Nieuws / Serieus Datalek Ziekenhuis


Serieus Datalek Ziekenhuis


De zorgsector is de laatste tijd volop in het nieuws geweest over privacy issues.

Zo is binnen het Antoni van Leeuwenhoekziekenhuis sprake geweest van een serieuze datalek. Een harde schijf met persoonlijke, medische gegevens van ruim 780 kankerpatiënten die zijn behandeld in het Antoni van Leeuwenhoekziekenhuis is gestolen. Dit maakte het ziekenhuis donderdag 3 maart bekend.

De gegevensdrager werd gestolen uit de kofferbak van een onderzoeker die de gegevens mee naar huis had genomen. Van de patiënten zijn informatie zoals naam, geboortedatum, tumortype en behandeling te zien.

Het Antoni van Leeuwenhoek heeft de volgende acties ondernomen:

Op 3 maart zijn de betrokken patiënten persoonlijk geïnformeerd, door hun behandelend arts. Het Antoni van Leeuwenhoek biedt patiënten zijn oprechte excuses aan. Er is een informatienummer geopend waarnaar patiënten met vragen kunnen bellen. Zo nodig kunnen zij een beroep doen op onze maatschappelijk werkers. We beseffen dat er patiënten zijn die dit nieuws via de media zullen vernemen. Dat betreuren we ten zeerste en ook hiervoor bieden we onze excuses aan.

De vermissing  van de externe harde schijf is gemeld bij de politie, de Autoriteit Persoonsgegevens en de Inspectie voor de Volksgezondheid (IGZ).

Er heeft een diepgaande analyse plaatsgevonden van de bestanden die op de ontvreemde  schijf stonden.

Er worden diverse informatiebijeenkomsten voor patiënten georganiseerd.

Het bestaande informatiebeveiligingsbeleid is opnieuw onder de aandacht van medewerkers gebracht, evenals de noodzaak van het direct melden van informatiebeveiligingsincidenten. 

De betrokken medewerker is ter verantwoording geroepen en er zijn passende maatregelen genomen.

Het NRC meldde vandaag dat het contract van de betrokken medewerker niet wordt verlengd. Het ziekenhuis tilt hier zwaar aan en de datalek blijft dus voor de medewerker niet zonder gevolgen.

Informatiebeveiligingsbeleid

Het Antoni van Leeuwenhoek heeft een duidelijk informatiebeveiligingsbeleid en privacybeleid. Zo is het verboden om vertrouwelijke informatie op computer- of andere systemen te plaatsen die niet zijn beveiligd. Hieronder valt ook een externe harde schijf. Alleen daartoe bevoegde medewerkers hebben toegang tot patiëntgegevens. 

De medewerker van het ziekenhuis heeft „gehandeld in strijd” met interne regels. Patiëntgegevens mogen niet uit het ziekenhuis worden meegenomen. Als dat toch nodig is, omdat er bijvoorbeeld overleg is met collega-onderzoekers in een ander land, dan mogen de gegevens alleen op speciaal beveiligde usb-sticks of andere gegevensdragers worden meegenomen. Die heeft het ziekenhuis, maar de betrokken onderzoeker maakte daar geen gebruik van.