri Medisch Centrum een datalekmelding moest doen. Eerder werd het computersysteem van het ziekenhuis gehackt via phishingmail. Volgens VieCurie zijn de patiëntgegevens bij deze hack niet in gevaar gekomen.

De phishing-mail kwam bij medewerkers binnen. Een aantal medewerkers heeft op een kwaadaardige link in de mail geklikt en zo het virus toegang gegeven tot het computernetwerk van het ziekenhuis.

Nieuw wachtwoord voor personeel

Alle medewerkers van het ziekenhuis hebben na deze hack een nieuw wachtwoord gekregen. Er zou dus geen gevaar zijn geweest voor het ziekenhuis en de patiënten. Wel is er melding gedaan bij de Autoriteit Persoonsgegevens.

AVG-boete van 400.000 Euro voor Portugees ziekenhuis dat onzorgvuldig met patiëntgegevens omgaat. Uitspraak interessant voor Limburg en rest Europa

Stel dat het VieCuri Medisch Centrum in Venlo inderdaad onzorgvuldig met patientgegevens is omgegaan…

Stel dat de Functionaris Gegevensbescherming (FG) inderdaad niet volgens de regels een datalekprocedure in gang heeft gezet…

Hoe hoog zou de boete die de Autoriteit Persoonsgegevens (AP) dan oplegt dan kunnen uitvallen?

Tot dusver was er nog geen voorbeeld. Geen jurisprudentie. Niet in Nederland en ook niet elders in Europa. Maar daar is deze week toevallig verandering in gekomen.

Portugese Autoriteit Persoonsgegevens legt eerste boete op aan ziekenhuis

Het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon zou zo onzorgvuldig zijn omgegaan met patiëntengegevens dat de Portugese Autoriteit Persoonsgegevens, de CNPD, deze week een boete van 400.000 euro heeft opgelegd.

Het ziekenhuis heeft aangekondigd de boete te gaan aanvechten bij de rechter.

Die rechtzaak lijkt uitstel van executie, omdat de Portugese toezichthouder een hele duidelijke concrete overtreding van de Europese privacywet heeft vastgesteld.

Honderden onbevoegden hebben toegang tot patientgegevens

“Alleen professionals hebben toegang tot uw gezondheidsinformatie in onze database”, staat er in de Privacy Policy op de website van Centro Hospitalar Barreiro Montijo.

Volgens de Portugese toezichthoudende autoriteit CNPD komt de beveiliging van de patientgegevens in het systeem echter niet eens in de buurt van de vereisten van de Algemene Verordening Gegevensbescherming.

In het Portugese ziekenhuis werken 295 artsen, terwijl er 995 mensen “dokterstoegang” hadden tot de patiëntgegevens.

Datalek in Portugees ziekenhuis werd gemeld door medische vereniging

Het datalek kwam al in juni naar buiten tijdens een inspectie van de CNPD. De toezichthouder kwam in actie na een klacht van een medische vereniging.

Uit het onderzoek bleek dat onder het onverklaarbaar hoge aantal mensen dat zonder goede verklaring toegang had tot de gevoelige medische informatie zich ten minste negen vertegenwoordigers van sociale diensten bevonden.

Ook mensen die alleen als “technische medewerkers” geregistreerd stonden, konden volgens het CNPD de patiëntendossiers inzien.

Portugees ziekenhuis heeft verplichtingen AVG ‘bewust veronachtzaamd’

De CNPD besloot deze week, vier maanden na het eigen onderzoek, op basis van de duidelijke bewijzen tot het opleggen van de eerste zware boete sinds de AVG van kracht geworden is. Het Barreiro-Montijo ziekenhuis heeft volgens de Portugese toezichthouder CNPD de verplichtingen die voortvloeien uit de AVG opzettelijk veronachtzaamd.

Het Barreiro-Montijo ziekenhuis wil juridische stappen ondernemen tegen de beslissing. Enerzijds zijn er twijfels over de bevoegdheid van de autoriteit om een dergelijke sanctie op te leggen. Aan de andere kant verdedigt de kliniek zijn acties. Zo zou er bijvoorbeeld een groot aantal inlogaccounts gecreëerd zijn in verband met tijdelijke contracten met artsen die slechts kort in het ziekenhuis hebben gewerkt.

Ziekenhuis had accounts tijdelijke artsen na vertrek meteen moeten verwijderen

Het CNPD reageerde daar echter onmiddellijk op met de mededeling na het vertrek van de tijdelijke artsen hun inlogaccounts onmiddelijk hadden moeten worden geschrapt.

Het is volgens de Portugese toezichthouder ook niet te rechtvaardigen dat maatschappelijk werkers of zelfs technici informatie over de gezondheidstoestand van de patiënten kunnen inzien.

Uitspraak in Portugal interessant voor heel Europa

De omvang van de beschuldigingen en de hoogte van de opgelegde boete maken de zaak van de Portugese kliniek interessant voor gegevensbeschermers en bedrijven in heel Europa.

De rechtszaak die het Centro Hospitalar Barreiro Montijo tegen de CNPD wil aanspannen kan leiden tot jurisprudentie die duidelijkheid brengt in soortgelijke zaken. Privacyspecialisten zijn bijzonder benieuwd naar de intrepretatie die een rechter geeft in deze zaak.

Datalek bij VieCuri Medisch Centrum in Venlo. Vraagtekens bij datalekprocedure ziekenhuis

Het VieCuri Medisch Centrum in Venlo is in opspraak vanwege een datalek waarbij de gegevens van 22 kinderen, inclusief medische gegevens, op straat zijn beland, meldt de regionale omroep 1Limburg.

Het betreft slechts vier vellen papier, maar de impact daarvan is qua negatieve publiciteit nu al groot. En die kan nog groter worden.

Datalekprocedure

Grote vraag is namelijk of het Limburgse ziekenhuis wel volgens de regels een datalekprocedure in gang heeft gezet.

Vinder Jeroen Dekkers van de papieren zegt bij L1 de indruk te hebben dat het ziekenhuis de zaak in de doofpot wilde stoppen. Hij zocht zondag meteen na zijn vondst al contact met het ziekenhuis.

Datalek uit de media houden

Dekkers zegt dat hij zich geïntimideerd voelt en dat hem meerdere malen is gevraagd om de zaak uit de media te houden.

Een woordvoerder van het ziekenhuis ontkent bij L1 dat zij dit gevraagd heeft.

Functionaris Gegevensbescherming (FG)

Opvallend is echter dat de Functionaris Gegevensbescherming (FG) van VieCuri volgens Dekkers pas woensdag persoonlijk contact opnam met Dekkers. Terwijl volgens de Algemene Verordening Gegevensbescherming (AVG) een organisatie binnen 72 uur na het ontdekken van een lek meteen passende maatregelen moet treffen en een datalekprocedure bij de Autoriteit Persoonsgegevens (AP) in gang moet zetten.

De FG is voor die datalekprocedure verantwoordelijk. Het is dan ook uitermate vreemd dat de FG niet eerder contact heeft opgenomen met de vinder.

Volgens de Autoriteit Persoonsgegevens is er inmiddels wel een datalekmelding door het ziekenhuis gedaan.

Ziekenhuis onderzoekt lek en afhandeling melding

Het ziekenhuis zegt te onderzoeken hoe het lek is ontstaan en hoe er is omgegaan met de melding.

De papieren werden zondag toevallig door Dekkers gevonden op de dijk langs de Maas, pal naast VieCuri.

Medische gegevens pasgeboren kinderen

In de documenten kon hij de voor- en achternaam, geboortedatum van de in sommige gevallen pasgeboren kinderen en gegevens van ouders en verzorgers lezen. Ook was er informatie over de medische situatie van de kinderen te vinden.

Uit de datum bovenaan de documenten blijkt dat ze dezelfde dag nog zijn gebruikt. Het betteft dienstlijsten van vermoedelijk de kinderafdeling.